Ivanti heeft vijf kwetsbaarheden verholpen in Endpoint Manager Mobile (EPMM). Eén ervan, CVE-2026-6973, wordt actief misbruikt door aanvallers met adminrechten. Het Nederlandse NCSC heeft het advies op prioriteit ‘hoog’ gezet en verwacht dat snel Proof-of-Concept-code verschijnt, waardoor de kans op grootschalig misbruik toeneemt.
Ivanti meldt dat het misbruik beperkt bleef tot een klein aantal gebruikers. Klanten die in januari hun inloggegevens al vernieuwden, lopen aanzienlijk minder risico.
Naast CVE-2026-6973 zijn vier andere lekken gedicht. CVE-2026-5786 stelt een geauthenticeerde aanvaller in staat om beheertoegang te verkrijgen. Gevaarlijker zijn de drie kwetsbaarheden die geen authenticatie vereisen. CVE-2026-5788 maakt remote code execution mogelijk voor niet-geauthenticeerde aanvallers. CVE-2026-5787 laat een aanvaller zich voordoen als een geregistreerd Sentry-systeem om CA-ondertekende clientcertificaten te bemachtigen. CVE-2026-7821 biedt toegang tot gevoelige gegevens via het registreren van een apparaat bij een set niet-geregistreerde apparaten.
PoC-code verwacht, grootschalig misbruik dreigt
Het NCSC verwacht dat op korte termijn Proof-of-Concept-code publiek beschikbaar komt, wat de kans op grootschalig misbruik aanzienlijk vergroot. Eerder adviseerde het NCSC Nederlandse organisaties die EPMM gebruiken al om een ‘assume breach’-scenario te hanteren na misbruik in januari 2026. Organisaties worden dringend aangeraden de beschikbare patches te installeren.
In februari 2026 werd de Rechtspraak getroffen door een Ivanti-lek, waarbij medewerkers tijdelijk geen toegang hadden tot applicaties op mobiele apparaten. Kort daarna werd ook de Dienst Justitiële Inrichtingen getroffen door een cyberincident dat via een kwetsbaarheid in EPMM verliep.