NCSC waarschuwt Ivanti EPMM-klanten: ga ervan uit dat je bent gehackt en meld je

In dit artikel:

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt organisaties die Ivanti Endpoint Manager Mobile (EPMM) gebruiken ervan uit te gaan dat hun EPMM-server gecompromitteerd is en zich bij het NCSC te melden. EPMM is een mobile device management-oplossing waarmee beheerders mobiele apparaten en beleid op afstand beheren; een gekraakte server kan daardoor brede toegang tot bedrijfsapparaten en -data geven.

Ivanti bracht vorige week patches uit voor twee ernstig beoordeelde kwetsbaarheden (CVE-2026-1281 en CVE-2026-1340) die een ongeauthenticeerde aanvaller in staat stellen op afstand code uit te voeren. Beide lekken kregen een impactscore van 9,8/10. Ivanti heeft niet bekendgemaakt sinds wanneer de fouten worden misbruikt of hoeveel klanten zijn getroffen, maar het NCSC zegt dat misbruik veel wijdverbreider blijkt dan eerder gedacht en dat CVE-2026-1281 al als zero-day werd uitgebuit vóór de fixes.

Het NCSC benadrukt dat alleen patchen onvoldoende is wanneer een systeem al eerder is binnengedrongen: organisaties moeten een ‘assume-breach’-aanpak hanteren. Concreet raadt het NCSC aan naast het installeren van updates alle wachtwoorden van accounts op het systeem te wijzigen, gebruikte private keys te vervangen en het interne verkeer vanaf de EPMM-server te monitoren op tekenen van laterale beweging. Het NCSC biedt tevens aan om getroffen klanten van aanvullende informatie en advies te voorzien.

Onderzoeksorganisatie Shadowserver meldde dat ongeveer 1.600 EPMM-servers vanaf internet bereikbaar zijn, waarvan 38 in Nederland; het is niet bekend welke daarvan kwetsbaar zijn. Omdat Ivanti geen volledig beeld van de impact gaf, adviseert het NCSC terughoudendheid en grondig forensisch onderzoek bij alle EPMM-installaties.