{"id":73,"date":"2026-06-13T04:37:43","date_gmt":"2026-06-13T04:37:43","guid":{"rendered":"https:\/\/shattered.io\/dk\/2026\/06\/13\/ivanti-zero-day-eu-2026\/"},"modified":"2026-06-13T12:25:43","modified_gmt":"2026-06-13T12:25:43","slug":"ivanti-zero-day-eu-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/dk\/2026\/06\/13\/ivanti-zero-day-eu-2026\/","title":{"rendered":"Ivanti zero-day: 50.000 ramt, CVSS 9,8 [2026]"},"content":{"rendered":"\n

To kritiske nul-dags-s\u00e5rbarheder i Ivanti Endpoint Manager Mobile (EPMM) har p\u00e5 f\u00e5 uger flyttet sig fra ukendt udnyttelse til et af 2026’s mest alvorlige europ\u00e6iske cyberangreb. Den 29. januar 2026 offentliggjorde Ivanti CVE-2026-1281<\/strong> og CVE-2026-1340<\/strong>, begge med en CVSS-score p\u00e5 9,8<\/strong>, og bekr\u00e6ftede samtidig, at fejlene allerede blev udnyttet aktivt. I ugerne efter blev EU-Kommissionen, det finske statslige it-center Valtori og flere hollandske myndigheder ramt. Op mod 50.000 finske statsansatte<\/strong> fik personoplysninger eksponeret. Denne Ivanti zero-day<\/strong>-sag er en l\u00e6rebogsillustration af, hvordan internetvendte administrationssystemer er blevet angribernes foretrukne vej ind i statslige og kritiske netv\u00e6rk, ogs\u00e5 i Norden.<\/p>\n\n\n\n

For danske organisationer er pointen ubehagelig: angrebsfladen er teknisk identisk. Danmark har ikke bekr\u00e6ftet ofre, men landet bruger samme klasse af mobile device management-systemer (MDM) som de ramte myndigheder. Denne analyse gennemg\u00e5r fakta, omfanget, eksperternes vurderinger, den danske eksponering, markedskonsekvenserne og fem konkrete forudsigelser for resten af 2026.<\/p>\n\n\n\n

Hvad skete der: to nul-dage i Ivanti EPMM<\/h2>\n\n\n\n

Ivanti Endpoint Manager Mobile er en platform til at administrere mobiltelefoner og tablets i store organisationer. Den styrer politikker, apps og adgang til virksomhedens data p\u00e5 medarbejdernes enheder. Systemet st\u00e5r typisk internetvendt, s\u00e5 medarbejdere kan synkronisere uden for kontoret. Det g\u00f8r det til et oplagt m\u00e5l.<\/p>\n\n\n\n

De to fejl, CVE-2026-1281<\/strong> og CVE-2026-1340<\/strong>, er begge s\u00e5kaldte code injection-s\u00e5rbarheder, der f\u00f8rer til uautentificeret fjernk\u00f8rsel af kode (unauthenticated remote code execution). Det betyder, at en angriber kan overtage serveren fuldst\u00e6ndigt uden at logge ind og uden brugerinteraktion. Begge har den n\u00e6sth\u00f8jest mulige CVSS-score p\u00e5 9,8 ud af 10. Sikkerhedsfirmaet Hadrian beskrev i sin analyse, hvordan angrebet misbruger en finesse i Bash-skallens aritmetiske udtryk, en teknik virksomheden kaldte b\u00e5de fascinerende og skr\u00e6mmende.<\/p>\n\n\n\n

I sin sikkerhedsadvarsel skrev Ivanti, at virksomheden var bekendt med “et meget begr\u00e6nset antal kunder, hvis l\u00f8sning var blevet udnyttet p\u00e5 tidspunktet for offentligg\u00f8relsen”. Med andre ord: angriberne var i gang, f\u00f8r patchen fandtes. Det er definitionen p\u00e5 en nul-dag. Den amerikanske cybersikkerhedsmyndighed CISA tilf\u00f8jede hurtigt CVE-2026-1281 til sit katalog over kendte udnyttede s\u00e5rbarheder (Known Exploited Vulnerabilities) med en frist for udbedring den 1. februar 2026 for f\u00f8derale myndigheder under direktivet BOD 22-01.<\/p>\n\n\n\n

