To kritiske zero-day-sårbarheder i Ivanti Endpoint Manager Mobile (EPMM) med en CVSS-score på 9.8 kompromitterede EU-Kommissionen, Finlands statslige IT-administration og to hollandske tilsynsmyndigheder i slutningen af januar 2026. Angrebet er et af de alvorligste mod europæisk offentlig infrastruktur i 2026 og bekræfter et mønster, som vestlige sikkerhedsmyndigheder har advaret om i årevis: Ivanti-produkter er en foretrukken angrebsvektor for statsnære hackere.
Sårbarhederne, katalogiseret som CVE-2026-1281 og CVE-2026-1340, muliggør uautoriseret fjernkørsel af kode på eksponerede EPMM-servere. Ingen adgangskode kræves. Ingen brugerinteraktion er nødvendig. Et enkelt HTTP-kald er nok til at overtage en organisations Mobile Device Management-infrastruktur og dermed kontrol over tusindvis af medarbejderenheder, virksomhedsnetværk og sensitive data.
To zero-days med CVSS 9.8: hvad gik galt hos Ivanti
Den 29. januar 2026 offentliggjorde Ivanti en sikkerhedsadvisory med nødpatches til to kritiske sårbarheder i EPMM. Begge fejl var allerede blevet udnyttet som zero-days i angreb mod rigtige organisationer inden patcherne overhovedet var tilgængelige. CISA tilføjede CVE-2026-1281 til sit Known Exploited Vulnerabilities (KEV)-katalog med en frist på den 1. februar 2026 for føderale amerikanske agenturer, to dage efter Ivantis disclosure.
CVE-2026-1281 stammer fra en fejl i ældre Bash-scripts, der bruges af Apache-webserveren til URL-omskrivning i EPMM-platformen. Angribere misbruger Bash’s aritmetiske ekspansionsfunktion via specialfremstillede HTTP-anmodninger mod endepunkterne appstore og aftstore, der er forbundet med app-distributionstjenester. Bash evaluerer og udfører de injicerede kommandoer med de rettigheder, Apache kører under.
CVE-2026-1340 er en separat kodeinjektion-sårbarhed, der ligeledes giver uautoriseret fjernkørsel af kode. Begge fejl bærer CVSS v3-scoren 9.8, der svarer til kritisk alvorlighedsgrad. Midlertidige RPM-patches (version 12.x.0.x eller 12.x.1.x afhængig af installeret version) tager sekunder at installere og kræver ingen nedetid. En permanent rettelse var planlagt til produktversion 12.8.0.0, forventet i Q1 2026.
Ivanti anbefalede, at alle eksponerede systemer behandles som potentielt kompromitterede, selv efter patching. Årsagen er klar: exploitkode til CVE-2026-1281 blev publiceret på GitHub kort efter Ivantis disclosure, og udnyttelsesaktiviteten eskalerede hurtigt til et niveau, som Shadowserver Foundation betegnede som en “massiv kampagne.”
Angrebet på EU-Kommissionen: 9 timer til at begrænse skaden
EU-Kommissionen bekræftede den 8. februar 2026, at dens “centrale infrastruktur til administration af mobile enheder” var blevet angrebet. Bruddet blev opdaget den 30. januar 2026, dagen efter Ivantis patchudgivelse, men inden mange organisationer nåede at implementere opdateringen. Kommissionen erklærede, at hændelsen var indeholdt inden for ni timer, og at ingen mobile enheder var blevet kompromitteret direkte.
Ifølge Kommissionens officielle erklæring kan medarbejdernes navne, arbejdsrelaterede e-mailadresser og telefonnumre have været tilgået af angriberne. Informationen er direkte anvendelig til målrettede phishing-angreb og social engineering mod EU-embedsmænd med adgang til følsomme politiske processer. Kommissionen identificerede ikke leverandøren i sin første offentlige erklæring, men sikkerhedsforskere og multiple medier bekræftede hurtigt linket til Ivanti EPMM.
