De Amerikaanse autoriteiten waarschuwen voor actief misbruik van een kwetsbaarheid in Ivanti Endpoint Manager (EPM). Het gaat om een authentication bypass kwetsbaarheid waardoor een ongeauthenticeerde aanvaller op afstand toegang kan krijgen tot specifieke opgeslagen "credential data". Wat voor soort gegevens dit zijn laat Ivanti niet weten. Het bedrijf kwam op 9 februari met een beveiligingsupdate voor de kwetsbaarheid (CVE-2026-1603).

Via Ivanti Endpoint Manager kunnen organisaties laptops, smartphones en servers beheren, waaronder het installeren van software en updates. Dit wordt gedaan door middel van de EPM-server die met een agent op beheerde clients communiceert. Een gecompromitteerde EPM-server of administrator-account kan dan ook vergaande gevolgen hebben. Ivanti EPM is in het verleden meerdere keren doelwit geweest van aanvallen waarbij misbruik werd gemaakt van kwetsbaarheden waar op het moment van de aanval nog geen beveiligingsupdate voor beschikbaar was.

Op het moment dat Ivanti met de beveiligingsupdate kwam was het niet bekend met actief misbruik van het probleem. Veel details over de kwetsbaarheid werden niet door Ivanti gegeven, behalve dat de impact op een schaal van 1 tot en met 10 met een 8.6 is beoordeeld. Het Cybersecurity & Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security meldt nu dat aanvallers actief misbruik van het probleem maken, maar geeft geen details over de waargenomen aanvallen. Amerikaanse overheidsinstanties die met Ivanti EPM werken zijn door het CISA opgedragen om de update binnen twee weken te installeren.