3. Mai 2026 | Artikel drucken |

Ivanti EPMM Zero-Days CVE-2025-4427 und CVE-2025-4428: Was KRITIS-Betreiber jetzt tun müssen

7 Min. Lesezeit

Zwei Ivanti EPMM Zero-Days wurden Ende April 2026 in Serie ausgenutzt – 130 unique IP-Adressen hatten die Schwachstellen innerhalb von 24 Stunden nach der Disclosure aktiv getestet. BSI, CISA und NHS England haben parallel gewarnt. Für KRITIS-Betreiber, Behörden und Organisationen mit produktiven MDM-Umgebungen auf Ivanti-Basis ist sofortiges Handeln Pflicht.

Das Wichtigste in Kürze

  • Zwei Zero-Days in Ivanti EPMM. CVE-2025-4427 (Authentication Bypass, CVSS 9.8) und CVE-2025-4428 (Remote Code Execution via API). In Kombination ermöglichen sie unauthentifizierte RCE ohne Benutzerinteraktion.
  • 130 IPs exploitieren innerhalb 24h. Shadowserver Foundation hat 130 einzigartige Angreifer-IPs innerhalb von 24 Stunden nach Disclosure dokumentiert. Exploit-Code ist öffentlich verfügbar.
  • BSI-Warnung 2026-221601-1032 aktiv. Das BSI hat eine eigene Warnung der höchsten Priorität ausgegeben. NHS England und CISA haben parallel Warnungen veröffentlicht.
  • KRITIS-MDM besonders betroffen. Ivanti EPMM wird in Behörden, Krankenhäusern und KRITIS-Betreibern für Mobile Device Management eingesetzt. Kompromittierter MDM-Server gibt Angreifern Zugang zu allen verwalteten Geräten.

Was ist Ivanti EPMM? Ivanti Enterprise Mobility Management (EPMM) ist eine On-Premises-MDM-Plattform, die Organisationen zentral für die Verwaltung, Konfiguration und Absicherung mobiler Endgeräte einsetzen. EPMM kontrolliert Gerätezugang, App-Deployment, VPN-Profile und Zertifikatsverteilung für alle angebundenen Smartphones, Tablets und Laptops einer Organisation.

Verwandt: CISA KEV April 2026: Samsung MagicINFO, SimpleHelp und D-Link unter aktiver Ausnutzung

Die Schwachstellen im Detail: Authentication Bypass trifft RCE

CVE-2025-4427 ist ein Authentication Bypass in der Ivanti EPMM REST-API. Die Schwachstelle erlaubt es Angreifern, API-Endpunkte aufzurufen die eigentlich Authentifizierung erfordern – ohne gültige Credentials. CVSS-Score 9.8, als kritisch eingestuft. Betroffen sind alle EPMM-Versionen vor dem Patch vom 30. April 2026.

CVE-2025-4428 ist eine Remote Code Execution-Schwachstelle die sich durch die REST-API ausnutzen lässt. Allein hat sie begrenzten Impact – in Kombination mit CVE-2025-4427 ist die Angriffskette vollständig: Bypass der Authentifizierung, dann RCE auf dem EPMM-Server. Die Kombination ermöglicht unauthentifizierte Codeausführung auf dem MDM-Server ohne jede Benutzerinteraktion.

Was die Situation besonders gefährlich macht: Ivanti hat die Patches am 30. April veröffentlicht. Exploit-Code war laut Shadowserver Foundation innerhalb von Stunden öffentlich verfügbar. 130 unique IP-Adressen haben aktive Exploitation-Versuche unternommen – in den ersten 24 Stunden nach Disclosure.

Angriffskette in drei Schritten

Schritt 1

Authentication Bypass via CVE-2025-4427 – kein Account nötig

Schritt 2

RCE via CVE-2025-4428 über REST-API als authentifizierter User

Schritt 3

Vollzugriff auf MDM-Server – alle verwalteten Geräte erreichbar

Ivanti EPMM als Wiederholungstäter: Die Schwachstellen-Historie

Das ist nicht Ivantis erster kritischer Vorfall. Bereits 2024 waren Ivanti Connect Secure und Policy Secure massiv betroffen – mehrere Zero-Days wurden aktiv ausgenutzt bevor Patches verfügbar waren. Das US-amerikanische CISA musste damals eine Emergency Directive herausgeben und forderte Bundesbehörden zur sofortigen Trennung der Systeme vom Netz auf.

Bei EPMM 2026 wiederholt sich das Muster – mit einem entscheidenden Unterschied: Die Exploitation-Geschwindigkeit hat sich erhöht. 24 Stunden von Disclosure bis zu 130 dokumentierten Angreifer-IPs ist außergewöhnlich schnell und deutet auf vorbereitete Exploit-Kits oder koordinierte Bedrohungsakteure hin. Der CISA KEV Catalog hat beide CVEs umgehend aufgenommen.

Das BSI hat in seiner Warnung 2026-221601-1032 explizit auf die Relevanz für deutsche KRITIS-Betreiber hingewiesen. Die Warnung gilt als eigenständige Priorität-1-Warnung und ist nicht nur eine Weiterleitung der CISA-Empfehlung – ein Zeichen, dass das BSI eigene Erkenntnisse über potenziell betroffene deutsche Systeme hat.

KRITIS-Relevanz: Warum MDM-Infrastruktur kritisch ist

Ivanti EPMM ist in Deutschland weit verbreitet als Mobile Device Management-Lösung für Behörden, Gesundheitseinrichtungen und KRITIS-Betreiber. Ein kompromittierter MDM-Server ist kein isoliertes Problem – er ist das zentrale Steuerungssystem für alle verwalteten mobilen Endgeräte einer Organisation.