Analysewebstedet LinkedIn Pulse citerede konsulent Lars Hilse for at præcisere den grundlæggende ironi: det er EU-Kommissionen, der håndhæver NIS2-direktivet og pålægger virksomheder millionbøder for utilstrækkelig cybersikkerhed, der selv var offer for en angrebsform, der burde have været mitigeret hurtigere. Kommissionens MDM-system lå eksponeret over internettet med en kritisk sårbarhed i mindst et døgn inden bruddet.
Finland mest ramt i Norden: op til 50.000 statsansatte eksponeret
Finlands statslige IT-leverandør Valtori oplyste den 30. januar 2026, at et brud i organisationens MDM-infrastruktur potentielt havde eksponeret arbejdsrelaterede oplysninger om op til 50.000 statsansatte. Det svarer til næsten to tredjedele af alle ansatte i den finske centralforvaltning. Valtori installerede den korrektive patch den 29. januar 2026, samme dag Ivanti frigav den, men angrebet var allerede sket som zero-day inden da.
Hændelsen er den hidtil kendte konsekvens af CVE-2026-1281 og CVE-2026-1340 med flest berørte individer. Den illustrerer en central udfordring ved MDM-platforme som EPMM: de administrerer enheder for hele en organisation, og et kompromis på selve MDM-serveren giver angriberne potentiel oversigt over al administreret mobilflåde, mulighed for at pushe konfigurationer til enheder og adgang til konfigurationsdata og netværksprofiler.
For de nordiske lande er Finlands situation en direkte advarsel. Danmark, Sverige og Norge har lignende statslige MDM-setups, og EPMM er bredt anvendt i den offentlige sektor i hele regionen. DNV’s Nordic Cyber Resilience-rapport fra 2026 viste, at Danmark oplevede 41 cyberhændelser i 2025, Sverige 60, Finland 44 og Norge 21. Valtori-bruddet er ikke inkluderet i disse tal, men illustrerer, at risikobilledet sandsynligvis er undervurderet.
Holland under pres: Datatilsyn og domstolsadministration kompromitteret
De nederlandske myndigheder sendte en officiel notifikation til parlamentet, hvori det fremgik, at både Autoriteit Persoonsgegevens (den hollandske Datatilsynsmyndighed, AP) og Raad voor de rechtspraak (Domstolsadministrationen, Rvdr) var kompromitteret via Ivanti EPMM-sårbarhederne. Bruddet eksponerede arbejdsrelaterede data, herunder navne, e-mailadresser og telefonnumre på ansatte.
At netop Datatilsynsmyndigheden er ramt er symbolsk ladet: AP er den instans, der håndhæver GDPR i Holland og kan udstede bøder for utilstrækkelig databeskyttelse. Hændelsen rejser spørgsmål om, i hvilken grad regulatorer og offentlige myndigheder efterlever de standarder, de stiller til private organisationer.
De hollandske myndigheder handlede hurtigt og informerede parlamentet skriftligt inden for kort tid efter opdagelsen. Netherlands NCSC (National Cyber Security Centre) samarbejdede med Ivanti om at udstede indikatorer for kompromittering (IOC’er) og et RPM-detektionsscript til hjælp for berørte organisationer globalt. Det hollandske NCSC var ifølge Ivantis advisory en central partner i den koordinerede respons.
Den tekniske angrebskæde: Bash-fejl bag kritisk sårbarhed
CVE-2026-1281 er teknisk set en fascinerende fejl, beskrevet af Hadrian.io-forskere som en “frankly terrifying abuse of Bash’s arithmetic expansion feature.” I Apache HTTP-serveren bruges en række ældre Bash-scripts til at håndtere URL-omskrivning i EPMM-platformen. Disse scripts anvender Bash’s $(( ))-konstruktion til aritmetiske operationer, men Bash evaluerer udtryk inden for disse konstruktioner og afvikler injicerede kommandoer direkte.
