Casus: kwetsbaarheden Ivanti EPMM systemen
Op deze pagina biedt het NCSC een overzicht van de ontwikkelingen rond de kwetsbaarheden in Ivanti EPMM systemen. We bieden hierin de publicatie van checkscripts die voorzien zijn van Indicators of Compromise (IoC’s)en aanvullende context waarbij we belichten dat het hier om een aanval gaat waarbij meerdere Nederlandse organisaties aangevallen zijn. Daarnaast deelt het NCSC aanvullende adviezen in het licht van het misbruik van deze kwetsbaarheden. Hiermee willen we organisaties aansporen en ondersteunen om hun digitale weerbaarheid verder te verhogen en zich op de juiste onderdelen van digitale veiligheid te richten.
Op 29 januari is het NCSC misbruik van twee Ivanti EPMM kwetsbaarheden op het spoor gekomen. Sindsdien doen we veel onderzoek naar dit misbruik.
In het kort
- Op 29 januari 2026 heeft Ivanti twee kritieke kwetsbaarheden (CVE-2026-1281 en CVE-2026-1340) verholpen in Ivanti Endpoint Manager Mobile (EPMM) en hiervoor patches beschikbaar gesteld.
- Beide kwetsbaarheden stellen een ongeauthenticeerde aanvaller op een vergelijkbare manier in staat om willekeurige code uit te voeren op het kwetsbare systeem.
- Een kwaadwillende kan na misbruik van de kwetsbaarheden toegang verkrijgen tot de MobileIron File Service (MIFS)-database van de Ivanti EPMM. Dit is de centrale database waar informatie staat opgeslagen zoals persoonsgegevens, IMEI-nummers, accountgegevens met versleutelde en gehashte wachtwoorden. De precieze data hangen af van de wijze waarop Ivanti EPMM is ingericht.
- De eerste signalen van misbruik die bij het NCSC bekend werden, gingen over misbruik dat op 28 januari 2026 heeft plaatsgevonden. Het is onduidelijk of dit misbruik succesvol was.
- Verder onderzoek wijst uit dat succesvol misbruik bij meerdere organisaties op 29 januari heeft plaatsgevonden.
- Tijdens forensisch onderzoek in februari 2026 is gebleken dat de kwetsbaarheden in Ivanti EPMM op een vergelijkbare manier in augustus 2025 al succesvol zijn misbruikt. De Duitse BSI (Federal Office for Information Security) beschrijft in een publicatie dat het indicaties heeft ontvangen die misbruik in augustus 2025 onderschrijven.
- Bij het aantreffen van Indicators of Compromise (IOC’s) van deze specifieke aanval is vervolgonderzoek nodig om vast te stellen of er daadwerkelijk compromittatie heeft plaatsgevonden. Neem in dat geval contact op met cert@ncsc.nl voor verdere ondersteuning.
- Op basis van de resultaten van het lopende onderzoek naar compromittatie van Ivanti EPMM systemen, heeft het NCSC in samenwerking met Ivanti een scanscript (Exploitation Detection RPM Package) uitgebracht.
Tijdlijn
12 februari 2026
Ivanti publiceert, in samenwerking met het NCSC, laatste versie van Exploitation Detection RPM Package op hun website met de oproep deze te gebruiken om mogelijk misbruik te onderkennen.10 februari 2026
Onderzoek wijst uit dat de kwetsbaarheden in Ivanti EPMM op vergelijkbare wijze zijn uitgebuit in augustus 2025.6 februari 2026
Ivanti stelt, in samenwerking met het NCSC, een scanscript beschikbaar waarmee organisaties kunnen scannen of hun Ivanti Endpoint Manager Mobile-omgeving mogelijk is misbruikt.4 februari 2026
Update nieuwsbericht met daarin handelingsperspectief gericht op een assume-breach scenario.- 2 februari 2026
Eerste nieuwsbericht met handelingsperspectief met betrekking tot patchen kwetsbaarheden.
29 januari 2026
Succesvolle compromittatie bevestigd en indicaties van exfiltratie op basis van data die verstuurd is naar de infrastructuur van kwaadwillende.
Kwetsbaarheden bekend, patch beschikbaar en NCSC beveiligingsadvies uitgebracht. Doelwit- en slachtoffernotificatie richting organisaties met kwetsbare Ivanti EPMM systemen.- 28 januari 2026
Waarneming van pogingen tot misbruik kwetsbaarheden. Indicaties van dit misbruik zijn aangetroffen bij het onderzoek dat in februari 2026 is uitgevoerd.
- Midden augustus 2025
Indicaties van pogingen tot misbruik die sterk lijken op het misbruik in januari 2026 (ontdekking hiervan vond pas in februari 2026 plaats).