Was Angreifer mit Zugang zum MDM-Server erreichen können: Konfigurationsprofile für Geräte pushen (VPN, E-Mail, Zertifikate), Apps auf allen Geräten verwalten, Geräte remote löschen oder sperren, Netzwerkzugangsdaten extrahieren die auf Geräten konfiguriert sind. Für KRITIS-Betreiber bedeutet das: ein kompromittierter MDM-Server ist ein Zugang zu allen verwalteten Endgeräten – und potenziell zum Netz dahinter.

NHS England wurde als eines der ersten betroffenen Systeme identifiziert. In Deutschland hat das BSI die Warnung 2026-221601-1032 ausgegeben und Betreiber von Ivanti EPMM zur sofortigen Prüfung aufgefordert. NIS2-Artikel 21 verpflichtet betroffene Organisationen zur zeitnahen Behebung bekannter kritischer Schwachstellen. Wer die Schwachstelle bis heute nicht gepatcht hat und Anzeichen einer Kompromittierung findet, unterliegt der NIS2-Meldepflicht mit 24h-Frühwarnung.

Was MDM-Betreiber jetzt tun müssen

Sofortige Maßnahmen

  • Ivanti EPMM auf aktuelle Version patchen (Patches seit 30.04.2026 verfügbar)
  • EPMM-Server aus dem Internet nehmen falls nicht sofort patchbar
  • REST-API-Logs auf unerwartete Requests prüfen (letzte 30 Tage)
  • Indicators of Compromise aus BSI-Warnung abgleichen

Mittelfristige Härtung

  • EPMM-Management-Interface auf dediziertes Management-VLAN einschränken
  • API-Zugang auf bekannte Admin-IPs limitieren
  • SIEM-Alert auf ungewöhnliche MDM-API-Calls einrichten
  • Incident-Response-Plan für MDM-Kompromittierung überprüfen

Für Organisationen die EPMM nicht sofort patchen können, ist die sofortige Netzsegmentierung der einzig akzeptable Workaround. Den Management-Port über das öffentliche Internet erreichbar zu lassen ist bei bekannter aktiver Exploitation keine vertretbare Option. KRITIS-Betreiber sollten außerdem prüfen ob EPMM in ihrem Meldepflichtkatalog als kritische Infrastrukturkomponente gelistet ist.

Quelle Fakten: Ivanti Security Advisory, BSI-Warnung 2026-221601-1032, Shadowserver Foundation April 2026, CISA KEV Catalog.

Häufige Fragen

Welche Ivanti EPMM-Versionen sind von den Zero-Days betroffen?

CVE-2025-4427 und CVE-2025-4428 betreffen alle Ivanti EPMM-Versionen vor dem Patch-Release vom 30. April 2026. Ivanti hat Patches für alle unterstützten Branches veröffentlicht. Nicht mehr im Support befindliche Versionen erhalten keinen Patch – hier ist sofortige Netzsegmentierung oder Migration die einzige Option.

Wie unterscheidet sich diese Warnung von früheren Ivanti-Warnungen?

Ivanti-Produkte waren bereits 2024 und 2025 mehrfach im Fokus aktiver Exploitation (Connect Secure, Policy Secure). Der Unterschied bei EPMM 2026: Die Exploitierung war ungewöhnlich schnell (24h), der Impact auf MDM-Infrastruktur ist besonders weitreichend und die gleichzeitigen Warnungen von BSI, CISA und NHS England deuten auf koordinierte Beobachtung hin.

Was sind die Indicators of Compromise (IoC) für CVE-2025-4427/4428?

Die spezifischen IoCs sind in der BSI-Warnung 2026-221601-1032 und im Ivanti Security Advisory gelistet. In den REST-API-Logs sollten ungewöhnliche Zugriffe auf authentifizierungspflichtige Endpunkte ohne gültige Session-Token auffallen. Shadowserver stellt zudem eine IP-Liste der bekannten Angreifer-Adressen zur Verfügung.

Müssen KRITIS-Betreiber den Vorfall melden?

Wenn die Schwachstelle ausgenutzt wurde (Anzeichen einer Kompromittierung) gilt NIS2-Meldepflicht: Frühwarnung ans BSI innerhalb von 24 Stunden nach Erkennung, vollständige Meldung innerhalb von 72 Stunden. Falls kein Hinweis auf erfolgreiche Exploitation vorliegt aber die Schwachstelle existiert, ist keine Meldung vorgeschrieben – aber ein Nachweis der Patchmaßnahmen ist empfehlenswert.

Wie kann ich prüfen ob mein EPMM-Server bereits kompromittiert wurde?

Analyse der REST-API-Access-Logs auf Anfragen an geschützte Endpunkte ohne valide Session-Token, unbekannte IP-Adressen oder ungewöhnliche Zeitstempel (z.B. 3-5 Uhr nachts). Prüfung auf neue Admin-Accounts, unautorisierte Konfigurationsänderungen und neue Zertifikate die über EPMM ausgerollt wurden. BSI und Ivanti stellen IoC-Listen bereit, die gegen die Logfiles abgeglichen werden sollten.

Quelle Titelbild: Pexels | Faktengrundlage: Ivanti Advisory, BSI, CISA, Shadowserver Foundation

Artikel drucken
Benedikt Langer

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor

Ein Magazin der Evernine Media GmbH