N\u00f8gletallene i sagen er samlet nedenfor.<\/p>\n\n\n\n

Parameter<\/th>Detalje<\/th><\/tr><\/thead>
Ber\u00f8rt produkt<\/td>Ivanti Endpoint Manager Mobile (EPMM)<\/td><\/tr>
S\u00e5rbarheder<\/td>CVE-2026-1281 og CVE-2026-1340<\/td><\/tr>
CVSS-score<\/td>9,8 (kritisk) for begge<\/td><\/tr>
Type<\/td>Code injection, uautentificeret fjernk\u00f8rsel af kode<\/td><\/tr>
Offentliggjort<\/td>29. januar 2026<\/td><\/tr>
Status ved offentligg\u00f8relse<\/td>Allerede udnyttet aktivt (nul-dag)<\/td><\/tr>
CISA KEV-frist<\/td>1. februar 2026 (BOD 22-01)<\/td><\/tr>
Kompromitterede systemer (Shadowserver)<\/td>86<\/td><\/tr>
Internetvendte EPMM-systemer<\/td>cirka 1.300<\/td><\/tr>
Eksponerede finske statsansatte<\/td>op til 50.000<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Tidslinjen for Ivanti zero-day-angrebet<\/h2>\n\n\n\n

Forl\u00f8bet viser, hvor hurtigt et s\u00e5dant angreb eskalerer. Fra de f\u00f8rste stille udnyttelser i januar til internetd\u00e6kkende scanning og bekr\u00e6ftede ofre gik der under tre uger. Tidslinjen nedenfor f\u00f8lger de datoer, der er offentligt dokumenteret.<\/p>\n\n\n\n

Tidspunkt<\/th>Begivenhed<\/th><\/tr><\/thead>
Sidst i januar 2026<\/td>Ivanti observerer udnyttelse i naturen af hidtil ukendte fejl i EPMM hos enkelte kunder<\/td><\/tr>
29. januar 2026<\/td>Ivanti offentligg\u00f8r CVE-2026-1281 og CVE-2026-1340 og udsender patches<\/td><\/tr>
Omkring 1. februar 2026<\/td>CISA tilf\u00f8jer CVE-2026-1281 til KEV-kataloget med udbedringsfrist<\/td><\/tr>
F\u00f8rst i februar 2026<\/td>Rapporter om brud hos EU-Kommissionen, den finske stat og hollandske myndigheder<\/td><\/tr>
7.-10. februar 2026<\/td>Hollandske myndigheder bekr\u00e6fter angreb til parlamentet, EU-Kommissionen bekr\u00e6fter angreb p\u00e5 central mobilinfrastruktur<\/td><\/tr>
Midt i februar 2026<\/td>Shadowserver identificerer 86 kompromitterede EPMM-systemer og cirka 1.300 internetvendte<\/td><\/tr>
Sidst i februar 2026<\/td>Flere trusselsakt\u00f8rer udnytter fortsat fejlene i b\u00f8lger efter offentligg\u00f8relsen<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

M\u00f8nsteret er velkendt fra tidligere kantsystem-angreb: udnyttelsen intensiveres efter offentligg\u00f8relsen, ikke f\u00f8r. N\u00e5r en patch udkommer, kan andre grupper analysere rettelsen, udlede s\u00e5rbarheden og masseskanne efter systemer, der endnu ikke er opdateret. Vinduet mellem offentligg\u00f8relse og udbredt udnyttelse m\u00e5les i dag i timer og dage, ikke uger.<\/p>\n\n\n\n

Hvem blev ramt: EU-Kommissionen, Valtori og hollandske myndigheder<\/h2>\n\n\n\n

Listen over bekr\u00e6ftede ofre er us\u00e6dvanlig prominent. EU-Kommissionen oplyste i begyndelsen af februar 2026, at den havde konstateret et cyberangreb mod sin “centrale infrastruktur til administration af mobile enheder”. Kommissionen navngav ikke Ivanti, men eksterne forskere knyttede de tekniske indikatorer til netop EPMM-kampagnen.<\/p>\n\n\n\n

