Ivanti, ein führender Anbieter von Endpoint-Management- und IT-Sicherheitslösungen, hat kürzlich wichtige Sicherheitspatches für seine Endpoint Manager Mobile (EPMM) Software veröffentlicht. Diese Maßnahmen sind notwendig geworden, nachdem zwei schwerwiegende Sicherheitslücken in mehreren Versionen der EPMM-Software entdeckt und in begrenztem Umfang von Angreifern ausgenutzt wurden. Die Schwachstellen ermöglichen es unbefugten Angreifern, durch eine Kombination der Fehler entfernten Code auf den Systemen auszuführen und so weitreichenden Schaden anzurichten. Die Problematik und deren Behebung bedeuten für Nutzer und IT-Verantwortliche eine dringende Aufforderung, die Systeme unverzüglich zu aktualisieren und zusätzliche Schutzmechanismen zu implementieren. Die veröffentlichten CVEs, CVE-2025-4427 und CVE-2025-4428, sind dabei von besonderer Bedeutung und zeigen das Ausmaß der Bedrohung.
CVE-2025-4427 beschreibt eine Art von Authentifizierungsumgehung, die es Angreifern erlaubt, geschützte Ressourcen ohne gültige Zugangsdaten aufzurufen. Dabei handelt es sich jedoch nicht um eine klassische Umgehung, sondern eher um eine fehlerhafte Reihenfolge der Sicherheitskontrollen innerhalb der Software. Durch diese Logikfehler wird die Zugriffskontrolle nicht wie gewünscht wirksam, wodurch unerlaubte Anfragen durchkommen. Diese Schwachstelle trägt einen CVSS-Basiswert von 5.3.
Die zweite Schwachstelle, CVE-2025-4428, wird als Remote Code Execution (RCE) klassifiziert und hat einen CVSS-Basiswert von 7.2. Hierbei wurde eine unsichere Verarbeitung von Nutzereingaben, speziell in Fehlernachrichten innerhalb des Spring Frameworks, identifiziert. Durch die sogenannte Expression Language (EL) Injection ist es Angreifern möglich, beliebigen Code auszuführen. In Kombination können diese zwei Schwachstellen von Angreifern schamlos ausgenutzt werden, um komplett unautorisiert Kontrolle über die betroffenen Systeme zu erlangen.
Besonders problematisch ist, dass es sich bei den verwundbaren Versionen vor allem um auf breiter Front eingesetzte Varianten handelt. Betroffen sind Versionen 11.12.0.4 und davor sowie mehrere Versionen aus den 12.
x-Reihen bis zu 12.5.0.0. Ivanti hat für alle genannten Versionen Patches bereitgestellt, die die Sicherheitslücken beseitigen.
Besitzer der betroffenen Systeme sollten daher schnellstmöglich auf mindestens Version 11.12.0.5, 12.3.
0.2, 12.4.0.2 oder 12.
5.0.1 aktualisieren. Die Dringlichkeit ergibt sich auch daraus, dass bereits erste Exploit-Versuche in der Wildnis verzeichnet wurden. Die Sicherheitsforscher der Firma Wiz melden, dass nach Veröffentlichung eines Proof-of-Concepts (PoC) durch watchTowr Labs am 16.
Mai 2025 vermehrt Angriffe auf exponierte EPMM-Systeme beobachtet wurden. Die Angreifer setzten dabei unter anderem Command-and-Control-Frameworks wie Sliver ein, um ihre Kontrolle über kompromittierte Infrastruktur aufrechtzuerhalten und weitere schädliche Aktionen durchzuführen. Ivanti selbst hat die Sicherheitslücken als durch zwei Open-Source-Bibliotheken ausgelöst beschrieben, gibt jedoch keine näheren Details zu den Bibliotheken selbst preis. Ein Teil der Analyse deuten darauf hin, dass eine Library namens hibernate-validator involviert ist, da Updates von Version 6.0.
22 auf 6.2.5 veröffentlicht wurden, welche das Problem adressieren. Die genaue Ausnutzungsart besticht hierbei durch speziell formatierte HTTP GET-Anfragen an die Schnittstelle „/mifs/admin/rest/api/v2/featureusage“. Die Fehler verstecken sich somit tief im Zusammenspiel verschiedener Komponenten und bergen das Risiko, dass auch andere Softwareprodukte, die diese Bibliotheken verwenden, betroffen sein könnten.
