NCSC: meerdere organisaties via kritiek Ivanti EPMM-lek gehackt

In dit artikel:

Het Nationaal Cyber Security Centrum (NCSC) meldt dat meerdere organisaties zijn gehackt via kritieke kwetsbaarheden in Ivanti Endpoint Manager Mobile (EPMM). Vorige week werd al bekend dat onder meer de Autoriteit Persoonsgegevens en de Raad voor de rechtspraak getroffen waren; Ivanti bracht toen patches uit voor twee actief misbruikte lekken (CVE-2026-1281 en CVE-2026-1340) die ongeauthenticeerde remote code execution mogelijk maken en met een score van 9,8 als zeer ernstig zijn beoordeeld.

EPMM is een mobile device management-oplossing waarmee organisaties mobiele apparaten op afstand beheren; een gecompromitteerde server kan daarom toegang tot wachtwoorden, private keys, tokens en andere vertrouwelijke gegevens blootgeven en zo verdere inbreuken op het netwerk mogelijk maken. Veiligheidsbedrijf Defused constateerde dat aanvallers vaak een webshell installeren om blijvende toegang te behouden, zelfs als servers later gepatcht worden — mogelijk met de bedoeling die toegang door te verkopen.

Ivanti en het NCSC hebben samen een detectiescript uitgebracht waarmee organisaties kunnen controleren of hun EPMM-server is gecompromitteerd. Vindt het script indicaties van misbruik, dan raadt het NCSC aan het systeem te isoleren (niet uit te schakelen), gekoppelde apparaten onmiddellijk op misbruik te onderzoeken en alle vertrouwelijke gegevens zoals gebruikerswachtwoorden, private keys en toegangstokens te wijzigen. Omdat back-upconfiguraties ook gestolen kunnen zijn, adviseert het NCSC de EPMM-installatie volledig te herinstalleren en het netwerk en systeem intensief te monitoren. Organisaties met een vermoedelijke compromise wordt geadviseerd hun eigen CSIRT in te schakelen.

Het NCSC verwacht dat meerdere actoren van de kwetsbaarheid profiteren en waarschuwt dat het detectiescript geen volledige garantie biedt; daarom zijn continue monitoring en grondige herstelmaatregelen essentieel.