Det h\u00e5rdeste og mest konkrete tal kom fra Finland. Det statslige it-center Valtori, der driver f\u00e6lles it for den finske centraladministration, oplyste, at op til 50.000 statsansatte<\/strong> kan have f\u00e5et personoplysninger eksponeret via det kompromitterede MDM-system. Det svarer til n\u00e6sten to tredjedele af alle ansatte i den finske centraladministration. If\u00f8lge Valtori fik angriberen adgang til navne, arbejdsmailadresser, telefonnumre og oplysninger om medarbejdernes enheder.<\/p>\n\n\n\n

I Holland bekr\u00e6ftede mindst to myndigheder, at de var ramt. Det hollandske datatilsyn (Autoriteit Persoonsgegevens) og domstolsr\u00e5det (Raad voor de Rechtspraak) meddelte parlamentet, at de var ber\u00f8rt af angreb knyttet til Ivanti EPMM-s\u00e5rbarhederne. At et datatilsyn, hvis kerneopgave er at beskytte personoplysninger, selv bliver ramt via en eksponeret administrationsserver, understreger problemets r\u00e6kkevidde.<\/p>\n\n\n\n

F\u00e6lles for ofrene er, at det ikke var deres telefoner, der blev angrebet, men det centrale system, der styrer dem. N\u00e5r en angriber overtager MDM-serveren, kan vedkommende potentielt udstede politikker, l\u00e6se enhedsdata og bruge platformen som springbr\u00e6t videre ind i netv\u00e6rket. Det er pr\u00e6cis den slags adgang, statslige spionageakt\u00f8rer eftersp\u00f8rger.<\/p>\n\n\n\n

S\u00e5dan virker s\u00e5rbarhederne teknisk<\/h2>\n\n\n\n

Begge fejl er code injection-s\u00e5rbarheder. En uautentificeret angriber kan sende en pr\u00e6pareret foresp\u00f8rgsel til den internetvendte EPMM-server og f\u00e5 serveren til at udf\u00f8re vilk\u00e5rlige kommandoer. Der kr\u00e6ves hverken brugernavn, kodeord eller klik fra en bruger. If\u00f8lge analysen fra Hadrian udnytter angrebet en svaghed i, hvordan inddata behandles i forbindelse med Bash-skallens aritmetiske udtryk, hvilket giver fuld systemovertagelse.<\/p>\n\n\n\n

Kombinationen af uautentificeret adgang og fuld kodek\u00f8rsel er det v\u00e6rst t\u00e6nkelige scenarie for et internetvendt system, og det er grunden til CVSS-scoren p\u00e5 9,8. Til sammenligning kr\u00e6ver mange alvorlige s\u00e5rbarheder enten gyldige legitimationsoplysninger eller en bruger, der klikker p\u00e5 noget. Her er der ingen forhindringer. En automatiseret skanner kan finde og overtage s\u00e5rbare servere i tusindvis uden menneskelig indblanding.<\/p>\n\n\n\n

Sikkerhedsfirmaet Rapid7 anbefalede, at kunder opdaterer til den seneste rettede version af EPMM “p\u00e5 n\u00f8dbasis uden for normale patchcyklusser, da udnyttelse i naturen allerede finder sted”. watchTowr Labs, der lavede en detaljeret teknisk gennemgang, beskrev de to CVE’er som “aktivt udnyttede pre-auth-s\u00e5rbarheder til fjernk\u00f8rsel af kommandoer”. Begge formuleringer signalerer samme budskab: dette er ikke en fejl, man kan vente med at lukke til n\u00e6ste vedligeholdelsesvindue.<\/p>\n\n\n\n

Omfanget: Shadowserver fandt 86 kompromitterede systemer<\/h2>\n\n\n\n

Non-profit-organisationen Shadowserver Foundation, der skanner internettet for s\u00e5rbare og kompromitterede systemer, gav de f\u00f8rste h\u00e5rde tal for omfanget. Ved en scanning midt i februar 2026 identificerede organisationen 86 kompromitterede EPMM-systemer<\/strong>, der viste tekniske spor af udnyttelse. Samtidig fandt Shadowserver, at cirka 1.300<\/strong> Ivanti EPMM-systemer fortsat var eksponeret mod internettet.<\/p>\n\n\n\n

