Beveiligingsonderzoekers meldden dat een grootschalige cybercampagne zich richt op systemen die draaien op Ivanti Endpoint Manager Mobile (EPMM), een veelgebruikt platform voor beheer van mobiele apparaten, na de onthulling van twee kritieke zero-day kwetsbaarheden. Aanvallers scannen het internet met tienduizenden IP-adressen om niet-gepatchte instanties van de software te identificeren en te misbruiken.
Ivanti maakte de kwetsbaarheden, getraceerd als CVE-2026-1281 en CVE-2026-1340, bekend op 29 januari 2026. Beide hebben ernstige scores die het risico van externe en niet-geauthenticeerde code-uitvoering op getroffen servers weerspiegelen. Proof-of-concept exploits werden direct na de onthulling openbaar gemaakt, wat leidde tot een snelle toename van scanning- en exploitatiepogingen door meerdere dreigingsactoren.
Dreigingsmonitoringgegevens tonen aan dat aanvallers op sommige dagen meer dan 28.000 verschillende IP-adressen verzamelden om kwetsbare EPMM-installaties te zoeken, met meer dan 39.000 verbindingen die werden geregistreerd tegen één enkele honeypot die werd gebruikt om kwaadaardige activiteiten te meten. Ter vergelijking: andere hoogprofielkwetsbaarheden trekken doorgaans scans aan van veel minder bronnen.
Beveiligingsorganisaties hebben honderden internetblootgestelde EPMM-systemen geïdentificeerd in Duitsland, de Verenigde Staten, het Verenigd Koninkrijk, Zwitserland, Hongkong, China, Frankrijk, Spanje, Nederland en Zweden. Veel meer installaties bestaan achter bedrijfsbrandmuren, waar ze beschermd zouden moeten zijn tegen directe internettoegang.
Afzonderlijke rapporten geven aan dat de kwetsbaarheden in verband zijn gebracht met bevestigde inbreuken in overheidssystemen in Europa. De Europese Commissie zei dat zij een cyberaanval heeft gedetecteerd en bevat op infrastructuur die verantwoordelijk is voor het beheer van mobiele apparaten van het personeel, en mogelijk toegang tot beperkte persoonlijke informatie mogelijk heeft gemaakt. Vergelijkbare aanvallen op overheidsinstanties in Finland en Nederland worden toegeschreven aan het uitbuiten van dezelfde tekortkomingen.
Ivanti adviseerde klanten en beheerders om noodpatches toe te passen en bracht richtlijnen en tools uit om mogelijke exploitatie te beoordelen. Patches werden kort na het onthullen van de fouten beschikbaar, en het bedrijf heeft organisaties aangemoedigd om de getroffen systemen onmiddellijk te updaten om compromittering te voorkomen.
Experts zeiden dat de snelle opkomst van massale exploitatie na publieke openbaarmaking de risico’s benadrukt die gepaard gaan met zero-day kwetsbaarheden in breed ingezette beheersoftware. EPMM-systemen worden gebruikt om beveiligingsbeleid af te dwingen, medewerkers te beheren en applicaties te leveren in iOS-, Android- en Windows-omgevingen. Als een aanvaller controle krijgt over zulke systemen, kan hij mogelijk gevoelige bedrijfsgegevens benaderen en kwaadaardige code onopgemerkt uitzetten.
Onderzoekers waarschuwen dat niet-gepatchte instanties blootgesteld blijven en dat voortdurende scans door kwaadwillenden waarschijnlijk zijn, tenzij beheerders hun netwerken beveiligen en de nieuwste updates toepassen. De campagne belicht bredere beveiligingsuitdagingen voor organisaties die afhankelijk zijn van apparaatbeheerplatforms voor operationele continuïteit en gegevensbescherming.