Rijkslogo, link naar home
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Kwetsbaarheden in Ivanti EPMM 

Lees de alert met tijdlijn, scanscript, duiding en handelingsperspectieven.

Update: geüpdatet scanscript beschikbaar voor kwetsbaarheid in Ivanti Endpoint Manager Mobile

Cyber alerts
02 februari 2026
Update: 12 februari 2026

Er is actief misbruik geconstateerd van een kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM), voorheen Mobile Iron. Geadviseerd wordt om ervan uit te gaan dat het systeem is gecompromitteerd en een ‘assume-breach’-scenario te volgen. Het NCSC roept organisaties die deze software gebruiken op om contact op te nemen.

Update 12-02-2026

Op basis van de resultaten van het lopende onderzoek naar compromittatie van Ivanti EPMM systemen, heeft het NCSC in samenwerking met Ivanti een update op het scanscript (Exploitation Detection RPM Package) uitgebracht. In deze geupdate versie zijn nieuwe IoC's toegevoegd en is de detectie van webshells verbeterd. Het scanscript wordt in de vorm van een RPM package uitgegeven en is hier te vinden.

Het is van belang om het script uit te voeren, ook wanneer je de vorige versie hebt uitgevoerd. Wanneer de resultaten niet gewijzigd zijn ten opzichte van de laatste keer, hoef je geen actie te ondernemen. In het geval van nieuwe bevindingen vraagt het NCSC je om contact op te nemen via cert@ncsc.nl.

Einde update

Update 09-02-2026

Het NCSC heeft bij meerdere organisaties misbruik vastgesteld van de kwetsbaarheid met kenmerk CVE-2026-1281. Tijdens onderzoek naar misbruik van deze kwetsbaarheid blijkt dat onder andere de database op het Ivanti EPMM systeem wordt gekopieerd en geëxfiltreerd. Deze wijze van misbruik vertoont overeenkomsten met misbruik van eerdere kwetsbaarheden in Ivanti. Het is niet duidelijk of het hier dezelfde actor betreft, maar het geeft wel inzicht in welke stappen er nodig zijn om gedegen onderzoek uit te voeren en om de juiste monitoring op te zetten bij het gebruik van een Ivanti EPMM syteem.

Een van de kenmerken die het NCSC heeft waargenomen is om de mifs database van de Ivanti EPMM de kopiëren en te downloaden. Deze database bevat informatie over de gebruikte apparaten, zoals IMEI, telefoonnummer, locatie en SIM details, maar ook LDAP-gebruikers en Office365 toegangstokens en credentials. Daarom is het van belang dat alle vertrouwelijke gegevens die op het Ivanti EPMM systeem staan, zoals de wachtwoorden van alle gebruikers, private keys en toegangstokens, veranderd worden. Deze gegevens kunnen namelijk worden misbruikt om toegang tot andere systemen in het netwerk te verkrijgen.

Het NCSC raadt daarom met klem het volgende aan, indien het beschikbaar gestelde script hits oplevert:

•    Isoleer het Ivanti EPMM systeem, maar schakel het systeem niet uit. Het uitschakelen van het systeem kan belangrijke sporen wissen. Het NCSC heeft geobserveerd dat in ieder geval een actor zijn sporen wist.

•    Controleer direct aan het Ivanti EPMM systeem verbonden systemen op misbruik. De gegevens in de database van het Ivanti EPMM systeem kunnen worden misbruikt om verdere toegang tot het netwerk te verkrijgen. Daarom is het aan te raden om verdachte inlogpogingen op de Office365 en cloudomgeving extra te monitoren, maar ook verdachte verbindingen van elders in het netwerk kritisch te bekijken.

•    Het NCSC acht het aannemelijk dat meerdere actoren misbruik maken van de kwetsbaarheid. Verschillende actoren gebruiken mogelijk verschillende aanvalstechnieken. Het beschikbare script sluit misbruik niet volledig uit. Het is daarom van belang het netwerk en het systeem goed te monitoren, en de logging van Ivanti EPMM systemen op een ander systeem veilig te stellen.

