Ivanti meldt actief misbruik van kwetsbaarheid in Endpoint Manager Mobile

[Captain Kirk]

Aanvallers maken actief misbruik van een kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM), zo waarschuwt Ivanti vandaag. Er zijn beveiligingsupdates beschikbaar om het probleem te verhelpen, maar misbruik van het probleem vond al plaats voordat patches beschikbaar waren. Begin dit jaar werd bekend dat een ander lek gebruikt was om de Ivanti EPMM-servers van meerdere Nederlandse overheidsinstanties te hacken, waaronder de Autoriteit Persoonsgegevens en Raad voor de Rechtspraak.

Ivanti Endpoint Manager Mobile is een mobile management software engine waarmee mobile device management (MDM) mogelijk is. Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Een gecompromitteerde EPMM-server kan dan ook vergaande gevolgen hebben. Het nu aangevallen beveiligingslek waarvoor Ivanti waarschuwt (CVE-2026-6973) maakt het mogelijk voor een aanvaller met admin-toegang om code op de server uit te voeren.

De kwetsbaarheid wordt veroorzaakt door 'improper input validation', aldus het beveiligingsbulletin van Ivanti, waarin geen verdere informatie staat. Het bedrijf meldt dat het met 'zeer beperkt misbruik' bekend is. Sinds wanneer de aanvallen plaatsvinden en hoeveel klanten zijn getroffen wordt niet gemeld. Wel laat Ivanti weten dat klanten minder risico op misbruik lopen als ze eerder gegeven advies hebben opgevolgd. In januari gaf Ivanti het advies aan klanten die via twee andere lekken (CVE-2026-1281 en CVE-2026-1340) waren gehackt om inloggegevens te wijzigen. Mogelijk dat de aanvallers bij deze aanvallen gestolen inloggegevens in combinatie met CVE-2026-6973 hebben gebruikt. Verder stelt Ivanti dat het geen indicators of compromise kan geven. Het gaat in dit geval om technische informatie waarmee organisaties kunnen kijken of ze zijn gehackt.

 

bron: https://www.security.nl