Scanscript met Indicators of Compromise (IoC’s)
Het NCSC heeft in samenwerking met Ivanti een scanscript (Security Advisory Ivanti Endpoint Manager Mobile (EPMM) (CVE-2026-1281 & CVE-2026-1340) beschikbaar gesteld om technisch onderzoek te doen op de Ivanti EPMM omgeving. Dit scanscript stelt organisaties in staat om zelf onderzoek te doen naar mogelijke compromittatie van hun systemen.
Op 6 februari is een eerste versie uitgebracht. Inmiddels is deze geüpdatet. Gebruik voor onderzoek de meest actuele versie die op 12 februari gepubliceerd is.
In deze geüpdatet versie zijn nieuwe IoC's toegevoegd en is de detectie van webshells verbeterd. Het scanscript is in de vorm van een RPM package uitgegeven.
Het is van belang om het script uit te voeren, ook wanneer je de vorige versie hebt uitgevoerd. Wanneer de resultaten niet gewijzigd zijn ten opzichte van de laatste keer, hoef je geen actie te ondernemen. In het geval van nieuwe bevindingen vraagt het NCSC je om contact op te nemen via cert@ncsc.nl.
Situatie
Ivanti Endpoint Manager Mobile (EPMM): wat is het?
Ivanti EPMM is een softwareplatform dat door organisaties wordt gebruikt om mobiele apparaten (zoals telefoons, laptops en tablets) centraal te beheren en te beveiligen (Mobile Management). Denk aan het uitvoeren van beveiligingsinstellingen, het doorvoeren van organisatiebeleid of het op afstand kunnen wissen van devices bij verlies of diefstal. Hierdoor fungeert het als een centraal punt voor het beheer van iOS, iPadOS, Android, macOS en Windows-apparaten.
Kwetsbaarheden
Op 29 januari 2026 heeft Ivanti twee kritieke kwetsbaarheden (CVE-2026-1281 en CVE-2026-1340) verholpen in Ivanti EPMM en patches beschikbaar gesteld. Beide kwetsbaarheden stellen een ongeauthentiseerde aanvaller in staat om willekeurige code (ook bekend als Remote Code Execution; RCE) uit te voeren op een kwetsbaar systeem. Voor deze beide kwetsbaarheden heeft het NCSC op 29 januari 2026 een beveiligingsadvies gepubliceerd.
Onderzoek naar misbruik
We hebben contact met partijen waar mogelijk misbruik heeft plaatsgevonden. We blijven organisaties adviseren om zelf nader onderzoek te blijven doen.
Daarnaast betekent het patchen van een kwetsbaarheid niet dat het probleem is opgelost. Een kwaadwillende kan de eerder verkregen toegang tot een systeem behouden, ook nadat de kwetsbaarheid is gepatcht. Hierdoor blijft het risico op aanhoudend misbruik aanwezig doordat een kwaadwillende kan terugkeren op het eerder gecompromitteerde systeem. Daarom adviseert het NCSC om uit te gaan van het assume breach scenario.
Het NCSC heeft daarnaast aanwijzingen gevonden dat misbruik op een vergelijkbare manier al in augustus 2025 aan de orde was, de zogeheten zero-day-fase. Daarom is het van belang om het forensisch onderzoek uit te breiden vanaf augustus 2025 tot heden.
Duiding
Zero-day-misbruik van Ivanti EPMM systemen
Mogelijk hebben kwaadwillende al toegang verkregen tot de Ivanti EPMM systemen vanaf augustus 2025. We spreken daarom over een zero-day-aanval, aangezien de kwetsbaarheid is misbruikt voordat deze publiekelijk bekend werd gemaakt. Hierbij heeft een kwaadwillende mogelijk niet alleen toegang gekregen tot het Ivanti EPMM systeem, maar ook andere acties kunnen uitvoeren zoals het lokaliseren van gevoelige gegevens en de exfiltratie daarvan.
Assume breach
Door het misbruiken van onbekende kwetsbaarheden is het voor organisaties niet met zekerheid te zeggen dat het op tijd patchen van Ivanti EPMM systemen ook betekent dat er geen compromittatie heeft plaatsgevonden. Op basis van hiervan adviseren we om een assume breach-scenario te hanteren wanneer er gebruikgemaakt wordt van een Ivanti EPMM systeem. Met een assume breach wordt er van uitgegaan dat een aanval succesvol heeft plaatsgevonden en een aanvaller toegang heeft (gehad) tot het netwerk.
