Casus: kwetsbaarheden Ivanti EPMM systemen
Op deze pagina biedt het NCSC een overzicht van de ontwikkelingen rond de kwetsbaarheden in Ivanti EPMM systemen. We bieden hierin de publicatie van checkscripts die voorzien zijn van indicators of compromise en aanvullende context waarbij we belichten dat het hier om een aanval gaat waarbij meerdere Nederlandse organisaties aangevallen zijn. Daarnaast deelt het NCSC aanvullende adviezen in het licht van het misbruik van deze kwetsbaarheden. Hiermee willen we organisaties aansporen en ondersteunen om hun digitale weerbaarheid verder te verhogen en zich op de juiste onderdelen van digitale veiligheid te richten.
Op 29 januari is het NCSC misbruik van twee Ivanti EPMM kwetsbaarheden op het spoor gekomen. Sindsdien is er veel onderzoek gedaan naar dit misbruik. Op dit moment is nog onzeker hoe omvangrijk het misbruik in Nederland is. Het NCSC blijft de situatie daarom onderzoeken.
In het kort
- Op 29 januari 2026 heeft Ivanti twee kritieke kwetsbaarheden (CVE-2026-1281 en CVE-2026-1340) verholpen in Ivanti Endpoint Manager Mobile (EPMM) en hiervoor patches beschikbaar gesteld.
- Beide kwetsbaarheden stellen een ongeauthenticeerde aanvaller op een vergelijkbare manier in staat om willekeurige code uit te voeren op het kwetsbare systeem.
- Een kwaadwillende kan na misbruik van de kwetsbaarheden toegang verkrijgen tot de MobileIron File Service (MIFS)-database van de Ivanti EPMM. Dit is de centrale database waar kritieke informatie staat opgeslagen (met o.a. persoonsgegevens, IMEI-nummers, accountgegevens met versleutelde en gehashte wachtwoorden). De precieze data hangen af van de wijze waarop Ivanti EPMM is ingericht.
- De eerste signalen van misbruik die bij het NCSC bekend werden, gingen over misbruik dat op 28 januari 2026 heeft plaatsgevonden. Het is onduidelijk of dit misbruik succesvol was.
- Verder onderzoek wijst uit dat succesvol misbruik bij meerdere organisaties op 29 januari heeft plaatsgevonden.
- Tijdens forensisch onderzoek in februari 2026 is gebleken dat de kwetsbaarheden in Ivanti EPMM op een vergelijkbare manier in augustus 2025 al succesvol zijn misbruikt. De Duitse BSI (Federal Office for Information Security) beschrijft in een publicatie dat het indicaties heeft ontvangen die misbruik in augustus 2025 onderschrijven. Bij het aantreffen van Indicators of Compromise (IOC’s) van deze specifieke aanval is vervolgonderzoek nodig om vast te stellen of er daadwerkelijk compromittatie heeft plaatsgevonden. Neem in dat geval contact op met cert@ncsc.nl voor verdere ondersteuning.
Het NCSC heeft in samenwerking met Ivanti een scanscript (Security Advisory Ivanti Endpoint Manager Mobile (EPMM) (CVE-2026-1281 & CVE-2026-1340) beschikbaar gesteld om technisch onderzoek te doen op de Ivanti EPMM omgeving. Dit scanscript stelt organisaties in staat om zelf onderzoek te doen naar mogelijke compromittatie van hun systemen.
Tijdlijn
2 februari 2026
Eerste nieuwsbericht met handelingsperspectief met betrekking tot patchen kwetsbaarheden.4 februari 2026
Update nieuwsbericht met daarin handelingsperspectief gericht op een assume-breach scenario.6 februari 2026
Ivanti stelt, in samenwerking met het NCSC, een scanscript beschikbaar waarmee organisaties kunnen scannen of hun Ivanti Endpoint Manager Mobile-omgeving mogelijk is misbruikt.10 februari 2026
Onderzoek wijst uit dat de kwetsbaarheden in Ivanti EPMM op vergelijkbare wijze zijn uitgebuit in augustus 2025.- 12 februari 2026
Ivanti publiceert, in samenwerking met het NCSC, laatste versie van Exploitation Detection RPM Package op hun website met de oproep deze te gebruiken om mogelijk misbruik te onderkennen.