Für Unternehmen, die Ivanti EPMM im Rahmen ihrer IT-Infrastruktur betreiben, bedeutet das eine klare Handlungsanweisung. Neben dem Einspielen der von Ivanti bereitgestellten Updates empfiehlt sich außerdem die Prüfung und Optimierung der Zugriffsregelungen. Ivanti weist besonders darauf hin, dass die Risiken signifikant verringert werden, wenn API-Zugriffe durch Portal-ACLs oder externe Web Application Firewalls (WAFs) gefiltert werden. Die konsequente Nutzung von Sicherheitsmechanismen zur Zugriffskontrolle kann zumindest die Angriffsfläche einschränken, selbst falls ein System noch nicht gepatcht ist. Wichtig zu wissen ist ebenfalls, dass diese Schwachstellen ausschließlich die On-Premises-Variante von EPMM betreffen.
Die Cloud-Lösung Ivanti Neurons for MDM ist hiervon nicht betroffen, ebenso wenig andere Ivanti-Produkte wie Ivanti Sentry. Neben den EPMM-Updates hat Ivanti parallel auch ein kritisches Sicherheitsupdate für Neurons für ITSM veröffentlicht, das eine weitere Authentifizierungsumgehung (CVE-2025-22462) mit sehr hohem Schweregrad (CVSS 9.8) behebt. Obwohl es hier bisher keine Hinweise auf aktive Ausnutzung gibt, zeigt die Veröffentlichung den kontinuierlichen Sicherheitsfokus des Herstellers. In den letzten Jahren haben Angriffe auf Produkte von Ivanti zugenommen, da die Lösungen aufgrund ihrer administrativen Rechte attraktive Zielscheiben für Angreifer sind.
Insbesondere Zero-Day-Exploits gegen Ivanti Appliances sorgten mehrfach für Schlagzeilen und erforderten schnelle Reaktionen der Nutzer. Für IT-Sicherheitsverantwortliche ist deshalb die zeitnahe Umsetzung von Patches ein entscheidender Punkt im Schutzkonzept. Das Verständnis der Schwachstellen zeigt auch, wie wichtig es ist, Softwarekomponenten im Detail zu auditieren, insbesondere wenn Open-Source-Bibliotheken integriert werden. Fehler in der Sicherheitslogik, wie beim CVE-2025-4427, entstehen häufig durch falsche Nutzung oder unzureichende Validierung von Funktionen, nicht immer durch Defekte in den Bibliotheken selbst. Dies unterstreicht die Notwendigkeit, bewährte Entwicklungsmethoden anzuwenden und Sicherheitsprüfungen in den gesamten Softwareentwicklungszyklus einzubinden.
Darüber hinaus verdeutlichen die Geschehnisse um Ivanti EPMM, dass auch scheinbar interne oder schwer zugängliche Systeme Ziel von gezielten Attacken sein können. Unternehmen sollten daher eine umfassende Sicherheitsstrategie verfolgen, die neben Updates auch Monitoring, Netzwerksegmentierung und eventuelle Eindringlingserkennung umfasst. Die Veröffentlichung von Proof-of-Concept-Codes und öffentliche Diskussionen in Sicherheitsexpertenkreisen tragen dazu bei, das Bewusstsein für die Risiken zu erhöhen, erhöhen aber auch den Druck, Sicherheitslücken so schnell wie möglich zu schließen. Zusätzlich zur technischen Umsetzung empfiehlt sich verstärkte Schulung der Administratoren im Umgang mit Sicherheitshinweisen und Vorfallreaktionen. Zusammenfassend lässt sich sagen, dass die jüngsten Schwachstellen in Ivanti EPMM eine ernsthafte Bedrohung für Systeme darstellen, die nicht rechtzeitig gepatcht wurden.
Die Risiken entstehen vor allem aus der Kombination von widersprüchlichen Schwachstellen, die zusammen zur Remote Code Execution führen können. Die Reaktion von Ivanti zeigt, dass der Hersteller engagiert an der Sicherheit seiner Produkte arbeitet und auch bei komplexeren Schwachstellen schnell reagiert. Anwender sollten dennoch selbst aktiv werden und ihre Umgebungen gewissenhaft absichern, um Angriffe erfolgreich abzuwehren. Nur durch aktuelle Softwarestände, intensive Kontrollmechanismen und ein ganzheitliches Sicherheitskonzept können Organisationen in Zeiten zunehmender Cyberangriffe ihre Endpoint-Management-Lösungen wirkungsvoll schützen. Die Situation bei Ivanti ist beispielhaft für die Herausforderungen, denen sich IT-Teams heute gegenübersehen – sie erfordert eine proaktive und umfassende Sicherheitsstrategie, um Schutz und Integrität der Systeme nachhaltig zu gewährleisten.
Ivantis Patches sind daher von großer Bedeutung und sollten sofort umgesetzt werden, um die Sicherheit der Endgeräte und die gesamte IT-Infrastruktur zu stärken.