Misbruik na publicatie Proof-of-Concept exploit
We hebben sinds de publicatie van de Proof of Concept (PoC) exploit op 30 januari 2026, grootschalig (pogingen tot) misbruik waargenomen. We achten het waarschijnlijk dat het grotendeels of volledig opportunistisch misbruik betreft. Dit komt onder andere door de timing van deze pogingen. In onderstaande visualisatie hebben we het aantal tot misbruik weer gegeven. In de grafiek is een duidelijke toename te zien in het aantal pogingen na 30 januari.
Daarnaast kunnen we door forensisch onderzoek vaststellen dat er slachtoffers zijn waarbij de kwetsbaarheden op een andere manier en in een later stadium uitgebuit zijn dan tijdens de zero-day-fase.
Risico op misbruik
Exfiltratie gegevens MIFS-database
De MIFS-database bevat veel informatie over de digitale infrastructuur van een getroffen organisatie. Deze gegevens kunnen worden misbruikt door een aanvaller om verder in een netwerk te bewegen. Met de verkregen toegang tot de MIFS-database op het Ivanti EPMM systeem krijgt een kwaadwillende inzicht in een grote hoeveelheid (mogelijk gevoelige) gegevens.
In de MIFS-database staan gegevens zoals:
- accountgegevens met versleutelde en gehashte wachtwoorden;
- lidmaatschappen van Active Directory-groepen;
- tokens zoals Office 365 refresh en access tokens;
- persoonsgegevens;
- telefoonnummers;
- IMEI-nummers;
- Embedded Identity Document-nummers (EID);
- locatiegegevens (waaronder woon- en werklocaties);
- netwerkgegevens zoals IP- en MAC-adressen.
Het verschilt per organisatie en inrichting van Ivanti EPMM welke data precies zijn opgeslagen. Het NCSC adviseert organisaties om te inventariseren welke gegevens zijn opgenomen, om vervolgens op basis van een risicoanalyse mitigerende maatregelen te treffen.
Kans op beweging richting Ivanti Sentry
De twee kwetsbaarheden hebben niet direct betrekking op Ivanti Sentry. Echter is Ivanti Sentry nauw verbonden en afhankelijk van Ivanti EPMM. Ivanti adviseert daarom om ook te controleren op afwijkende of verdachte activiteit binnen Ivanti Sentry.
Ivanti Sentry fungeert als beveiligingsgateway tussen mobiele apparaten en de zakelijke back-end-systemen. Afhankelijk van de configuratie van EPMM kan deze toegang verlenen tot het Sentry systeem. Hierdoor kan compromittatie van het EPMM systeem kwaadwillende mogelijk toegang tot het Sentry systeem verschaffen. Met deze toegang kan een aanvaller mogelijk ook toegang krijgen tot gevoelige gegevens en/of een grote hoeveelheid achterliggende omgevingen.
Edge devices zijn een aantrekkelijk doelwit
Edge devices, zoals Ivanti EPMM, bevinden zich aan de rand van het netwerk en vormen een aantrekkelijk doelwit voor kwaadwillende. Hoewel edge devices vaak voorzien in de beveiliging van de rand van het netwerk blijkt de beveiliging van het edge device zelf vaak onderbelicht. Lees hier meer over de risico’s van edge devices en hoe je de weerbaarheid van edge devices verhoogt..
Handelingsperspectieven
Assume breach
Ga ervan uit dat – indien je gebruik hebt gemaakt van Ivanti EPMM – je gecompromitteerd bent en onderzoek de schade. Ga door met onderzoek totdat je hebt vastgesteld dat de integriteit van je systemen en netwerk weer hersteld is. Lees hier meer over het assume breach scenario.
Patch en update
Installeer de door Ivanti EPMM beschikbaar gestelde patches. Je vindt deze hier: Security Advisory Ivanti Endpoint Manager Mobile (EPMM) (CVE-2026-1281 & CVE-2026-1340).
Breng jezelf op de hoogte van de kwetsbaarheden door de informatie die Ivanti daarover heeft verstrekt in hun Analysis Guidance en Security Advisory: https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340.
Installeer zo snel mogelijk de laatste patches van Ivanti indien je dit nog niet hebt gedaan.
Scan op IoC’s
- Loop de logs van Ivanti EPMM en het SIEM na op sporen van compromittatie. Ga zo ver als mogelijk terug in de tijd, indien mogelijk tot en met augustus 2025. Monitor op Indicators of Compromise (IoC’s) en zoek ook in de logging naar IoC’s. Onderzoek ook Ivanti Sentry omdat aanvallers mogelijk lateraal kunnen bewegen naar Ivanti Sentry.
- Gebruik daarnaast het door NCSC en Ivanti ontwikkelde scanscript om jouw systeem te scannen op IoC’s.
Review de EPMM configuratie om te controleren of er wijzigingen zijn aangebracht. - Neem bij sporen van mogelijk misbruik contact op met het NCSC via cert@ncsc.nl.
