Twee Ivanti EPMM Zero-Day RCE-fouten actief uitgebuit, beveiligingsupdates uitgebracht

Cyberbeveiliging
Twee Ivanti EPMM Zero-Day RCE-fouten actief uitgebuit, beveiligingsupdates uitgebracht

Ivanti heeft beveiligingsupdates uitgerold om twee beveiligingsfouten aan te pakken die van invloed zijn op Ivanti Endpoint Manager Mobile (EPMM) en die zijn misbruikt bij zero-day-aanvallen. Eén daarvan is door de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus.

De kwetsbaarheden met kritieke ernst worden hieronder vermeld:

  • CVE-2026-1281 (CVSS-score: 9,8) – Een code-injectie waarmee aanvallers niet-geverifieerde code op afstand kunnen uitvoeren
  • CVE-2026-1340 (CVSS-score: 9,8) – Een code-injectie waarmee aanvallers niet-geverifieerde code op afstand kunnen uitvoeren

Ze zijn van invloed op de volgende versies –

  • EPMM 12.5.0.0 en ouder, 12.6.0.0 en ouder, en 12.7.0.0 en ouder (opgelost in RPM 12.x.0.x)
  • EPMM 12.5.1.0 en ouder en 12.6.1.0 en ouder (opgelost in RPM 12.x.1.x)

Er moet echter worden opgemerkt dat de RPM-patch een versie-upgrade niet overleeft en opnieuw moet worden toegepast als het apparaat wordt geüpgraded naar een nieuwe versie. De kwetsbaarheden zullen permanent worden verholpen in EPMM-versie 12.8.0.0, die later in het eerste kwartaal van 2026 zal worden uitgebracht.

“We zijn op de hoogte van een zeer beperkt aantal klanten wier oplossing is uitgebuit op het moment van bekendmaking”, zei Ivanti in een advies, eraan toevoegend dat het niet genoeg informatie heeft over de tactieken van de bedreigingsactoren om “betrouwbare atomaire indicatoren” te bieden.

Het bedrijf merkte op dat CVE-2026-1281 en CVE-2026-1340 invloed hebben op de interne applicatiedistributie en de Android File Transfer-configuratiefuncties. Deze tekortkomingen hebben geen invloed op andere producten, waaronder Ivanti Neurons for MDM, Ivanti Endpoint Manager (EPM) of Ivanti Sentry.

In een technische analyse zei Ivanti dat het doorgaans twee vormen van persistentie heeft gezien, gebaseerd op eerdere aanvallen gericht op oudere kwetsbaarheden in EPMM. Dit omvat het inzetten van webshells en reverse shells voor het instellen van persistentie op de gecompromitteerde apparaten.

“Succesvolle exploitatie van het EPMM-apparaat zal het uitvoeren van willekeurige code op het apparaat mogelijk maken”, aldus Ivanti. “Naast zijdelingse verplaatsing naar de verbonden omgeving bevat EPMM ook gevoelige informatie over apparaten die door het apparaat worden beheerd.”

Gebruikers wordt geadviseerd om het Apache-toegangslogboek op “/var/log/httpd/https-access_log” te controleren om te zoeken naar tekenen van poging tot of succesvolle exploitatie met behulp van het onderstaande reguliere expressiepatroon (regex) –

^(?!127.0.0.1:d+
.*$).*?/mifs/c/(aft|app)store/fob/.*?404

“Legitiem gebruik van deze mogelijkheden zal resulteren in 200 HTTP-antwoordcodes in het Apache-toegangslogboek, terwijl succesvolle of poging tot misbruik 404 HTTP-antwoordcodes zal veroorzaken”, aldus het rapport.

Daarnaast wordt klanten gevraagd het volgende te lezen om te zoeken naar enig bewijs van ongeautoriseerde configuratiewijzigingen:

  • EPMM-beheerders voor nieuwe of onlangs gewijzigde beheerders
  • Authenticatieconfiguratie, inclusief SSO- en LDAP-instellingen
  • Nieuwe push-applicaties voor mobiele apparaten
  • Configuratiewijzigingen van applicaties die u naar apparaten pusht, inclusief interne applicaties
  • Nieuw of recent gewijzigd beleid
  • Wijzigingen in de netwerkconfiguratie, inclusief eventuele netwerkconfiguratie of VPN-configuratie die u naar mobiele apparaten pusht

In het geval dat er tekenen van een compromittering worden gedetecteerd, dringt Ivanti er bij gebruikers ook op aan om het EPMM-apparaat te herstellen vanaf een bekende goede back-up of een vervangende EPMM te bouwen en vervolgens de gegevens naar het apparaat te migreren. Zodra de stappen zijn uitgevoerd, is het essentieel om de volgende wijzigingen aan te brengen om de omgeving te beveiligen:

  • Reset het wachtwoord van eventuele lokale EPMM-accounts
  • Stel het wachtwoord opnieuw in voor de LDAP- en/of KDC-serviceaccounts die zoekopdrachten uitvoeren
  • Trek het openbare certificaat dat voor uw EPMM wordt gebruikt in en vervang het
  • Reset het wachtwoord voor alle andere interne of externe serviceaccounts die zijn geconfigureerd met de EPMM-oplossing

De ontwikkeling heeft CISA ertoe aangezet CVE-2026-1281 aan de KEV-catalogus toe te voegen, waardoor de Federal Civilian Executive Branch (FCEB) -agentschappen de updates vóór 1 februari 2026 moeten toepassen.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Dankzij Google hebben uw fietstochten zojuist een AI-copiloot gekregen

De winst van Samsung in het vierde kwartaal van 2025 verdrievoudigd dankzij de vraag naar AI-chips

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]