En angriber kan sende en specialfremstillet HTTP-anmodning til endepunkterne /appstore eller /aftstore. Bash evaluerer den injicerede kode som et aritmetisk udtryk og udfører de medfølgende kommandoer med de rettigheder, Apache kører under. Resultatet er uautoriseret fjernkørsel af kode, uden at der kræves brugerkonti, adgangskoder eller sessionsdata.
CVE-2026-1340 er en separat kodeinjektion-fejl med samme nettoeffekt: uautoriseret RCE. Horizon3.ai-forskere observerede, at begge fejl kan kombineres for at maksimere angrebsoverfladen. Et funktionelt proof-of-concept exploit til CVE-2026-1281 blev publiceret på GitHub kort efter Ivantis disclosure, hvilket kraftigt accelererede den brede udnyttelse.
92 kompromitterede systemer og massiv udnyttelseskampagne
Shadowserver Foundation, der monitorerer interneteksponerede sårbare systemer, rapporterede om 86 kompromitterede EPMM-instanser kort efter offentliggørelsen. Tallet steg hurtigt til 92, og Shadowservers CEO Piotr Kijewski beskrev situationen direkte som en “massiv kampagne” rettet mod CVE-2026-1281. Han forventede, at antallet af ofre ville fortsætte med at stige i de følgende dage, og beskrev det aktuelle tal som en undervurdering af det reelle omfang.
Rapid7 dokumenterede en klar eskalering i angrebsaktiviteten: et peak på 525 udnyttelsesforsøg den 5. februar 2026, efterfulgt af et gradvist fald til cirka 200 forsøg per 24 timer i de følgende dage. Trods dette fald forblev angrebsniveauet historisk højt for en enkelt CVE i enterprise-MDM-software.
Shadowserver estimerede, at omkring 1.300 EPMM-instanser stadig lå eksponeret over internettet på det tidspunkt, selv om det var uklart, hvor mange af disse var fuldt patchede og sårbare. Ivanti oplyste i sin advisory, at kun “et meget begrænset antal kunder” var kompromitteret på disclosure-tidspunktet, men dette tal undervurderede tydeligt situationens reelle omfang ifølge uafhængige sikkerhedsforskere.
Tabel 1: Kompromitterede europæiske myndigheder
| Organisation | Land | Opdaget | Data eksponeret | Berørt omfang |
|---|---|---|---|---|
| EU-Kommissionen | EU | 30. jan. 2026 | Navne, e-mails, telefonnumre | Ukendt antal medarbejdere |
| Valtori (statslig IT) | Finland | 30. jan. 2026 | Arbejdsrelaterede oplysninger | Op til 50.000 statsansatte |
| Autoriteit Persoonsgegevens (AP) | Holland | 29. jan. 2026 | Medarbejderdata | Ikke offentliggjort |
| Raad voor de rechtspraak (Rvdr) | Holland | 29. jan. 2026 | Medarbejderdata | Ikke offentliggjort |
| Øvrige ofre (Shadowserver) | Globalt | Jan-feb. 2026 | Varierer | 92 kompromitterede instanser |
Tabel 2: Teknisk oversigt over CVE-2026-1281 og CVE-2026-1340
| Parameter | CVE-2026-1281 | CVE-2026-1340 |
|---|---|---|
| CVSS v3-score | 9.8 (Kritisk) | 9.8 (Kritisk) |
| Type | Kodeinjektion via Bash-scripts | Kodeinjektion |
| Autentificering krævet | Nej | Nej |
| Brugerinteraktion krævet | Nej | Nej |
| Angrebsvektor | Netværk (HTTP) | Netværk (HTTP) |
| Disclosure | 29. januar 2026 | 29. januar 2026 |
| CISA KEV | Ja (frist 1. feb. 2026) | Ikke opgivet |
| Midlertidig patch | RPM 12.x.0.x/12.x.1.x | RPM 12.x.0.x/12.x.1.x |
| Permanent fix | Version 12.8.0.0 (Q1 2026) | Version 12.8.0.0 (Q1 2026) |
| PoC tilgængeligt | Ja (GitHub) | Ja |
Historisk kontekst: Ivanti og statshackere mod norsk og europæisk infrastruktur
Ivanti EPMM er ikke fremmed for statslige cyberangreb. Infosecurity Magazine dokumenterede, at platformen tidligere er blevet kompromitteret af aktører med tilknytning til kinesisk statshacking i angreb rettet mod den norske regering. Det danner en bekymrende historisk linje: Ivantis MDM-produkt har ved gentagne lejligheder vist sig at fungere som adgangsport til vestlige regeringsnetværk for statsnære hackere.
