Er is actief misbruik geconstateerd van een kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM), voorheen Mobile Iron. Geadviseerd wordt om ervan uit te gaan dat het systeem is gecompromitteerd en een ‘assume-breach’-scenario te volgen. Het NCSC roept organisaties die deze software gebruiken op om contact op te nemen.
Het NCSC heeft bij meerdere organisaties misbruik vastgesteld van de kwetsbaarheid met kenmerk CVE-2026-1281. Tijdens onderzoek naar misbruik van deze kwetsbaarheid blijkt dat onder andere de database op het Ivanti EPMM systeem wordt gekopieerd en geëxfiltreerd. Deze wijze van misbruik vertoont overeenkomsten met misbruik van eerdere kwetsbaarheden in Ivanti. Het is niet duidelijk of het hier dezelfde actor betreft, maar het geeft wel inzicht in welke stappen er nodig zijn om gedegen onderzoek uit te voeren en om de juiste monitoring op te zetten bij het gebruik van een Ivanti EPMM syteem.
Een van de kernmerken die het NCSC heeft waargenomen is om de mifs database van de Ivanti EPMM de kopiëren en te downloaden. Deze database bevat informatie over de gebruikte apparaten, zoals IMEI, telefoonnummer, locatie en SIM details, maar ook LDAP-gebruikers en Office365 toegangstokens en credentials. Daarom is het van belang dat alle vertrouwelijke gegevens die op het Ivanti EPMM systeem staan, zoals de wachtwoorden van alle gebruikers, private keys en toegangstokens, veranderd worden. Deze gegevens kunnen namelijk worden misbruikt om toegang tot andere systemen in het netwerk te verkrijgen.
Het NCSC raadt daarom met klem het volgende aan, indien het beschikbaar gestelde script hits oplevert:
• Isoleer het Ivanti EPMM systeem, maar schakel het systeem niet uit. Het uitschakelen van het systeem kan belangrijke sporen wissen. Het NCSC heeft geobserveerd dat in ieder geval een actor zijn sporen wist.
• Controleer direct aan het Ivanti EPMM systeem verbonden systemen op misbruik. De gegevens in de database van het Ivanti EPMM systeem kunnen worden misbruikt om verdere toegang tot het netwerk te verkrijgen. Daarom is het aan te raden om verdachte inlogpogingen op de Office365 en cloudomgeving extra te monitoren, maar ook verdachte verbindingen van elders in het netwerk kritisch te bekijken.
• Het NCSC acht het aannemelijk dat meerdere actoren misbruik maken van de kwetsbaarheid. Verschillende actoren gebruiken mogelijk verschillende aanvalstechnieken. Het beschikbare script sluit misbruik niet volledig uit. Het is daarom van belang het netwerk en het systeem goed te monitoren, en de logging van Ivanti EPMM systemen op een ander systeem veilig te stellen.
• Om compromittatie verder te verhelpen is het naast het wijzigen van de potentieel gelekte gegevens, raadzaam om de machine opnieuw te installeren. Back-up configuraties kunnen ook worden buitgemaakt, dus deze zijn mogelijk ook niet veilig.
• Indien er sprake is van potentiële compromittatie, adviseert het NCSC ten zeerste om in contact te treden met jouw CSIRT.
• Indien aanpalende systemen verdachte activiteit vertonen, is het raadzaam direct verdere actie te ondernemen om verder misbruik te voorkomen.
