Sicherheitsforscher berichteten, dass eine groß angelegte Cyberkampagne Systeme ins Visier nimmt, die Ivanti Endpoint Manager Mobile (EPMM), eine weit verbreitete Plattform für das Management mobiler Geräte, ausführen, nachdem zwei kritische Zero-Day-Schwachstellen bekannt wurden. Angreifer durchsuchen das Internet mit Zehntausenden von IP-Adressen, um ungepatchte Instanzen der Software zu identifizieren und auszunutzen.
Ivanti legte die Schwachstellen am 29. Januar 2026 als CVE-2026-1281 und CVE-2026-1340 bekannt. Beide haben hohe Werte, die das Risiko einer ferngesteuerten, nicht authentifizierten Codeausführung auf betroffenen Servern widerspiegeln. Proof-of-Concept-Exploits wurden unmittelbar nach der Offenlegung öffentlich gemacht, was zu einem raschen Anstieg von Scan- und Ausnutzungsversuchen durch mehrere Bedrohungsakteure führte.
Bedrohungsüberwachungsdaten zeigen, dass Angreifer an manchen Tagen mehr als 28.000 verschiedene IP-Adressen sammelten, um nach verwundbaren EPMM-Installationen zu suchen, wobei mehr als 39.000 Verbindungen gegen einen einzigen Honigtopf zur Messung bösartiger Aktivitäten protokolliert wurden. Im Vergleich dazu ziehen andere hochkarätige Schwachstellen typischerweise Scans von deutlich weniger Quellen an.
Sicherheitsorganisationen haben Hunderte von internetfreiliegenden EPMM-Systemen in Deutschland, den Vereinigten Staaten, Großbritannien, der Schweiz, Hongkong, China, Frankreich, Spanien, den Niederlanden und Schweden identifiziert. Viele weitere Installationen befinden sich hinter Unternehmensfirewalls, wo sie vor direktem Internetzugang geschützt sein sollten.
Separate Berichte deuten darauf hin, dass die Schwachstellen mit bestätigten Sicherheitsvorfällen in Regierungssystemen in Europa in Verbindung gebracht werden. Die Europäische Kommission erklärte, sie habe einen Cyberangriff auf die Infrastruktur erkannt und eingeschlossen, die für die Verwaltung mobiler Geräte des Personals verantwortlich ist und möglicherweise Zugang zu begrenzten persönlichen Informationen ermöglichte. Ähnliche Angriffe auf Regierungsbehörden in Finnland und den Niederlanden werden auf die Ausnutzung derselben Fehler zurückgeführt.
Ivanti riet Kunden und Administratoren, Notfall-Patches anzuwenden, und veröffentlichte Leitlinien und Werkzeuge, um potenzielle Ausnutzungen zu bewerten. Patches wurden kurz nach Offenlegung der Mängel verfügbar, und das Unternehmen hat Organisationen ermutigt, betroffene Systeme sofort zu aktualisieren, um Kompromittierungen zu verhindern.
Experten erklärten, dass das schnelle Aufkommen von Massenausnutzung nach der öffentlichen Offenlegung die Risiken von Zero-Day-Schwachstellen in weit verbreiteter Managementsoftware unterstreicht. EPMM-Systeme werden verwendet, um Sicherheitsrichtlinien durchzusetzen, Mitarbeitergeräte zu verwalten und Anwendungen in iOS-, Android- und Windows-Umgebungen bereitzustellen. Wenn ein Angreifer die Kontrolle über solche Systeme erlangt, kann er potenziell auf sensible Unternehmensdaten zugreifen und bösartigen Code unbemerkt verbreiten.
Forscher warnen, dass ungepatchte Instanzen weiterhin exponiert sind und dass fortgesetzte Scans durch böswillige Akteure wahrscheinlich sind, sofern Administratoren ihre Netzwerke nicht sichern und die neuesten Updates anwenden. Die Kampagne hebt umfassendere Sicherheitsherausforderungen für Organisationen hervor, die auf Gerätemanagement-Plattformen für betriebliche Kontinuität und Datenschutz angewiesen sind.