NCSC waarschuwt Ivanti EPMM-klanten: ga ervan uit dat je bent gehackt en meld je
Het Nationaal Cyber Security Centrum (NCSC) waarschuwt organisaties die gebruikmaken van Ivanti Endpoint Manager Mobile (EPMM) dat ze ervan moeten uitgaan dat hun EPMM-server is gehackt. Ook worden deze organisaties gevraagd om zich bij het NCSC te melden.
Ivanti Endpoint Manager Mobile is een mobile management software engine waarmee mobile device management (MDM) mogelijk is. Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Een gecompromitteerde EPMM-server kan dan ook vergaande gevolgen hebben.
Vorige week kwam Ivanti met beveiligingsupdates voor twee actief aangevallen kwetsbaarheden in de oplossing. CVE-2026-1281 en CVE-2026-1340 laten een ongeauthenticeerde aanvaller op afstand code op kwetsbare servers uitvoeren. De impact van beide beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Sinds wanneer aanvallers misbruik van de problemen maken is niet bekendgemaakt. Ook het aantal getroffen klanten werd niet door Ivanti vermeld.
"Het NCSC adviseert gebruikers van Ivanti EPMM om er vanuit te gaan dat het systeem is gecompromitteerd en een ‘assume-breach’ scenario te volgen. Het was reeds bekend dat CVE-2026-1281, al voordat Ivanti patches beschikbaar heeft gesteld, misbruikt werd als zogenaamde zero-day kwetsbaarheid", zo laat het NCSC via de eigen website weten. De overheidsinstantie stelt dat inmiddels duidelijk is geworden dat misbruik veel breder heeft plaatsgevonden dan eerder bekend was.
"Gebruikers van Ivanti EPMM moeten ervan uitgaan dat het systeem al was gecompromitteerd voorafgaand aan het installeren van de patch. Patchen verhelpt deze voorafgaande compromittatie niet. Daarom adviseren we om het ‘assume breach’-scenario te volgen", gaat het NCSC verder. Ivanti EPMM-klanten krijgen het advies om, naast het installeren van de updates, alle wachtwoorden van accounts die op het systeem aanwezig zijn te veranderen, de private keys die op het systeem in gebruik zijn te veranderen en het interne verkeer dat vanaf het systeem komt te monitoren op mogelijk laterale beweging.
Het NCSC komt naar eigen zeggen graag in contact met Ivanti EPMM-klantgen, om hen zo mogelijk van aanvullende informatie en handelingsperspectief te voorzien. The Shadowserver Foundation waarschuwde eerder deze week op basis van eigen onderzoek dat zo'n zestienhonderd EPMM-servers vanaf het internet toegankelijk zijn, waarvan 38 in Nederland. Het is onbekend of deze servers ook kwetsbaar zijn.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?