Mønstret er konsistent: høj CVSS-score, uautoriseret RCE, zero-day-udnyttelse inden patch, og offentlige institutioner som primære ofre. CISA og det britiske NCSC advarede gentagne gange om Ivantis produkter som foretrukne angrebsvektorer for statssponsorerede aktører i 2024 og 2025, herunder i forbindelse med Ivanti Connect Secure (VPN) og Policy Secure-produkterne.
For nordiske sikkerhedschefer burde dette mønster have ført til øget årvågenhed. At Valtori i Finland alligevel var sårbar, og at de hollandske tilsynsmyndigheder ikke formåede at reagere hurtigere, indikerer, at selv veludstyrte offentlige IT-organisationer kæmper med at håndtere zero-day-eksponeringen i realtid. Det er en strukturel udfordring, ikke kun en individuel fejl.
Globale advarsler: CISA, UK, Canada og Singapore reagerer
Udover CISA’s KEV-tilføjelse med frist den 1. februar 2026 reagerede en bred vifte af nationale sikkerhedsmyndigheder hurtigt. Det britiske NCSC, Canadas cybersikkerhedscenter (CCCS) og Singapores CSA udsendte alle advarsler om aktiv udnyttelse. Luxembourgs finansregulatorer CSSF advarede specifikt virksomheder i finanssektoren om den kritiske risiko.
Frankrigs nationale CERT, CERT-FR, udsendte en detaljeret teknisk alert (CERTFR-2026-ALE-001) med specifikke anbefalinger til berørte organisationer. Anbefalingerne inkluderede øjeblikkelig isolation af EPMM-systemer fra internettet, disk-snapshot til forensisk analyse, gennemgang af Apache-adgangslogfiler ved hjælp af Ivantis anbefalede regex-mønstre og nulstilling af samtlige LDAP-servicekodeord samt KDC-konti.
Ivanti frigav et RPM-detektionsscript i samarbejde med Netherlands NCSC samt indikatorer for kompromittering (IOC’er). Virksomheden anbefalede, at organisationer kørte den specifikke “Rapid Response”-test i kundeportalen for at vurdere CVE-2026-1281 og CVE-2026-1340-eksponeringen, og gennemførte testen igen efter patching for at bekræfte, at udnyttelse ikke længere var mulig.
Nordisk perspektiv: hvad risikerer danske organisationer
For Danmark er situationen særlig relevant af to grunde. For det første er Ivanti EPMM bredt anvendt i danske kommuner, regioner og statslige institutioner som MDM-løsning til administration af smartphones og tablets. For det andet viser DNV’s Nordic Cyber Resilience-rapport 2026, at uklar ejerskab af cybersikkerhed er Danmarks primære svaghed, når det gælder digital modstandsdygtighed.
Det betyder, at en organisation, der kører Ivanti EPMM, måske ikke klart ved, hvem der er ansvarlig for at reagere på en zero-day-advisory inden for de kritiske første timer. I dette angreb gik der for mange organisationer mere end 24 timer fra Ivantis patch-udgivelse til kompromittering var et faktum. Valtori patchede på selve disclosure-datoen, men bruddet var allerede sket inden da.
