Aanvallers hebben ingebroken op een systeem dat de Europese Commissie gebruikt voor het beheer van mobiele apparaten van medewerkers, en daarbij is mogelijk ook informatie van personeel buitgemaakt, zo laat Brussel zelf weten. Om welk systeem het precies wordt niet door de Europese Commissie gemeld, maar de waarschuwing verscheen op dezelfde dag dat bekend werd dat de Autoriteit Persoonsgegevens (AP) en Raad voor de rechtspraak waren gehackt via een kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM). Dit is een oplossing voor het beheer van mobiele apparaten.

In de verklaring van afgelopen vrijdag stelt de Europese Commissie dat er op 30 januari op het beheersysteem sporen van een cyberaanval waren aangetroffen. Daarbij zou er mogelijk toegang zijn verkregen tot namen en telefoonnummers van sommige medewerkers. Eerder bleek dat de aanvallers achter de aanval op de AP en Raad voor de rechtspraak precies dezelfde informatie hadden bemachtigd. Volgens Brussel was het systeem binnen negen uur opgeschoond en zijn er voor zover bekend geen telefoons of andere mobiele apparaten van medewerkers gehackt. Verdere details zijn niet gegeven.

Ivanti Endpoint Manager Mobile is een mobile management software engine waarmee mobile device management (MDM) mogelijk is. Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Een gecompromitteerde EPMM-server kan dan ook vergaande gevolgen hebben.

Onlangs kwam Ivanti met beveiligingsupdates voor twee actief aangevallen kwetsbaarheden in de oplossing. CVE-2026-1281 en CVE-2026-1340 laten een ongeauthenticeerde aanvaller op afstand code op kwetsbare servers uitvoeren. De impact van beide beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Al voor het uitkomen van de patches vindt misbruik van de kwetsbaarheden plaats. Sinds wanneer precies is niet bekendgemaakt en ook het aantal getroffen klanten werd niet door Ivanti vermeld.