Volg de berichtgeving van het NCSC
- Het NCSC doet actief onderzoek naar de kwetsbaarheden in Ivanti EPMM. Wil je meer weten hoe het NCSC je kan ondersteunen bij een cyberincident? Op deze pagina kun je meer informatie vinden over bijstand van het NCSC en het doen van een melding bij het NCSC.
- Bij het aantreffen van Indicators of Compromise (IOC’s) van misbruik van de genoemde kwetsbaarheden is vervolgonderzoek nodig om vast te stellen of er daadwerkelijk compromittatie heeft plaatsgevonden. Heb je een of meerdere IOC’s aangetroffen in jouw netwerk? Neem in dat geval contact op met cert@ncsc.nl voor verdere ondersteuning.
Indien gecompromitteerd
- Wanneer je sporen van compromittatie aantreft, ook bij twijfel, is het van belang het netwerk en het systeem goed te monitoren, en de logging van Ivanti EPMM systemen op een ander systeem veilig te stellen.
- Indien er sprake is van potentiële compromittatie, adviseert het NCSC ten zeerste om in contact te treden met jouw CSIRT.
- Daarna is het raadzaam om de machine opnieuw te installeren, doe dit in overleg met jouw CSIRT, mogelijk wis je hiermee belangrijk forensisch bewijs dat nog niet is veiliggesteld. Back-up configuraties kunnen ook worden buitgemaakt, dus deze zijn mogelijk ook niet veilig.
- Voer een risicobeoordeling uit op de gegevens.
Aanvallers hebben na een compromittatie waarschijnlijk toegang gekregen tot informatie in de MIFS-database. Hierin staan gegevens over alle gebruikers en de beheerde apparaten. Een aanvaller kan deze gegevens misbruiken voor toekomstige (gerichte) aanvallen. Voer daarom de volgende stappen uit om te achterhalen welke gegevens buit zijn gemaakt en wat daar de impact van is:- Onderzoek welke gegevens uit de MIFS-database aanwezig zijn en mogelijk buit zijn gemaakt.
- Onderzoek de impact. Denk aan risico’s op (spear)phishing, locatiegegevens, apparaatnummers zoals IMEI etc.
- Onderzoek de kans op misbruik van deze gegevens.
- Neem mitigerende maatregelen om risico’s te beheersen. Informeer getroffenen en wijs hen op de risico’s, trek verstrekte tokens in en overleg met je telecomprovider welke maatregelen aanvullend nodig zijn om misbruik op mobiele apparaten te verkleinen.
Versterk je weerbaarheid
Digitale weerbaarheid moet chefsache zijn. De gevolgen van misbruik van kwetsbaarheden gaan immers ook veel verder dan technische implicaties en beïnvloeden de fysieke leefomgeving. Het is cruciaal dat beslissingsbevoegden, zoals bestuurders en proceseigenaren, integraal betrokken zijn bij digitale weerbaarheid. Een vraag is of degenen die verantwoordelijk zijn voor de uitvoering het mandaat en de capaciteit hebben om digitale weerbaarheid naar een passend niveau te brengen. Technische maatregelen zijn slechts een deel van het verhaal: goed ingerichte governance, passend risicomanagement en een gezonde security-cultuur zijn evenzo randvoorwaardelijk. De basisprincipes van het NCSC leggen hier een fundament voor.
Weet wat je beschermt
Risicobeoordelingen zijn kritiek om effectief en efficiënt te investeren in digitale weerbaarheid. Zorg ervoor dat je jouw te beschermen belangen in kaart hebt. Prioriteer deze en bescherm ze met passende maatregelen. Denk hierbij aan technisch-gerichte maatregelen – zoals patch management, het verbeteren van je kwetsbaarhedenbeheer het toepassen van netwerksegmentatie en het hardenen van edge devices –, maar ook procesmatige en mensgeoriënteerde beheersmaatregelen. Zie digitale weerbaarheid daarbij niet als een one-off, maar beleef het als een cyclisch proces waar de gehele organisatie bij betrokken moet worden.
Wees voorbereid
Zorg er daarbij voor dat dat je jouw belangen niet alleen beschermt, maar er ook voor dat je klaar bent om digitale aanvallen te detecteren en hierop kan reageren. Om goed te kunnen reageren is forensic readiness nodig. Ook bij deze specifieke aanval helpen de maatregelen die in dat stuk voorgesteld worden zoals actoren die actief sporen kunnen wissen. Het beschikbaar hebben van logging stelt je in staat te onderzoeken of – en zo ja, hoe – jouw organisatie aangevallen is. Bereid je ook voor om na een eventuele compromittatie tijdig te kunnen herstellen.