Danske virksomheder og myndigheder bør desuden notere sig, at CFCS (Center for Cybersikkerhed) ikke udgav en specifik advisory om CVE-2026-1281 og CVE-2026-1340 i samme hast som CISA og NCSC. Det understreger, at organisationer med Ivanti-produkter ikke kan vente på nationale myndigheders varsler, men selv må monitorere CISA KEV og leverandørers sikkerhedsadvarsories i realtid. Under NIS2 er dette ikke en anbefaling, men en forpligtelse.
Ekspertanalyse: gentagne Ivanti-fejl skader tilliden til MDM-platformen
Sikkerhedsforskere hos watchTowr var blandt de første til at analysere sårbarhederne i dybden. I deres analyse fra den 17. februar 2026 beskrev de zero-day-situationen som “endnu et kritisk slag mod Ivanti-kunder” og understregede, at “no authentication nor user interaction is required for exploitation.” Anbefalingen var entydig: alle eksponerede instanser skal behandles som aktivt kompromitterede, uanset om angribere faktisk har slået til.
Unit 42, Palo Alto Networks’ trusselsforskningsenhed, konkluderede i sin analyse, at sårbarhederne “grant full control over Mobile Device Management infrastructure, enabling lateral movement and access to sensitive data.” Det er en formulering, der præcist beskriver konsekvensen: angribere overtager ikke blot serveren, de overtager styringen med organisationens samlede mobilflåde og de netværksadgange, som enhederne er konfigureret med.
Shadowservers CEO Piotr Kijewski betegnede udnyttelsesaktiviteten mod CVE-2026-1281 som “massive” og forudsagde, at de 92 kompromitterede instanser ville vise sig at være en undervurdering. Hadrian.io-forskere tilføjede i en separat analyse, at brugen af Bash’s aritmetiske ekspansion som angrebsvektor er “frankly terrifying” som illustration af, at gammel, upåagtet kode kan skabe kritiske sårbarheder i moderne MDM-platforme, der administrerer titusindvis af enheder.
Konsulent Lars Hilse formulerede den bredere problemstilling i et LinkedIn Pulse-indlæg den 17. februar 2026: “The same regulatory body that’s been fining companies millions for security lapses couldn’t secure their own MDM infrastructure against a pair of zero-day vulnerabilities that were being actively exploited in the wild.” Han pegede på den grundlæggende modsigelse i, at EU-Kommissionen stiller høje krav til private virksomheder, men selv falder igennem i praksis.
Patching og incident response: handlingsplan for berørte organisationer
For organisationer der kører Ivanti EPMM er prioriteringslisten klar. Ivantis egne anbefalinger, understøttet af CISA, CERT-FR og Netherlands NCSC, peger på følgende trin i prioriteret rækkefølge:
- Identificer alle interneteksponerede EPMM-instanser øjeblikkeligt
- Anvend RPM-patchen 12.x.0.x eller 12.x.1.x afhængig af installeret version (installation tager sekunder og kræver ingen nedetid)
- Kør Ivantis Rapid Response-test for CVE-2026-1281 og CVE-2026-1340 fra kundeportalen
- Gennemgå Apache HTTPD-adgangslogfiler med Ivantis anbefalede regex-mønstre for at identificere eventuelle eksploiteringsforsøg
- Antag kompromittering, hvis systemet har været interneteksponeret inden patching. Udfør fuld forensisk undersøgelse
- Nulstil kodeord for alle lokale EPMM-konti samt LDAP- og KDC-servicekonti
- Tilbagekald og erstat offentlige certifikater konfigureret med EPMM
- Gennemgå nyoprettede eller modificerede administratorkonti, SSO/LDAP-indstillinger og netværkskonfigurationer i EPMM
- Gennemgå Ivanti Sentry-systemer for tegn på rekognoscering og lateral bevægelse
- Overvej at begrænse EPMM-adgang til interne netværk eller VPN i stedet for direkte interneteksponering
Organisationer, der ikke kan genoprette EPMM fra en ren backup, bør følge Ivantis anbefaling om at oprette en ny EPMM-instans og migrere data til den. Den permanente fix frigives i version 12.8.0.0. Frem til da er RPM-patcherne midlertidige og skal genanvendes ved versionsopgraderinger.