•    Om compromittatie verder te verhelpen is het naast het wijzigen van de potentieel gelekte gegevens, raadzaam om de machine opnieuw te installeren. Back-up configuraties kunnen ook worden buitgemaakt, dus deze zijn mogelijk ook niet veilig.

•    Indien er sprake is van potentiële compromittatie, adviseert het NCSC ten zeerste om in contact te treden met jouw CSIRT.

•    Indien aanpalende systemen verdachte activiteit vertonen, is het raadzaam direct verdere actie te ondernemen om verder misbruik te voorkomen.

Einde update

Update 06-02-2026

Er is een Exploitation Detection RPM-pakket beschikbaar gesteld door Ivanti waarmee organisaties kunnen scannen of hun Ivanti Endpoint Manager Mobile-omgeving mogelijk is misbruikt. De tool scant systemen op bekende indicatoren van kwaadwillende activiteit en ondersteunt meerdere EPMM-versies. 

De uitkomsten moeten samen met het eigen securityteam worden beoordeeld, omdat het ontbreken van indicatoren geen volledige zekerheid biedt. Samen met Ivanti hebben we een belangrijke bijdrage geleverd aan de ontwikkeling van dit script. 

Klik hier voor het script met bijbehorende instructies

Update 04-02-2026

Aanvullende informatie

Inmiddels is duidelijk geworden dat dit misbruik veel breder heeft plaatsgevonden dan eerder bekend was. Gebruikers van Ivanti EPMM moeten ervan uitgaan dat het systeem al was gecompromitteerd voorafgaand aan het installeren van de patch. Patchen verhelpt deze voorafgaande compromittatie niet. Daarom adviseren we om een 'assume breach’-scenario te volgen.

Bovendien verwijdert de actor mogelijk de sporen van compromittatie na het misbruik, waardoor dit niet meer eenvoudig is vast te stellen.

Daarom is het advies:

  • Verander alle wachtwoorden van accounts die op het systeem aanwezig zijn.
  • Vernieuw de private keys die in gebruik zijn op het systeem.
  • Monitor het interne verkeer dat vanaf het systeem komt om te controleren op mogelijk laterale beweging. Lees meer over een assume-breach scenario.

Einde update

Oorspronkelijk bericht

Er was sprake van twee kwetsbaarheden in EPMM. Van CVE-2026-1281 is er bekend dat er actief misbruik heeft plaatsgevonden. Ivanti heeft de twee kwetsbaarheden verholpen en updates ter beschikking gesteld.  

Het NCSC vraagt organisaties contact op te nemen wanneer er gebruikgemaakt wordt van EPMM, omdat alleen updaten niet voldoende is wanneer misbruik al heeft plaatsgevonden. De actoren kunnen namelijk een achterdeur op het systeem hebben geplaatst.

Patch en neem contact op

Het NCSC adviseert organisaties die gebruik maken van Ivanti Endpoint Manager Mobile (EPMM) om zo snel mogelijk de beschikbaar gestelde updates uit te voeren. Daarnaast komen we graag in contact met deze organisaties. Het NCSC kan jouw organisatie mogelijk van aanvullende informatie en handelingsperspectief voorzien.   

Wat is het risico?

Het NCSC beschikt over informatie dat er sprake is van actief misbruik in Nederland. Ongeauthenticeerde kwaadwillende actoren kunnen willekeurige code uitvoeren op kwetsbare systemen. Daardoor wordt er persistente toegang tot het systeem verkregen en kunnen kwaadwillenden data stelen of controle over het systeem verkrijgen.

Neem contact op met het NCSC

Als er binnen jouw organisatie gebruik gemaakt wordt van bovenstaande Ivanti software, neem dan zo spoedig mogelijk contact met ons op via cert@ncsc.nl. Vermeld in de mail in ieder geval de patchdatum, het versienummer en de al ondernomen stappen met eventuele onderzoeksresultaten.

Als je niet zeker weet of jouw organisatie gebruik maakt van Ivanti EPMM of je twijfelt over de specifieke kwetsbare versies, vraag dit dan zo spoedig mogelijk na bij jouw IT-dienstverlener.

Bronnen

Bekijk meer cyber alerts
Bekijk andere Ivanti cyber alerts
Formulier
Heeft deze pagina je geholpen?