Piotr Kijewski, direkt\u00f8r for Shadowserver Foundation, opsummerede fundet: “Mandag eftermiddag identificerede Shadowservers scanninger 86 kompromitterede systemer baseret p\u00e5 spor af udnyttelse.” Om den bredere eksponering tilf\u00f8jede han: “N\u00e6sten 1.300 Ivanti EPMM-systemer er stadig eksponeret mod internettet, men det er ukendt, hvor mange af dem der er s\u00e5rbare eller allerede kompromitterede.”<\/p>\n\n\n\n

Tallet p\u00e5 86 bekr\u00e6ftede kompromitteringer skal l\u00e6ses med forsigtighed. Det er et minimum, baseret p\u00e5 synlige artefakter p\u00e5 et givet tidspunkt. Avancerede angribere, is\u00e6r statsst\u00f8ttede grupper, fjerner ofte deres spor. Det reelle antal ramte organisationer kan v\u00e6re h\u00f8jere, og mange ofre opdager f\u00f8rst bruddet uger eller m\u00e5neder senere. Med 1.300 eksponerede systemer er angrebsfladen fortsat betydelig, s\u00e5 l\u00e6nge organisationer ikke har patchet.<\/p>\n\n\n\n

Hvem st\u00e5r bag angrebet<\/h2>\n\n\n\n

Attribution er sj\u00e6ldent entydig i de f\u00f8rste uger, og denne sag er ingen undtagelse. Sikkerhedsforskere og trusselsj\u00e6gere observerede if\u00f8lge CyberScoop “konsekvente b\u00f8lger af angreb” og vurderede, at flere trusselsgrupper var involveret, ikke en enkelt akt\u00f8r. N\u00e5r flere grupper udnytter samme s\u00e5rbarhed parallelt, peger det typisk p\u00e5 en blanding af statsst\u00f8ttet spionage og \u00f8konomisk motiverede akt\u00f8rer.<\/p>\n\n\n\n

Den historiske kontekst er sigende. If\u00f8lge Infosecurity Magazine er den samme Ivanti EPMM-platform tidligere blevet kompromitteret af, hvad der vurderes at v\u00e6re kinesisk statsst\u00f8ttede akt\u00f8rer, i angreb mod den norske regering. Det skete i 2023, da en s\u00e5rbarhed i EPMM (dengang kendt som MobileIron Core) blev brugt til at tr\u00e6nge ind i tolv norske ministeriers it-systemer. At samme produkt nu igen er omdrejningspunkt for et statsligt rettet angreb, er ikke et tilf\u00e6lde, men et m\u00f8nster.<\/p>\n\n\n\n

For 2026-kampagnen er den konkrete attribution endnu ikke fastlagt offentligt for de specifikke CVE’er. Det er den multinationale, espionage-pr\u00e6gede karakter, der er bekr\u00e6ftet. Profilen p\u00e5 ofrene, EU-institutioner, et nationalt datatilsyn og et domstolsr\u00e5d, passer p\u00e5 efterretningsindsamling snarere end p\u00e5 almindelig \u00f8konomisk kriminalitet.<\/p>\n\n\n\n

Danmark og den tavse eksponering<\/h2>\n\n\n\n

Ingen danske myndigheder har offentligt bekr\u00e6ftet at v\u00e6re ramt af Ivanti EPMM-kampagnen, og der findes intet offentligt register over, hvilke danske organisationer der bruger produktet. Men frav\u00e6ret af bekr\u00e6ftede ofre er ikke det samme som frav\u00e6r af risiko. Danmark er EU-medlem med udbredt brug af MDM og cloudtjenester, og angrebsfladen er teknisk identisk med den, der ramte Finland og Holland.<\/p>\n\n\n\n

Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjeneste har i flere \u00e5r advaret om, at VPN-gateways, firewalls og andre netv\u00e6rks-edge-enheder er blandt de mest udsatte m\u00e5l. CFCS vurderer i sine offentlige trusselsvurderinger truslen fra cyberspionage og cyberkriminalitet mod Danmark som “meget h\u00f8j”. CFCS har ikke offentligt kommenteret de specifikke Ivanti EPMM-s\u00e5rbarheder, men myndighedens generelle linje, hurtig patching, kortl\u00e6gning af internetvendte systemer og adskillelse af administrationsnetv\u00e6rk, rammer pr\u00e6cist det, denne sag handler om.<\/p>\n\n\n\n

Det nordiske trusselsbillede underst\u00f8tter alvoren. If\u00f8lge DNV’s Nordics-rapport for 2026 blev der i 2025 observeret 41 cyberh\u00e6ndelser mod danske organisationer, 60 i Sverige, 44 i Finland og 21 i Norge. Det placerer Danmark blandt de mest udsatte i regionen. Sammenholdt med NIS2-kravene<\/a>, der nu forpligter tusindvis af danske virksomheder til at h\u00e5ndtere netop denne type s\u00e5rbarheder, er Ivanti-sagen en konkret test af, hvor klar dansk kritisk infrastruktur reelt er.<\/p>\n\n\n\n

Ekspertvurderinger af kampagnen<\/h2>\n\n\n\n

De toneangivende sikkerhedsmilj\u00f8er var hurtige til at klassificere sagen som kritisk. Deres vurderinger tegner et billede af et angreb, der ramte en notorisk udsat produktkategori p\u00e5 det v\u00e6rst t\u00e6nkelige sted.<\/p>\n\n\n\n

Bob Rudis, sikkerhedsforsker hos Rapid7, fastslog kronologien: “Den 29. januar 2026 offentliggjorde Ivanti to nye kritiske s\u00e5rbarheder i Endpoint Manager Mobile (EPMM): CVE-2026-1281 og CVE-2026-1340.” Han tilf\u00f8jede om alvoren: “Leverand\u00f8ren har angivet, at udnyttelse i naturen allerede er sket forud for offentligg\u00f8relsen. Det er blevet bekr\u00e6ftet af CISA, som tilf\u00f8jede CVE-2026-1281 til sit KEV-katalog kort efter offentligg\u00f8relsen.”<\/p>\n\n\n\n

Trusselsefterretningsholdet Unit 42 hos Palo Alto Networks beskrev de tekniske konsekvenser: s\u00e5rbarhederne “giver uautentificerede angribere mulighed for at fjernudf\u00f8re vilk\u00e5rlig kode p\u00e5 m\u00e5lservere, hvilket giver dem fuld kontrol over MDM-infrastrukturen uden brugerinteraktion eller legitimationsoplysninger”. Singapore-baserede watchTowr understregede i sin analyse, at der var tale om aktivt udnyttede pre-auth-s\u00e5rbarheder, og kritiserede samtidig Ivantis tidligere midlertidige rettelser for at kunne rulles tilbage ved senere \u00e6ndringer.<\/p>\n\n\n\n

Den f\u00e6lles tr\u00e5d hos eksperterne er ikke kun den enkelte fejl, men gentagelsesm\u00f8nsteret. CISA har siden slutningen af 2021 registreret 31 Ivanti-s\u00e5rbarheder<\/strong> i sit KEV-katalog, og mindst 19 fejl p\u00e5 tv\u00e6rs af Ivantis produkter er blevet udnyttet i de seneste to \u00e5r. Det er et af de h\u00f8jeste tal for nogen enkelt leverand\u00f8r.<\/p>\n\n\n\n

Markedseffekt og konsekvenser for branchen<\/h2>\n\n\n\n

For Ivanti er sagen endnu et slag mod et omd\u00f8mme, der allerede var presset efter en stribe alvorlige s\u00e5rbarheder i Connect Secure og andre produkter i 2024 og 2025. N\u00e5r en leverand\u00f8r optr\u00e6der 31 gange i CISA’s KEV-katalog, begynder indk\u00f8bere og sikkerhedschefer at stille sp\u00f8rgsm\u00e5l ved produktets grundl\u00e6ggende sikkerhedsmodenhed. Det presser Ivanti p\u00e5 b\u00e5de kundefastholdelse og nysalg i en periode, hvor edge-sikkerhed er h\u00f8jt p\u00e5 dagsordenen.<\/p>\n\n\n\n