28 januari 2026
Waarneming van pogingen tot misbruik kwetsbaarheden. Indicaties van dit misbruik zijn aangetroffen bij het onderzoek dat in februari 2026 is uitgevoerd.- 29 januari 2026
Succesvolle compromittatie bevestigd en indicaties van exfiltratie op basis van data die verstuurd is naar de infrastructuur van kwaadwillende.
Kwetsbaarheden bekend, patch beschikbaar en NCSC beveiligingsadvies uitgebracht. Doelwit- en slachtoffernotificatie richting organisaties met kwetsbare Ivanti EPMM systemen.
- Midden augustus 2025
Indicaties van pogingen tot misbruik die sterk lijken op het misbruik in januari 2026 (ontdekking hiervan vond pas in februari 2026 plaats).
Scanscript met Indicators of Compromise (IoC’s)
Op basis van de resultaten van het lopende onderzoek naar compromittatie van Ivanti EPMM systemen, heeft het NCSC in samenwerking met Ivanti een scanscript (Exploitation Detection RPM Package) uitgebracht. Let op: Op 6 februari is een eerste versie beschikbaar gesteld. Het is van belang om de laatste versie van 12 februari te gebruiken.
In deze geüpdatet versie zijn nieuwe IoC's toegevoegd en is de detectie van webshells verbeterd. Het scanscript wordt in de vorm van een RPM package uitgegeven en is hier te vinden.
Het is van belang om het script uit te voeren, ook wanneer je de vorige versie hebt uitgevoerd. Wanneer de resultaten niet gewijzigd zijn ten opzichte van de laatste keer, hoef je geen actie te ondernemen. In het geval van nieuwe bevindingen vraagt het NCSC je om contact op te nemen via cert@ncsc.nl.
Situatie
Ivanti Endpoint Manager Mobile (EPMM): wat is het?
Ivanti EPMM is een softwareplatform dat door organisaties wordt gebruikt om mobiele apparaten (zoals telefoons, laptops en tablets) centraal te beheren en te beveiligen (Mobile Management). Denk aan het uitvoeren van beveiligingsinstellingen, het doorvoeren van organisatiebeleid of het op afstand kunnen wissen van devices bij verlies of diefstal. Hierdoor fungeert het als een centraal punt voor het beheer van iOS, iPadOS, Android, macOS en Windows-apparaten.
Kwetsbaarheden
Op 29 januari 2026 heeft Ivanti twee kritieke kwetsbaarheden (CVE-2026-1281 en CVE-2026-1340) verholpen in Ivanti EPMM en patches beschikbaar gesteld. Beide kwetsbaarheden stellen een ongeauthentiseerde aanvaller in staat om willekeurige code (ook bekend als Remote Code Execution; RCE) uit te voeren op een kwetsbaar systeem. Voor deze beide kwetsbaarheden heeft het NCSC op 29 januari 2026 een beveiligingsadvies gepubliceerd.
Risico op misbruik
Het NCSC heeft misbruik van de twee kwetsbaarheden waargenomen en doet op dit moment verder onderzoek.
Sinds de publicatie van de Proof of Concept (PoC) exploit op 30 januari 2026, die gebruikt kan worden om de kwetsbaarheden uit te buiten, heeft het NCSC ook grootschalig (pogingen tot) misbruik waargenomen.
Het NCSC heeft contact met partijen waar mogelijk misbruik is geconstateerd. Dit neemt het belang van dat organisaties zelf nader onderzoek doen niet weg. Daarnaast betekent het patchen van een kwetsbaarheid niet dat het probleem is opgelost. Een kwaadwillende kan de eerder verkregen toegang tot een systeem behouden, ook nadat de kwetsbaarheid is gepatcht. Hierdoor blijft het risico op aanhoudend misbruik aanwezig doordat een kwaadwillende kan terugkeren op het eerder gecompromitteerde systeem. Daarom adviseert het NCSC om uit te gaan van het assume breach scenario.
Het NCSC heeft daarnaast aanwijzingen gevonden dat misbruik op een vergelijkbare manier al in augustus 2025 aan de orde was, de zogeheten zero-day fase. Daarom is het van belang om het forensisch onderzoek uit te breiden vanaf augustus 2025 tot heden.
Duiding
Zero-day misbruik van Ivanti EPMM systemen
Mogelijk hebben kwaadwillende actoren al toegang verkregen tot de Ivanti EPMM systemen vanaf augustus 2025. We spreken daarom over een zero-day aanval, aangezien de kwetsbaarheid is misbruikt voordat deze publiekelijk bekend werd gemaakt. Hierbij heeft een kwaadwillende actor mogelijk niet alleen toegang gekregen tot het Ivanti EPMM systeem, maar ook andere acties kunnen uitvoeren zoals het lokaliseren van gevoelige gegevens en de exfiltratie daarvan.
