03.02.2026 12:00

Aktive Ausnutzung von Sicherheitslücken in Ivanti Endpoint Manager Mobile (CVE-2026-1281, CVE-2026-1340)

Zwei kürzlich behobene Sicherheitslücken in Ivanti Endpoint Manager Mobile (CVE-2026-1281 und CVE-2026-1340, siehe dazu unsere Warnung vom 31.01.2026 sowie eine technische Analyse der Sicherheitsexpert:innen von Watchtowr) werden bereits von Bedrohungsakteuren ausgenutzt.

Laut Ivanti selbst ist die Untersuchung der bisher bekannten Vorfälle noch im Gange und verlässliche technische Indikatoren liegen noch nicht vor. Allerdings scheinen sich sowohl erfolgreiche als auch versuchte Angriffe mit 404-Errorcodes im Apache-Log niederzuschlagen. Jedoch erzeugen gepatchte Installationen laut den Entwickler:innen ebenfalls derartige Fehlercodes, weshalb Ivanti eine Regular Expression für eine bessere Filterung empfiehlt.

Erschwerend kommt hinzu, dass die Angreifer:innen nach einer erfolgten Kompromittierung die auf dem betroffenen System gespeicherten Logs manipuliert. Eine kontinuierliche Weiterleitung von Logs in ein zentralisiertes System ist dementsprechend, beziehungsweise grundsätzlich, empfohlen.

Systemadministrator:innen und Sicherheitsverantwortliche sind dringend angehalten die zur Verfügung stehenden Sicherheitsaktualisierungen einzuspielen. Nach aktuellem Stand der Dinge kann jedoch nicht ausgeschlossen werden, dass eine Ausnutzung der Sicherheitslücke bereits vor der Veröffentlichung von Updates erfolgt ist.

Möglicherweise betroffene Systeme sollten dementsprechend im Rahmen der eigenen Incident Response-Prozesse behandelt und gegebenenfalls forensisch untersucht werden. Sollten wir weitere Informationen erhalten werden wir diesen Beitrag schnellstmöglich entsprechend aktualisieren.