De Nederlandse Rechtspraak is slachtoffer van een incident waarbij aanvallers toegang hebben gehad tot personeelsgegevens. Een kwetsbaarheid in Ivanti-software ligt aan de basis. Werknemers kunnen bepaalde applicaties niet meer gebruiken op hun mobiele apparaten.
Dat laat de Rechtspraak weten aan Tweakers. Aanvallers hebben toegang gehad tot een database met voor- en achternamen, zakelijke telefoonnummers en e-mailadressen van werknemers. Dit is mogelijk via een actief misbruikte kwetsbaarheid in Ivanti Endpoint Manager Mobile. De organisatie gebruikt deze software voor het beheren en beveiligen van mobiele telefoons en iPads.
De Rechtspraak kwam het incident op het spoor na een melding van het Nationaal Cyber Security Centrum. Op het intranet waarschuwt de organisatie medewerkers dat het systeem dat veel overheidsorganisaties gebruiken is misbruikt. Voor het onderzoek heeft de Rechtspraak een extern bedrijf ingeschakeld.
NCSC waarschuwde eerder deze week
Het gaat om kwetsbaarheid CVE-2026-1281, een bug in Ivanti Endpoint Manager met een CVSS-score van 9.8. Eerder deze week waarschuwde het NCSC al dat deze actief werd misbruikt. “Gebruikers van Ivanti EPMM moeten ervan uitgaan dat het systeem al was gecompromitteerd voorafgaand aan het installeren van de patch”, schrijft NCSC. “Patchen verhelpt deze voorafgaande compromittatie niet. Daarom adviseren we om een ‘assume breach’-scenario te volgen.”
Het NCSC roept organisaties die Ivanti EPMM gebruiken op zich te melden. De kwetsbaarheid maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand code uit te voeren op kwetsbare servers.
Microsoft 365 tijdelijk niet beschikbaar
De gevolgen voor werknemers zijn direct merkbaar. Ze kunnen bepaalde applicaties, met name Microsoft 365-apps, niet meer gebruiken op smartphones en tablets. De software werkt nog wel op laptops. Ook specifieke software voor de organisatie, zoals Divos Rechtspraak en Digitaal Werkdossier, is niet meer mobiel beschikbaar.
De Rechtspraak voert nu versneld een geplande migratie door. Dit jaar zou al een overstap worden gemaakt van Ivanti naar alternatieve software, namelijk Intune van Microsoft. Dat systeem wordt nu binnen twee weken uitgerold binnen de organisatie, naar aanleiding van het incident.
De Rechtspraak is niet de enige Nederlandse overheidsinstantie die is getroffen. Ook de Autoriteit Persoonsgegevens heeft te maken gehad met een incident op de Ivanti-server door dezelfde kwetsbaarheden.
Tip: Nalatig patchbeleid leidt tot massale exploitaties Ivanti-hardware