Door het misbruiken van onbekende kwetsbaarheden is het voor organisaties niet met zekerheid te zeggen dat het op tijd patchen van Ivanti EPMM systemen ook betekent dat er geen compromittatie heeft plaatsgevonden. Op basis van hiervan adviseert het NCSC om een assume breach-scenario te hanteren, indien de organisatie een Ivanti EPMM systeem gebruikt. Hierbij wordt ervan uitgegaan dat een aanval succesvol heeft plaatsgevonden en een aanvaller toegang heeft (gehad) tot het netwerk.
Exfiltratie gevoelige gegevens MIFS-database
De MIFS-database bevat veel informatie over de digitale infrastructuur van een getroffen organisatie. Deze gevoelige gegevens kunnen worden misbruikt door een aanvaller om verder in een netwerk te bewegen. Met de verkregen toegang tot de MIFS-database op het Ivanti EPMM systeem krijgt een aanvaller inzicht in een grote hoeveelheid (mogelijk gevoelige) gegevens.
In de MIFS-database staan gegevens zoals:
- accountgegevens met versleutelde en gehashte wachtwoorden;
- lidmaatschappen van Active Directory-groepen;
- tokens zoals Office 365 refresh en access tokens;
- persoonsgegevens;
- telefoonnummers;
- IMEI-nummers;
- Embedded Identity Document-nummers (EID);
- locatiegegevens (waaronder woon- en werklocaties);
- netwerkgegevens zoals IP- en MAC-adressen.
Het verschilt per organisatie en inrichting van Ivanti EPMM welke data precies zijn opgeslagen. Het NCSC adviseert organisaties om te inventariseren welke gegevens zijn opgenomen, om vervolgens op basis van een risicoanalyse mitigerende maatregelen te treffen.
Edge devices zijn een aantrekkelijk doelwit
Edge devices, zoals Ivanti EPMM, bevinden zich aan de rand van het netwerk en vormen een aantrekkelijk doelwit voor kwaadwillenden. Hoewel edge devices vaak voorzien in de beveiliging van de rand van het netwerk blijkt de beveiliging van het edge device zelf vaak onderbelicht. Lees hier meer over de risico’s van edge devices en hoe je de weerbaarheid van edge devices verhoogt.
Handelingsperspectieven
Assume breach
Ga ervan uit dat – indien je gebruik hebt gemaakt van Ivanti EPMM – je gecompromitteerd bent en onderzoek de schade. Ga door met onderzoek totdat je hebt vastgesteld dat de integriteit van je systemen en netwerk weer hersteld is. Lees hier meer over het assume breach scenario.
Patch en update
Installeer de door Ivanti EPMM beschikbaar gestelde patches. Je vindt deze hier: Security Advisory Ivanti Endpoint Manager Mobile (EPMM) (CVE-2026-1281 & CVE-2026-1340) .
Breng jezelf op de hoogte van de kwetsbaarheden door de informatie die Ivanti daarover heeft verstrekt in hun Analysis Guidance en Security Advisory: https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340.
Installeer zo snel mogelijk de laatste patches van Ivanti indien je dit nog niet hebt gedaan.
Scan op IoC’s
- Loop de logs van Ivanti EPMM en het SIEM na op sporen van compromittatie. Ga zo ver als mogelijk terug in de tijd, indien mogelijk tot en met augustus 2025. Monitor op Indicators of Compromise (IoC’s) en zoek ook in de logging naar IoC’s. Onderzoek ook Ivanti Sentry omdat aanvallers mogelijk lateraal kunnen bewegen naar Ivanti Sentry.
- Gebruik daarnaast het door NCSC en Ivanti ontwikkelde scanscript om jouw systeem te scannen op IoC’s.
Review de EPMM configuratie om te controleren of er wijzigingen zijn aangebracht. - Neem bij sporen van mogelijk misbruik contact op met het NCSC via cert@ncsc.nl.
Volg de berichtgeving van het NCSC
- Het NCSC doet actief onderzoek naar de kwetsbaarheden in Ivanti EPMM. Wil je meer weten hoe het NCSC je kan ondersteunen bij een cyberincident? Op deze pagina kun je meer informatie vinden over bijstand van het NCSC en het doen van een melding bij het NCSC.
