De Duitse overheid beschikt over technische informatie dat een kritieke kwetsbaarheid in Ivanti EPMM sinds de zomer van vorig jaar is misbruikt bij aanvallen. Op 29 januari dit jaar kwam Ivanti met beveiligingsupdates voor het probleem, aangeduid als CVE-2026-1281. Onlangs bleek dat ook de Ivanti EPMM-servers van de Autoriteit Persoonsgegevens (AP) en Raad voor de rechtspraak zijn gehackt.

Ivanti Endpoint Manager Mobile is een mobile management software engine waarmee mobile device management (MDM) mogelijk is. Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Een gecompromitteerde EPMM-server kan dan ook vergaande gevolgen hebben.

Tijdens het onderzoek naar de aanvallen ontdekte het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, dat misbruik al sinds de zomer van 2025 plaatsvindt. Organisaties die willen weten of hun Ivanti EPMM-server is gehackt moeten dan ook vanaf juli 2025 onderzoek doen, zo adviseert het BSI. Het Nederlandse Cyber Security Centrum (NCSC) kwam eerder al met verschillende scripts om gehackte Ivanti EPMM-servers te detecteren. Wat betreft het misbruik waarover de Duitse overheid bericht stelt het NCSC dat er vervolgonderzoek nodig is om vast te stellen of de EPMM-server bij deze aanvallen ook daadwerkelijk is gehackt.

De Duitse autoriteiten hebben code oranje voor de kwetsbaarheid afgegeven. Dit houdt in dat organisaties onmiddellijk maatregelen moeten nemen en het beveiligingslek tot een grote verstoring van de normale bedrijfsvoering kan leiden. Vorige week meldde The Shadowserver Foundation nog dat het een grote toename zag van het aantal pogingen waarbij werd geprobeerd het Ivanti-lek te misbruiken.