To kritiske zero-day-s\u00e5rbarheder i Ivanti Endpoint Manager Mobile (EPMM) med en CVSS-score p\u00e5 9.8 kompromitterede EU-Kommissionen, Finlands statslige IT-administration og to hollandske tilsynsmyndigheder i slutningen af januar 2026. Angrebet er et af de alvorligste mod europ\u00e6isk offentlig infrastruktur i 2026 og bekr\u00e6fter et m\u00f8nster, som vestlige sikkerhedsmyndigheder har advaret om i \u00e5revis: Ivanti-produkter er en foretrukken angrebsvektor for statsn\u00e6re hackere.<\/p>\n\n\n\n
S\u00e5rbarhederne, katalogiseret som CVE-2026-1281<\/strong> og CVE-2026-1340<\/strong>, muligg\u00f8r uautoriseret fjernk\u00f8rsel af kode p\u00e5 eksponerede EPMM-servere. Ingen adgangskode kr\u00e6ves. Ingen brugerinteraktion er n\u00f8dvendig. Et enkelt HTTP-kald er nok til at overtage en organisations Mobile Device Management-infrastruktur og dermed kontrol over tusindvis af medarbejderenheder, virksomhedsnetv\u00e6rk og sensitive data.<\/p>\n\n\n\n Den 29. januar 2026 offentliggjorde Ivanti en sikkerhedsadvisory med n\u00f8dpatches til to kritiske s\u00e5rbarheder i EPMM. Begge fejl var allerede blevet udnyttet som zero-days i angreb mod rigtige organisationer inden patcherne overhovedet var tilg\u00e6ngelige. CISA tilf\u00f8jede CVE-2026-1281 til sit Known Exploited Vulnerabilities (KEV)-katalog med en frist p\u00e5 den 1. februar 2026 for f\u00f8derale amerikanske agenturer, to dage efter Ivantis disclosure.<\/p>\n\n\n\n CVE-2026-1281<\/strong> stammer fra en fejl i \u00e6ldre Bash-scripts, der bruges af Apache-webserveren til URL-omskrivning i EPMM-platformen. Angribere misbruger Bash’s aritmetiske ekspansionsfunktion via specialfremstillede HTTP-anmodninger mod endepunkterne CVE-2026-1340<\/strong> er en separat kodeinjektion-s\u00e5rbarhed, der ligeledes giver uautoriseret fjernk\u00f8rsel af kode. Begge fejl b\u00e6rer CVSS v3-scoren 9.8, der svarer til kritisk alvorlighedsgrad. Midlertidige RPM-patches (version 12.x.0.x eller 12.x.1.x afh\u00e6ngig af installeret version) tager sekunder at installere og kr\u00e6ver ingen nedetid. En permanent rettelse var planlagt til produktversion 12.8.0.0, forventet i Q1 2026.<\/p>\n\n\n\n Ivanti anbefalede, at alle eksponerede systemer behandles som potentielt kompromitterede, selv efter patching. \u00c5rsagen er klar: exploitkode til CVE-2026-1281 blev publiceret p\u00e5 GitHub kort efter Ivantis disclosure, og udnyttelsesaktiviteten eskalerede hurtigt til et niveau, som Shadowserver Foundation betegnede som en “massiv kampagne.”<\/p>\n\n\n\n EU-Kommissionen bekr\u00e6ftede den 8. februar 2026, at dens “centrale infrastruktur til administration af mobile enheder” var blevet angrebet. Bruddet blev opdaget den 30. januar 2026, dagen efter Ivantis patchudgivelse, men inden mange organisationer n\u00e5ede at implementere opdateringen. Kommissionen erkl\u00e6rede, at h\u00e6ndelsen var indeholdt inden for ni timer, og at ingen mobile enheder var blevet kompromitteret direkte.<\/p>\n\n\n\n If\u00f8lge Kommissionens officielle erkl\u00e6ring kan medarbejdernes navne, arbejdsrelaterede e-mailadresser og telefonnumre have v\u00e6ret tilg\u00e5et af angriberne. Informationen er direkte anvendelig til m\u00e5lrettede phishing-angreb og social engineering mod EU-embedsm\u00e6nd med adgang til f\u00f8lsomme politiske processer. Kommissionen identificerede ikke leverand\u00f8ren i sin f\u00f8rste offentlige erkl\u00e6ring, men sikkerhedsforskere og multiple medier bekr\u00e6ftede hurtigt linket til Ivanti EPMM.