NCSC publiceert verbeterd script voor detectie van gehackte Ivanti-servers

In dit artikel:

Het Nationaal Cyber Security Centrum (NCSC) heeft samen met leverancier Ivanti een geüpdatet detectiescript vrijgegeven waarmee organisaties kunnen onderzoeken of hun Ivanti Endpoint Manager Mobile (EPMM)‑servers zijn gekraakt. De oproep richt zich vooral op Nederlandse organisaties, nadat bekend werd dat onder meer de Autoriteit Persoonsgegevens en de Raad voor de rechtspraak getroffen werden en het NCSC tijdens onderzoek meerdere gehackte EPMM‑installaties aantrof.

Ivanti EPMM is een Mobile Device Management‑platform waarmee werkgevers mobiele devices en beleidsinstellingen centraal beheren; een geslaagde inbraak kan daarom ernstige gevolgen hebben. Ivanti bracht vorige week patches uit voor twee actief misbruikte kwetsbaarheden (CVE‑2026‑1281 en CVE‑2026‑1340) die ongeauthenticeerde remote code execution mogelijk maken. Beide lekken kregen een impactscore van 9,8; wanneer aanvallers begonnen met misbruik en hoeveel klanten precies geraakt zijn, is niet bekendgemaakt.

Het aangepaste NCSC‑script bevat nieuwe Indicators of Compromise (IoC’s) en verbeterde detectie van webshells — vaak gebruikte hulpmiddelen waarmee aanvallers blijvende toegang tot servers behouden. Het NCSC benadrukt dat organisaties het vernieuwde script moeten draaien, ook als ze een eerdere versie al hebben gebruikt. Vinden de controles sporen van compromittering, dan vraagt het NCSC contact op te nemen. Advies is daarnaast om zo snel mogelijk de door Ivanti uitgegeven updates te installeren en uitgebreid te scannen op webshells en andere nalatige sporen.