**Ivanti** hat eine dringende Warnung an seine Kunden herausgegeben und rät zur sofortigen Behebung einer kritischen Schwachstelle zur Remotecodeausführung (RCE), **CVE-2026-6973**, die **Endpoint Manager Mobile (EPMM)** betrifft. Diese Schwachstelle wird derzeit in Zero-Day-Angriffen ausgenutzt. ### Technische Details zu CVE-2026-6973 Die Schwachstelle beruht auf einer fehlerhaften Eingabevalidierung, die es entfernten Angreifern mit administrativen Rechten ermöglicht, beliebigen Code auf Systemen auszuführen, auf denen **EPMM** Version 12.8.0.0 und früher läuft. Dies unterstreicht die dringende Notwendigkeit eines schnellen Patchings, um potenzielle Ausnutzung zu verhindern. ### Abhilfemaßnahmen **Ivanti** rät Kunden, die folgenden gepatchten Versionen von **Ivanti EPMM** zu installieren: 12.6.1.1, 12.7.0.1 und 12.8.0.1. Darüber hinaus empfiehlt das Unternehmen eine gründliche Überprüfung aller Konten mit administrativen Rechten und gegebenenfalls eine Rotation von Anmeldeinformationen. Dieser proaktive Ansatz kann das Ausnutzungsrisiko erheblich reduzieren. > "Zum Zeitpunkt der Offenlegung sind wir uns einer sehr begrenzten Ausnutzung von **CVE-2026-6973** bewusst, die eine Admin-Authentifizierung für eine erfolgreiche Ausnutzung erfordert. Wir sind uns nicht bewusst, dass Kunden von den heute offengelegten anderen Schwachstellen betroffen sind", so das Unternehmen. Es ist wichtig zu beachten, dass die Schwachstelle nur das On-Premise **EPMM**-Produkt betrifft und nicht in **Ivanti Neurons for MDM**, **Ivanti EPM**, **Ivanti Sentry** oder anderen **Ivanti**-Produkten vorhanden ist. ### Gefährdung und Überwachung **Shadowserver** verfolgt derzeit über 850 IP-Adressen mit **Ivanti EPMM**-Fingerabdrücken, die online exponiert sind, wobei ein erheblicher Teil in Europa (508) und Nordamerika (182) angesiedelt ist. Während diese Daten Einblicke in die potenzielle Gefährdung geben, bleibt die Anzahl der Systeme, die bereits gegen **CVE-2026-6973** gepatcht wurden, unbekannt.  *Ivanti EPMM IPs online exponiert (Shadowserver)* ### Zusätzliche gepatchte Schwachstellen Zusätzlich zu **CVE-2026-6973** hat **Ivanti** auch Patches für vier weitere kritische **EPMM**-Schwachstellen veröffentlicht: **CVE-2026-5786**, **CVE-2026-5787**, **CVE-2026-5788** und **CVE-2026-7821**. Diese Schwachstellen könnten Angreifern ermöglichen, Admin-Zugriff zu erlangen, registrierte Sentry-Hosts zu imitieren, beliebige Methoden aufzurufen und auf eingeschränkte Informationen zuzugreifen. **Ivanti** gab an, dass es keine Beweise dafür gibt, dass diese Schwachstellen in freier Wildbahn ausgenutzt werden. **CVE-2026-7821** betrifft nur Benutzer, die **Apple Device Enrollment** verwenden und konfiguriert haben. ### Jüngste Geschichte von Ivanti EPMM-Schwachstellen Im Januar enthüllte **Ivanti** zwei kritische **EPMM**-Code-Injection-Schwachstellen, **CVE-2026-1281** und **CVE-2026-1340**, die in Zero-Day-Angriffen ausgenutzt wurden und eine begrenzte Anzahl von Kunden betrafen. > "Wenn Kunden **Ivanti**s Empfehlung im Januar befolgten, Anmeldeinformationen zu rotieren, falls sie mit **CVE-2026-1281** und **CVE-2026-1340** ausgenutzt wurden, dann ist ihr Risiko der Ausnutzung durch **CVE-2026-6973** erheblich reduziert", fügte das Unternehmen hinzu. ### Beteiligung der CISA Im April wies die **U.S. Cybersecurity and Infrastructure Security Agency (CISA)** US-Regierungsbehörden an, ihre Systeme innerhalb von vier Tagen gegen Angriffe auf **CVE-2026-1340** zu sichern, was die Schwere dieser Schwachstellen unterstreicht. Mehrere **Ivanti EPMM** Zero-Days wurden in den letzten Jahren ausgenutzt, was zu Sicherheitsverletzungen bei verschiedenen Zielen führte, darunter Regierungsbehörden weltweit. Bis heute hat die **CISA** 33 **Ivanti**-Schwachstellen als in freier Wildbahn ausgenutzt eingestuft, wobei 12 davon von Ransomware-Operationen missbraucht wurden. **Ivanti** liefert IT-Asset-Management-Produkte an über 40.000 Kunden weltweit über ein Netzwerk von mehr als 7.000 Partnern. [99% von dem, was Mythos gefunden hat, ist immer noch ungepatcht.](https://hubs.li/Q04crVgD0) KI hat vier Zero-Days zu einem einzigen Exploit verkettet, der sowohl Renderer- als auch OS-Sandboxes umging. Eine Welle neuer Exploits steht bevor. Auf dem Autonomous Validation Summit (12. und 14. Mai) erfahren Sie, wie autonome, kontextreiche Validierung Schwachstellen findet, die Wirksamkeit von Kontrollen beweist und den Behebungszyklus schließt. [Platz sichern](https://hubs.li/Q04crVgD0)