Ivanti waarschuwt organisaties voor twee actief aangevallen kwetsbaarheden in Endpoint Manager Mobile (EPMM) die remote code execution mogelijk maken en een ongeauthenticeerde aanvaller het systeem laten overnemen. Er zijn beveiligingsupdates uitgebracht om het probleem te verhelpen. Ivanti roept klanten op om de patches zo snel mogelijk te installeren. In het geval van een gehackte EPMM-server wordt aangeraden die niet op te schonen maar een restore uit te voeren.

Ivanti Endpoint Manager Mobile is een mobile management software engine waarmee mobile device management (MDM) mogelijk is. Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Een gecompromitteerde EPMM-server kan dan ook vergaande gevolgen hebben.

De twee aangevallen "code injection" kwetsbaarheden (CVE-2026-1281 en CVE-2026-1340) laten een ongeauthenticeerde aanvaller op afstand code op kwetsbare servers uitvoeren. De impact van beide beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Sinds wanneer aanvallers misbruik van de problemen maken is niet bekendgemaakt. Ook het aantal getroffen klanten wordt niet vermeld. Ivanti spreekt over een "klein aantal" klanten waarvan bekend is dat ze zijn gehackt, maar geeft geen aantallen.

"Succesvol misbruik van de EPMM-appliance maakt het uitvoeren van willekeurige code op de appliance mogelijk. Naast het lateraal bewegen naar de aangesloten omgeving, bevat EPMM ook gevoelige informatie over apparaten die door de appliance worden beheerd", aldus Ivanti. Het bedrijf adviseert klanten om hun logbestanden op de aanwezigheid van bash-commando's te controleren. In het geval van een gehackte EPMM-server wordt vanwege de complexiteit van het systeem aangeraden die niet op te schonen maar naar een bekende schone staat te restoren.