Markedsimplikationer: MDM-sektoren under pres
Ivanti-hændelserne i 2026 sætter selskabets markedsposition under alvorligt pres. EPMM konkurrerer primært mod Microsoft Intune, VMware Workspace ONE (nu Broadcom), Jamf og SOTI. Gentagne kritiske zero-days er rekrutteringsargumenter for konkurrenterne og en direkte udfordring for Ivantis salgsorganisation i den offentlige sektor, hvor genkøb og forlængelse af kontrakter nu bliver sværere at retfærdiggøre.
Check Points Cyber Security Report 2026 viste, at cyberangreb i Europa steg med 20 procent i 2025. Den stigning drives primært af to faktorer: statssponsorerede aktørers øgede aktivitet og det voksende angrebsareal fra enterprise-software som MDM-platforme, VPN-gateways og edge-enheder. Ivanti, Fortinet og Palo Alto har alle haft kritiske zero-days i 2025 og 2026 i netop disse produktkategorier.
For den nordiske offentlige sektor peger trenden mod en grundlæggende evaluering af, hvilke leverandører der er acceptable at stole på med administrativ adgang til kritisk infrastruktur. NIS2-direktivet, implementeret i EU i 2024, kræver, at organisationer vurderer forsyningskæderisici og leverandørers sikkerhedspraksis. Ivantis historik giver klart grundlag for forhøjet due diligence ved næste udbudsrunde.
5 forudsigelser for resten af 2026
- Yderligere Ivanti-produkter vil se kritiske CVE’er i 2026. Ivantis portefølje spænder over VPN-gateways (Connect Secure), NAC (Policy Secure) og EPMM. Mønstret fra de seneste tre år indikerer, at dette ikke er isolerede hændelser, men systematiske arkitekturproblemer med arvet legacy-kode, der kræver en grundlæggende gennemskrivning.
- Statlig attribution vil komme. Ivanti oplyste, at “en række forskellige trusselaktører” stod bag. Historiske paralleller til kinesiske statshackere og angrebet mod norske myndigheder, kombineret med angrebenes omfang mod EU-institutioner, peger på sandsynlig statslig involvering. En attributionsrapport forventes inden Q3 2026.
- Nordiske regeringer vil stille skærpede krav til leverandørsikkerhed. På baggrund af Valtori-bruddet vil Finland, og sandsynligvis Danmark, kræve dokumenteret sikkerhedscertificering og maksimale patching-tider for MDM-leverandører ved offentlige udbud. NIS2 giver det juridiske grundlag.
- EU-Kommissionen vil revidere sin MDM-strategi. Bruddet på Kommissionens mobile infrastruktur vil udløse interne revisioner. En bevægelse mod zero-trust-arkitektur og skærpet eksponeringskontrol for MDM-endepunkter er sandsynlig inden udgangen af 2026.
- Patch-tider i den offentlige sektor vil blive målt og rapporteret som compliance-krav. CISA’s KEV-model, med specifikke patching-frister, vil sprede sig til EU via NIS2-implementeringen. Organisationer, der ikke kan dokumentere patching inden for 72 timer efter en KEV-optagelse, risikerer at stå juridisk sårbare.