<\/p>\n\n\n\n Analysewebstedet LinkedIn Pulse citerede konsulent Lars Hilse for at pr\u00e6cisere den grundl\u00e6ggende ironi: det er EU-Kommissionen, der h\u00e5ndh\u00e6ver NIS2-direktivet og p\u00e5l\u00e6gger virksomheder millionb\u00f8der for utilstr\u00e6kkelig cybersikkerhed, der selv var offer for en angrebsform, der burde have v\u00e6ret mitigeret hurtigere. Kommissionens MDM-system l\u00e5 eksponeret over internettet med en kritisk s\u00e5rbarhed i mindst et d\u00f8gn inden bruddet.<\/p>\n\n\n\n Finlands statslige IT-leverand\u00f8r Valtori oplyste den 30. januar 2026, at et brud i organisationens MDM-infrastruktur potentielt havde eksponeret arbejdsrelaterede oplysninger om op til 50.000 statsansatte<\/strong>. Det svarer til n\u00e6sten to tredjedele af alle ansatte i den finske centralforvaltning. Valtori installerede den korrektive patch den 29. januar 2026, samme dag Ivanti frigav den, men angrebet var allerede sket som zero-day inden da.<\/p>\n\n\n\n H\u00e6ndelsen er den hidtil kendte konsekvens af CVE-2026-1281 og CVE-2026-1340 med flest ber\u00f8rte individer. Den illustrerer en central udfordring ved MDM-platforme som EPMM: de administrerer enheder for hele en organisation, og et kompromis p\u00e5 selve MDM-serveren giver angriberne potentiel oversigt over al administreret mobilfl\u00e5de, mulighed for at pushe konfigurationer til enheder og adgang til konfigurationsdata og netv\u00e6rksprofiler.<\/p>\n\n\n\n For de nordiske lande er Finlands situation en direkte advarsel. Danmark, Sverige og Norge har lignende statslige MDM-setups, og EPMM er bredt anvendt i den offentlige sektor i hele regionen. DNV’s Nordic Cyber Resilience-rapport fra 2026 viste, at Danmark oplevede 41 cyberh\u00e6ndelser i 2025, Sverige 60, Finland 44 og Norge 21. Valtori-bruddet er ikke inkluderet i disse tal, men illustrerer, at risikobilledet sandsynligvis er undervurderet.<\/p>\n\n\n\n De nederlandske myndigheder sendte en officiel notifikation til parlamentet, hvori det fremgik, at b\u00e5de Autoriteit Persoonsgegevens<\/strong> (den hollandske Datatilsynsmyndighed, AP) og Raad voor de rechtspraak<\/strong> (Domstolsadministrationen, Rvdr) var kompromitteret via Ivanti EPMM-s\u00e5rbarhederne. Bruddet eksponerede arbejdsrelaterede data, herunder navne, e-mailadresser og telefonnumre p\u00e5 ansatte.<\/p>\n\n\n\n At netop Datatilsynsmyndigheden er ramt er symbolsk ladet: AP er den instans, der h\u00e5ndh\u00e6ver GDPR i Holland og kan udstede b\u00f8der for utilstr\u00e6kkelig databeskyttelse. H\u00e6ndelsen rejser sp\u00f8rgsm\u00e5l om, i hvilken grad regulatorer og offentlige myndigheder efterlever de standarder, de stiller til private organisationer.<\/p>\n\n\n\n De hollandske myndigheder handlede hurtigt og informerede parlamentet skriftligt inden for kort tid efter opdagelsen. Netherlands NCSC (National Cyber Security Centre) samarbejdede med Ivanti om at udstede indikatorer for kompromittering (IOC’er) og et RPM-detektionsscript til hj\u00e6lp for ber\u00f8rte organisationer globalt. Det hollandske NCSC var if\u00f8lge Ivantis advisory en central partner i den koordinerede respons.