NCSC publiceert verbeterd script voor detectie van gehackte Ivanti-servers
Het Nationaal Cyber Security Centrum (NCSC) heeft in samenwerking met Ivanti een verbeterd script gepubliceerd om gehackte Ivanti Endpoint Manager Mobile (EPMM) servers te detecteren en roept Nederlandse organisaties op om het script uit te voeren. Onlangs werd bekend dat aanvallers erin waren geslaagd om in te breken op de Ivanti EPMM-servers van de Autoriteit Persoonsgegevens en Raad voor de rechtspraak. Ook meldde het NCSC dat het tijdens onderzoek ontdekte dat de EPMM-servers van meerdere organisaties zijn gehackt. Om organisaties te helpen bij het onderzoek naar hun EPMM-server publiceerde het NCSC in samenwerking met Ivanti een script.
Ivanti Endpoint Manager Mobile is een mobile management software engine waarmee mobile device management (MDM) mogelijk is. Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Een gecompromitteerde EPMM-server kan dan ook vergaande gevolgen hebben.
Vorige week kwam Ivanti met beveiligingsupdates voor twee actief aangevallen kwetsbaarheden in de oplossing. CVE-2026-1281 en CVE-2026-1340 laten een ongeauthenticeerde aanvaller op afstand code op kwetsbare servers uitvoeren. De impact van beide beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Sinds wanneer aanvallers misbruik van de problemen maken is niet bekendgemaakt. Ook het aantal getroffen klanten werd niet door Ivanti vermeld.
Organisaties die van Ivanti EPMM gebruikmaken kunnen met het scanscript van het NCSC kijken of hun server is gecompromitteerd. "Op basis van de resultaten van het lopende onderzoek naar compromittatie van Ivanti EPMM systemen, heeft het NCSC in samenwerking met Ivanti een update op het scanscript (Exploitation Detection RPM Package) uitgebracht", zo laat het NCSC nu weten.
Het verbeterde script bevat nieuwe Indicators of Compromise, wat aanwijzingen van een gehackt systeem zijn. Daarnaast is ook de detectie van webshells verbeterd. Op gehackte EPMM-servers installeren de aanvallers een webshell, een programma waarmee toegang tot de server wordt behouden en verdere aanvallen zijn uit te voeren. Het NCSC stelt dat het belangrijk is om het verbeterde script uit te voeren, ook wanneer de eerste versie al is uitgevoerd. Als uit de scan blijkt dat de server is gehackt worden organisaties opgeroepen om contact op te nemen met het NCSC.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Architect IT/OT
Als Security Architect IT/OT geef jij richting aan de technische en architec-tonische inrichting van veilige IT- en OT-omgevingen. Je vertaalt bestaand beleid en wet- en regelgeving naar concrete, uitvoerbare ontwerpprincipes en bewaakt de samenhang tussen techniek, organi-satie en risico’s.
Information Security Manager IT/OT
Als Information Security Manager IT/OT zorg jij ervoor dat informatiebeveiliging binnen onze IT- en OT-omgevingen niet alleen op papier klopt, maar aantoonbaar werkt in de uitvoering. Je richt je op het veilig en betrouwbaar functioneren van operationele processen en draagt bij aan een volwassen, risicogestuurde be-veiliging van onze vitale infrastructuur.
Security Analist IT/OT
Als Security Analist IT/OT draag jij bij aan het verder professionaliseren van onze digitale weerbaarheid. Je bewaakt da-gelijks de veiligheid van onze IT- en OT-omgevingen en zorgt ervoor dat risico’s tijdig worden gesignaleerd en opgevolgd. Zo help je mee om vitale processen rondom water en onze kantoorauto-matisering betrouwbaar en veilig te laten functioneren.
