Rijkslogo, link naar home
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Update: NCSC roept organisaties op zich te melden bij gebruik van Ivanti Endpoint Manager Mobile

Cyber alerts
02 februari 2026
Update: 6 uur geleden

Er is actief misbruik geconstateerd van een kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM), voorheen Mobile Iron. Het NCSC  heeft naar aanleiding van deze kwetsbaarheid afgelopen vrijdag een H/H Advisory uitgebracht. Het NCSC roept organisaties die deze software gebruiken op om contact op te nemen. 

Update 04-02-2026

Aanvullende informatie

Het NCSC adviseert gebruikers van Ivanti EPMM om er vanuit te gaan dat het systeem is gecompromitteerd en een ‘assume-breach’ scenario te volgen. Het was reeds bekend dat CVE-2026-1281, al voordat Ivanti patches beschikbaar heeft gesteld, misbruikt werd als zogenaamde zero-day kwetsbaarheid.

Inmiddels is duidelijk geworden dat dit misbruik veel breder heeft plaatsgevonden dan eerder bekend was. Gebruikers van Ivanti EPMM moeten ervan uitgaan dat het systeem al was gecompromitteerd voorafgaand aan het installeren van de patch. Patchen verhelpt deze voorafgaande compromittatie niet. Daarom adviseren we om het ‘assume breach’-scenario te volgen.

Bovendien verwijdert de actor mogelijk de sporen van compromittatie na het misbruik, waardoor dit niet meer eenvoudig is vast te stellen.

Daarom adviseren we:

  • Verander alle wachtwoorden van accounts die op het systeem aanwezig zijn.
  • Vernieuw de private keys die in gebruik zijn op het systeem.
  • Monitor het interne verkeer dat vanaf het systeem komt om te controleren op mogelijk laterale beweging. Voor meer informatie over assume-breach kijk op: [https://www.ncsc.nl/assume-breach]

Einde update

Er was sprake van twee kwetsbaarheden in EPMM. Van CVE-2026-1281 is er bekend dat er actief misbruik heeft plaatsgevonden. Ivanti heeft de twee kwetsbaarheden verholpen en updates ter beschikking gesteld.  

Het NCSC vraagt organisaties contact op te nemen wanneer er gebruik wordt gemaakt van EPMM, omdat alleen updaten niet voldoende is wanneer misbruik al heeft plaatsgevonden. De actoren kunnen namelijk een achterdeur op het systeem hebben geplaatst.

Patch en neem contact op

Het NCSC adviseert organisaties die gebruik maken van Ivanti Endpoint Manager Mobile (EPMM) om zo snel mogelijk de beschikbaar gestelde updates uit te voeren. Daarnaast komen we graag in contact met deze organisaties. Het NCSC kan jouw organisatie mogelijk van aanvullende informatie en handelingsperspectief voorzien.   

Wat is het risico?

Het NCSC beschikt over informatie dat er sprake is van actief misbruik in Nederland. Ongeauthenticeerde kwaadwillende actoren kunnen een willekeurige code uitvoeren op kwetsbare systemen. Daardoor wordt er persistente toegang tot het systeem verkregen en kunnen kwaadwillenden data stelen of controle over het systeem verkrijgen.

Neem contact op met het NCSC

Als er binnen jouw organisatie gebruik gemaakt wordt van bovenstaande Ivanti software, neem dan zo spoedig mogelijk contact met ons op via cert@ncsc.nl. Vermeld in de mail in ieder geval de patchdatum, het versienummer en de al ondernomen stappen met eventuele onderzoeksresultaten.

Als je niet zeker weet of jouw organisatie gebruik maakt van Ivanti EPMM of twijfelt over de specifieke kwetsbare versies, vraag dit dan zo spoedig mogelijk na bij jouw IT-dienstverlener.

Bronnen

Formulier
Heeft deze pagina je geholpen?