Aanvallers hebben meerdere organisaties via een kritieke kwetsbaarheid in Ivanti EPMM weten te hacken, zo laat het Nationaal Cyber Security Centrum (NCSC) vandaag weten. De Nederlandse overheidsinstantie heeft samen met Ivanti een script ontwikkeld waarmee organisaties gehackte EPMM-servers kunnen detecteren. Vorige week werd bekend dat aanvallers de EPMM-servers van de Autoriteit Persoonsgegevens en Raad voor de rechtspraak hebben gehackt. Een paar dagen eerder waarschuwde het NCSC al dat organisaties die gebruikmaken van EPMM ervan moeten uitgaan dat hun server is gehackt. Ook werden deze organisaties gevraagd om zich bij het NCSC te melden.

Ivanti Endpoint Manager Mobile is een mobile management software engine waarmee mobile device management (MDM) mogelijk is. Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Een gecompromitteerde EPMM-server kan dan ook vergaande gevolgen hebben.

Vorige week kwam Ivanti met beveiligingsupdates voor twee actief aangevallen kwetsbaarheden in de oplossing. CVE-2026-1281 en CVE-2026-1340 laten een ongeauthenticeerde aanvaller op afstand code op kwetsbare servers uitvoeren. De impact van beide beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Sinds wanneer aanvallers misbruik van de problemen maken is niet bekendgemaakt. Ook het aantal getroffen klanten werd niet door Ivanti vermeld.

Securitybedrijf Defused waarschuwt dat aanvallers een webshell op kwetsbare EPMM-servers installeren, maar geen verdere activiteit uitvoeren. Via een webshell kunnen aanvallers toegang tot gecompromitteerde servers behouden en verdere aanvallen uitvoeren, ook al worden de servers in de tussentijd gepatcht. Mogelijk wil de verantwoordelijke aanvaller de toegang tot de EPMM-servers aan andere partijen doorverkopen, aldus de onderzoekers van het bedrijf.

Meerdere organisaties gehackt

Het NCSC meldt vandaag dat het bij meerdere organisaties misbruik van het Ivanti-lek heeft vastgesteld. "Tijdens onderzoek naar misbruik van deze kwetsbaarheid blijkt dat onder andere de database op het Ivanti EPMM systeem wordt gekopieerd en geëxfiltreerd", aldus de overheidsinstantie. Om welker organisaties het gaat is niet bekendgemaakt. De gestolen database bevat informatie over de beheerde telefoon, zoals IMEI, telefoonnummer, locatie en SIM-gegevens, maar ook LDAP-gebruikers en Office365 toegangstokens en credentials.

"Daarom is het van belang dat alle vertrouwelijke gegevens die op het Ivanti EPMM systeem staan, zoals de wachtwoorden van alle gebruikers, private keys en toegangstokens, veranderd worden. Deze gegevens kunnen namelijk worden misbruikt om toegang tot andere systemen in het netwerk te verkrijgen", zo laat het NCSC verder weten. Ivanti meldt via het beveiligingsbulletin dat het samen met het Nederlandse NCSC een script heeft ontwikkeld om gehackte EPMM-servers te identificeren.

In het geval het script een hit oplevert wordt aangeraden het Ivanti EPMM-systeem te isoleren, maar niet uit te schakelen. Vervolgens moeten direct aan het Ivanti EPMM-systeem verbonden apparaten op misbruik worden gecontroleerd. Het NCSC acht het aannemelijk dat meerdere aanvallers misbruik van de kwetsbaarheid maken. "Verschillende actoren gebruiken mogelijk verschillende aanvalstechnieken. Het beschikbare script sluit misbruik niet volledig uit. Het is daarom van belang het netwerk en het systeem goed te monitoren."

Als laatste wordt aangeraden om de EPMM-machine opnieuw te installeren. Back-up configuraties kunnen volgens het NCSC ook worden buitgemaakt en zijn daardoor niet veilig. Verder is het verstandig om in het geval van een gehackte EPMM-server contact op te nemen met het eigen Computer Security Incident Response Team (CSIRT) .