Den bredere markedseffekt r\u00e6kker ud over \u00e9n leverand\u00f8r. If\u00f8lge Google Threat Intelligence Group blev der i 2025 sporet 90 nul-dags-s\u00e5rbarheder<\/strong> udnyttet i naturen, en stigning p\u00e5 15 procent i forhold til 2024. N\u00e6sten halvdelen, 48 procent<\/strong>, var rettet mod virksomhedsinfrastruktur som VPN’er, firewalls og administrationsudstyr. Edge-systemer er ikke l\u00e6ngere en niche for angribere, men hovedindgangen.<\/p>\n\n\n\n

Det driver eftersp\u00f8rgslen p\u00e5 flere fronter: efter platforme til h\u00e5ndtering af eksponerede aktiver (attack surface management), efter hurtigere patch-automatisering og efter at flytte administrationsgr\u00e6nseflader v\u00e6k fra det \u00e5bne internet. IBM’s Cost of a Data Breach-rapport opgjorde i 2024 den globale gennemsnitsomkostning ved et databrud til omkring 4,45 mio. USD. For et statsligt brud med spionageform\u00e5l er det egentlige tab dog ikke kun \u00f8konomisk, men strategisk og politisk, og kan ikke g\u00f8res op i kroner.<\/p>\n\n\n\n

Historisk kontekst: kantsystemernes \u00e5r<\/h2>\n\n\n\n

Ivanti EPMM-sagen st\u00e5r ikke alene. Den er det seneste kapitel i en fler\u00e5rig b\u00f8lge af angreb mod internetvendte kantsystemer. For at forst\u00e5 m\u00f8nsteret hj\u00e6lper en sammenligning af de mest markante sager fra 2024 til 2026.<\/p>\n\n\n\n

Produkt<\/th>S\u00e5rbarhed<\/th>\u00c5r<\/th>Karakteristik<\/th><\/tr><\/thead>
Ivanti Connect Secure<\/td>Flere CVE’er (auth bypass, RCE)<\/td>2024<\/td>Masseudnyttelse mod VPN-gateways, statsst\u00f8ttede akt\u00f8rer<\/td><\/tr>
Citrix NetScaler (“CitrixBleed”)<\/td>CVE-2023-4966 og opf\u00f8lgere<\/td>2024<\/td>Sessionstyveri, ransomware-grupper og spionage<\/td><\/tr>
Fortinet FortiGate\/FortiOS<\/td>Flere kritiske RCE-fejl<\/td>2024-2025<\/td>Udnyttet bredt mod firewalls, ofte f\u00f8r patch<\/td><\/tr>
Ivanti EPMM (MobileIron)<\/td>2023-fejl mod norsk regering<\/td>2023<\/td>Kinesisk-vurderet spionage mod tolv ministerier<\/td><\/tr>
Ivanti EPMM<\/td>CVE-2026-1281, CVE-2026-1340<\/td>2026<\/td>Pre-auth RCE, EU-Kommissionen og finsk stat ramt<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

M\u00f8nsteret er konsekvent: produkter, der st\u00e5r med ansigtet mod internettet og giver privilegeret adgang til netv\u00e6rket, er de mest v\u00e6rdifulde m\u00e5l. ENISA har gentagne gange peget p\u00e5 VPN’er, mailgateways og lignende edge-enheder som blandt de mest udnyttede aktiver i Europa. Det er ikke nye angrebsteknikker, men en vedholdende prioritering fra angribernes side, fordi udbyttet er s\u00e5 h\u00f8jt.<\/p>\n\n\n\n

S\u00e5dan adskiller Ivanti sig fra konkurrenterne<\/h2>\n\n\n\n

MDM-markedet domineres af nogle f\u00e5 store udbydere. Sammenligningen handler ikke om, at andre produkter er fejlfrie, for det er ingen, men om eksponeringsmodel og historik. Et n\u00f8gler\u00e5d fra eksperterne er at undg\u00e5 at have administrationsgr\u00e6nsefladen direkte p\u00e5 det \u00e5bne internet, uanset leverand\u00f8r.<\/p>\n\n\n\n