<\/p>\n\n\n\n CVE-2026-1281 er teknisk set en fascinerende fejl, beskrevet af Hadrian.io-forskere som en “frankly terrifying abuse of Bash’s arithmetic expansion feature.” I Apache HTTP-serveren bruges en r\u00e6kke \u00e6ldre Bash-scripts til at h\u00e5ndtere URL-omskrivning i EPMM-platformen. Disse scripts anvender Bash’s En angriber kan sende en specialfremstillet HTTP-anmodning til endepunkterne CVE-2026-1340 er en separat kodeinjektion-fejl med samme nettoeffekt: uautoriseret RCE. Horizon3.ai-forskere observerede, at begge fejl kan kombineres for at maksimere angrebsoverfladen. Et funktionelt proof-of-concept exploit til CVE-2026-1281 blev publiceret p\u00e5 GitHub kort efter Ivantis disclosure, hvilket kraftigt accelererede den brede udnyttelse.<\/p>\n\n\n\n Shadowserver Foundation, der monitorerer interneteksponerede s\u00e5rbare systemer, rapporterede om 86 kompromitterede EPMM-instanser kort efter offentligg\u00f8relsen. Tallet steg hurtigt til 92, og Shadowservers CEO Piotr Kijewski<\/strong> beskrev situationen direkte som en “massiv kampagne” rettet mod CVE-2026-1281. Han forventede, at antallet af ofre ville forts\u00e6tte med at stige i de f\u00f8lgende dage, og beskrev det aktuelle tal som en undervurdering af det reelle omfang.<\/p>\n\n\n\n Rapid7 dokumenterede en klar eskalering i angrebsaktiviteten: et peak p\u00e5 525 udnyttelsesfors\u00f8g den 5. februar 2026<\/strong>, efterfulgt af et gradvist fald til cirka 200 fors\u00f8g per 24 timer i de f\u00f8lgende dage. Trods dette fald forblev angrebsniveauet historisk h\u00f8jt for en enkelt CVE i enterprise-MDM-software.<\/p>\n\n\n\n Shadowserver estimerede, at omkring 1.300 EPMM-instanser<\/strong> stadig l\u00e5 eksponeret over internettet p\u00e5 det tidspunkt, selv om det var uklart, hvor mange af disse var fuldt patchede og s\u00e5rbare. Ivanti oplyste i sin advisory, at kun “et meget begr\u00e6nset antal kunder” var kompromitteret p\u00e5 disclosure-tidspunktet, men dette tal undervurderede tydeligt situationens reelle omfang if\u00f8lge uafh\u00e6ngige sikkerhedsforskere.<\/p>\n\n\n\nTo zero-days med CVSS 9.8: hvad gik galt hos Ivanti<\/h2>\n\n\n\n
appstore<\/code> og aftstore<\/code>, der er forbundet med app-distributionstjenester. Bash evaluerer og udf\u00f8rer de injicerede kommandoer med de rettigheder, Apache k\u00f8rer under.<\/p>\n\n\n\nAngrebet p\u00e5 EU-Kommissionen: 9 timer til at begr\u00e6nse skaden<\/h2>\n\n\n\n
Finland mest ramt i Norden: op til 50.000 statsansatte eksponeret<\/h2>\n\n\n\n
Holland under pres: Datatilsyn og domstolsadministration kompromitteret<\/h2>\n\n\n\n
Den tekniske angrebsk\u00e6de: Bash-fejl bag kritisk s\u00e5rbarhed<\/h2>\n\n\n\n
$(( ))<\/code>-konstruktion til aritmetiske operationer, men Bash evaluerer udtryk inden for disse konstruktioner og afvikler injicerede kommandoer direkte.<\/p>\n\n\n\n\/appstore<\/code> eller \/aftstore<\/code>. Bash evaluerer den injicerede kode som et aritmetisk udtryk og udf\u00f8rer de medf\u00f8lgende kommandoer med de rettigheder, Apache k\u00f8rer under. Resultatet er uautoriseret fjernk\u00f8rsel af kode, uden at der kr\u00e6ves brugerkonti, adgangskoder eller sessionsdata.<\/p>\n\n\n\n92 kompromitterede systemer og massiv udnyttelseskampagne<\/h2>\n\n\n\n
Tabel 1: Kompromitterede europ\u00e6iske myndigheder<\/h2>\n\n\n\n