- Bij het aantreffen van Indicators of Compromise (IOC’s) van misbruik van de genoemde kwetsbaarheden is vervolgonderzoek nodig om vast te stellen of er daadwerkelijk compromittatie heeft plaatsgevonden. Heb je een of meerdere IOC’s aangetroffen in jouw netwerk? Neem in dat geval contact op met cert@ncsc.nl voor verdere ondersteuning.
Indien gecompromitteerd
- Wanneer je sporen van compromittatie aantreft, ook bij twijfel, is het van belang het netwerk en het systeem goed te monitoren, en de logging van Ivanti EPMM systemen op een ander systeem veilig te stellen.
- Indien er sprake is van potentiële compromittatie, adviseert het NCSC ten zeerste om in contact te treden met jouw CSIRT.
- Daarna is het raadzaam om de machine opnieuw te installeren, doe dit in overleg met jouw CSIRT, mogelijk wis je hiermee belangrijk forensisch bewijs dat nog niet is veiliggesteld. Back-up configuraties kunnen ook worden buitgemaakt, dus deze zijn mogelijk ook niet veilig.
Voer een risicobeoordeling uit op de gegevens.
Aanvallers hebben na een compromittatie waarschijnlijk toegang gekregen tot informatie in de MIFS-database. Hierin staan gegevens over alle gebruikers en de beheerde apparaten. Een aanvaller kan deze gegevens misbruiken voor toekomstige (gerichte) aanvallen. Voer daarom de volgende stappen uit om te achterhalen welke gegevens buit zijn gemaakt en wat daar de impact van is:
1. Onderzoek welke gegevens uit de MIFS-database aanwezig zijn en mogelijk buit zijn gemaakt.
2. Onderzoek de impact. Denk aan risico’s op (spear)phishing, locatiegegevens, apparaatnummers zoals IMEI etc.
3. Onderzoek de kans op misbruik van deze gegevens.
4. Neem mitigerende maatregelen om risico’s te beheersen. Informeer getroffenen en wijs hen op de risico’s, trek verstrekte tokens in en overleg met je telecomprovider welke maatregelen aanvullend nodig zijn om misbruik op mobiele apparaten te verkleinen.
Versterk je weerbaarheid
Digitale weerbaarheid moet chefsache zijn. De gevolgen van misbruik van kwetsbaarheden gaan immers ook veel verder dan technische implicaties en beïnvloeden de fysieke leefomgeving. Het is cruciaal dat beslissingsbevoegden, zoals bestuurders en proceseigenaren, integraal betrokken zijn bij digitale weerbaarheid. Een vraag is of degenen die verantwoordelijk zijn voor de uitvoering het mandaat en de capaciteit hebben om digitale weerbaarheid naar een passend niveau te brengen. Technische maatregelen zijn slechts een deel van het verhaal: goed ingerichte governance, passend risicomanagement en een gezonde security-cultuur zijn evenzo randvoorwaardelijk. De basisprincipes van het NCSC leggen hier een fundament voor.
Weet wat je beschermt
Risicobeoordelingen zijn kritiek om effectief en efficiënt te investeren in digitale weerbaarheid. Zorg ervoor dat je jouw te beschermen belangen in kaart hebt. Prioriteer deze en bescherm ze met passende maatregelen. Denk hierbij aan technisch-gerichte maatregelen – zoals patch management, het verbeteren van je kwetsbaarhedenbeheer het toepassen van netwerksegmentatie en het hardenen van edge devices –, maar ook procesmatige en mensgeoriënteerde beheersmaatregelen. Zie digitale weerbaarheid daarbij niet als een one-off, maar beleef het als een cyclisch proces waar de gehele organisatie bij betrokken moet worden.
Wees voorbereid
Zorg er daarbij voor dat dat je jouw belangen niet alleen beschermt, maar er ook voor dat je klaar bent om digitale aanvallen te detecteren en hierop kan reageren. Om goed te kunnen reageren is forensic readiness nodig. Ook bij deze specifieke aanval helpen de maatregelen die in dat stuk voorgesteld worden zoals actoren die actief sporen kunnen wissen. Het beschikbaar hebben van logging stelt je in staat te onderzoeken of – en zo ja, hoe – jouw organisatie aangevallen is. Bereid je ook voor om na een eventuele compromittatie tijdig te kunnen herstellen.