Beobachtungen
Diverse IT-Sicherheitsstellen detektieren aktuell eine Angriffskampagne eines mutmaßlich staatlichen Akteurs gegen die Mobile-Device-Management-Lösung Ivanti EPMM. Im Zentrum der Operation steht die Ausnutzung der kritischen Schwachstellen CVE-2026-1281 und CVE-2026-1340. Betroffen sind vorrangig Regierungseinrichtungen und Betreiber Kritischer Infrastrukturen, die diese Appliance häufig zur Verwaltung mobiler Endgeräte einsetzen. Die erfolgreiche Kompromittierung ermöglicht dem Angreifer die vollständige Übernahme des Gateways, die Ausleitung sensibler Daten verwalteter Endgeräte sowie die Etablierung dauerhafter Persistenz im Netzwerk.
Methoden
Die technische Analyse der Angriffskette belegt eine sequenzielle Ausnutzung der Schwachstellen. Initial erfolgt mittels CVE-2026-1281 eine Umgehung der Authentifizierungsmechanismen durch Manipulation von HTTP-Headern gegenüber der API-Schnittstelle. Im zweiten Schritt nutzen die Angreifer über CVE-2026-1340 eine Unsicherheit in der Deserialisierungslogik aus, indem speziell präparierte XML-Payloads an den nun zugänglichen Management-Endpunkt gesendet werden. Dies führt zur Remote Code Execution. Zur Sicherung des Zugriffs werden Webshells (z.B. mi.war, check.jsp) im Tomcat-Verzeichnis abgelegt und die Konfigurationsdatei httpd.conf manipuliert, um Sicherheitsregeln dauerhaft zu schwächen.
Attribution
Wir vermuten einen fremd-staatlichen Akteur hinter der Kampagne. Die Zielauswahl sowie die technische Vorgehensweise, insbesondere die Kombination aus Zero-Day-Exploits und spezifischen Persistenz-Mechanismen in Webserver-Verzeichnissen, entsprechen der Vorgehensweise fremd-staatlicher Gruppierungen zur strategischen Spionage.
Empfehlungen
Zur Abwehr der akuten Bedrohung sind die bereitgestellten Sicherheitsupdates für CVE-2026-1281 und CVE-2026-1340 unverzüglich zu installieren. Bis zum Abschluss des Patch-Vorgangs raten wir, den Zugriff auf die administrative Schnittstelle aus dem öffentlichen Internet zu blockieren.
Für die forensische Prüfung auf eine bereits erfolgte Kompromittierung sind folgende Indikatoren (IOCs) im Dateisystem und in den Log-Dateien zu verifizieren:
- Log-Analyse: Prüfung der Apache-Access-Logs (/var/log/httpd/https-access_log) auf Zugriffe externer IP-Adressen auf den Pfad /mifs/aad/api/v2/, welche auf Versuche der Authentifizierungsumgehung hinweisen.
- Dateisystem-Integrität: Suche nach den Dateien mi.war und check.jsp in den Webserver-Verzeichnissen sowie Prüfung der Datei /etc/httpd/conf/httpd.conf auf unautorisierte Modifikationen.
Sollten diese Indikatoren positiv bestätigt werden, raten wir zu einer tiefgehenden forensischen Untersuchung. Greynoise stellt einen ausführlichen Bericht sowie Handlungsemfpehlungen zur Verfügung. Wir raten daher allen Stellen, die die angreifbare Version von Ivanti EPMM im Einsatz haben zur unverzüglichen Umsetzung der Handlungsempfehlungen.