Relateret dækning
Læs mere om kritiske sårbarheder og nordisk cybersikkerhed
- cPanel CVE-2026-41940: CVSS 9.8, 1,5 Mio. Servere ramt af autentificeringsbypass
- Norden: 166 Cyberangreb i 2025, Lederskab er Svageste Led i den Digitale Forsvarsevne
- NIS2 i Danmark: 6.000 Virksomheder og €10M Bøder ved Manglende Overholdelse
- Novo Nordisk: 1,3 TB Stjålet, $25M Løsesum Afvist
- OpDenmark: Russisk Legion Kræver 1,5 mia. DKK og Rammer Energisektoren
- Cybersikkerhed: Trusler, CVE’er og beskyttelse i 2026
FAQ: Ivanti EPMM CVE-2026-1281 og CVE-2026-1340
Hvad er CVE-2026-1281 og CVE-2026-1340?
CVE-2026-1281 og CVE-2026-1340 er to kritiske zero-day-sårbarheder i Ivanti Endpoint Manager Mobile (EPMM) med CVSS-score 9.8. Begge muliggør uautoriseret fjernkørsel af kode (RCE) uden autentificering. De blev offentliggjort den 29. januar 2026 med tilgængelige patches, men var allerede udnyttet som zero-days inden patching var mulig.
Hvilke europæiske myndigheder blev kompromitteret?
EU-Kommissionen (brud 30. januar 2026, indeholdt inden for 9 timer), Finlands statslige IT-leverandør Valtori (op til 50.000 statsansatte berørt), den hollandske Datatilsynsmyndighed (Autoriteit Persoonsgegevens) og den hollandske Domstolsadministration (Raad voor de rechtspraak) bekræftede alle at være kompromitteret via CVE-2026-1281 og CVE-2026-1340.
Er danske organisationer i fare?
Ja, hvis de kører Ivanti EPMM og havde systemet eksponeret mod internettet inden patching. EPMM bruges i danske kommuner, regioner og statslige institutioner. Organisationer bør verificere, at de har installeret RPM-patchen 12.x.0.x eller 12.x.1.x, og behandle eksponerede systemer som potentielt kompromitterede.
Hvem stod bag angrebene?
Ivanti oplyste, at “en række forskellige trusselaktører” udnyttede sårbarhederne. Ingen specifik statlig aktør er officielt attribueret for angrebene mod EU og nordiske myndigheder. Historisk har Ivanti EPMM været misbrugt af aktører med tilknytning til kinesisk statshacking mod den norske regering.
Hvad er den tekniske årsag til CVE-2026-1281?
CVE-2026-1281 skyldes ældre Bash-scripts, som Apache HTTP-serveren bruger til URL-omskrivning i EPMM. Angribere misbruger Bash’s aritmetiske ekspansionsfunktion via specialfremstillede HTTP-anmodninger til endepunkterne appstore eller aftstore. Bash evaluerer og udfører de injicerede kommandoer med Apaches rettigheder, uden krav om autentificering.
Hvad skal organisationer gøre nu?
Installer øjeblikkeligt RPM-patchen 12.x.0.x eller 12.x.1.x. Kør Ivantis Rapid Response-test. Gennemgå Apache-logfiler for tegn på udnyttelse. Antag kompromittering, hvis systemet var interneteksponeret. Nulstil alle LDAP- og servicekodeord samt EPMM-administratorkodeord. Den permanente fix frigives i version 12.8.0.0.
Har Ivanti haft lignende sårbarheder tidligere?
Ja. Ivanti EPMM har tidligere haft kritiske zero-days misbrugt af statssponsorerede aktører i angreb mod den norske regering. Ivanti Connect Secure og Policy Secure har haft multiple kritiske CVE’er i 2024 og 2025, der blev misbrugt i statsnære angreb. Mønstret er dokumenteret af CISA og vestlige sikkerhedsmyndigheder.
Eksterne kilder: Cybersecurity Dive: Ivanti EPMM exploitation widespread | The Hacker News: Dutch authorities confirm Ivanti zero-day | watchTowr: Ivanti EPMM in-the-wild exploitation | Unit 42: Critical vulnerabilities in Ivanti EPMM | Horizon3.ai: CVE-2026-1281 analysis
