Ivanti Endpoint Manager Mobile (EPMM) har blitt et gjentakende mål for avanserte trusselaktører. I januar 2026 avslørte Ivanti to kritiske null-dagssårbarheter, CVE-2026-1281 og CVE-2026-1340, begge med CVSS-score 9.8. Angriperne var allerede i gang med aktiv utnyttelse da avsløringen kom. Uker senere bekreftet EU-kommisjonen, det nederlandske datatilsynet og Judicial Council at de hadde blitt hacket gjennom nettopp disse sårbarhetene. For norske virksomheter som bruker Ivanti til mobilenhetsadministrasjon, er konsekvensene direkte og alvorlige.
Hva er Ivanti EPMM og hvorfor er det et mål?
Ivanti Endpoint Manager Mobile, tidligere kjent som MobileIron Core, er en plattform for administrasjon av mobile enheter (MDM), mobile applikasjoner (MAM) og mobilt innhold (MCM). Løsningen brukes av offentlige etater, sykehus, finansinstitusjoner og store bedrifter over hele verden for å sentralisere styringen av smarttelefoner, nettbrett og bærbare datamaskiner i bedriftsnett.
Nettopp denne sentraliseringen gjør EPMM til et attraktivt mål. Den som kontrollerer MDM-serveren kontrollerer i praksis alle tilkoblede enheter: kan slette data, installere applikasjoner, hente e-post og kalenderdata, og i mange tilfeller overvåke bevegelsesmønstre. CISA-katalogen over kjente utnyttede sårbarheter lister over 30 Ivanti-sårbarheter som har blitt misbrukt av trusselaktører siden 2021, noe som understreker at produktlinjen er et vedvarende mål.
On-premises EPMM-installasjoner er særlig utsatt, siden de er direkte eksponert mot internett og krever regelmessige, manuelle patcheoppdateringer. Cloud-baserte Ivanti Neurons for MDM var ikke berørt av de aktuelle null-dagssårbarhetene.
CVE-2026-1281 og CVE-2026-1340: Teknisk gjennomgang
29. januar 2026 publiserte Ivanti en sikkerhetsrådgivning for to kritiske sårbarheter i EPMM. Begge er klassifisert som kodeinjektion (CWE-94) og tillater en ikke-autentisert angriper å kjøre vilkårlig kode på serveren via fjerntilgang. CVSS-score: 9.8 for begge.
CVE-2026-1281 rammer funksjonen for distribusjon av interne applikasjoner (In-House Application Distribution). Angrepet utnytter en feil i Bash’s aritmetiske ekspansjonsfunksjon: ved å injisere spesielt utformede strenger i bestemte API-endepunkter kan angripere tvinge serveren til å evaluere og kjøre ondsinnet kode uten autentisering.
CVE-2026-1340 er en tilsvarende feil i Android File Transfer Configuration-funksjonen, med identisk teknisk mekanisme og alvorlighetsgrad. Rapid7 bekreftet at begge sårbarhetene allerede var utnyttet i naturen da Ivanti gikk ut med avsløringen. Ivanti sa selv at angrepene hadde rammet “et svært begrenset antall kunder”, men dette ble raskt motsagt av hendelsesdata fra Unit 42 og andre sikkerhetsforskere.
30. januar 2026, bare én dag etter avsløringen, var et fungerende proof-of-concept-eksploit tilgjengelig offentlig. Dette akselererte angrepskampanjen dramatisk og tvang sikkerhetsavdelinger verden over til å jobbe i helgen for å rulle ut midlertidige oppdateringer.
Bash aritmetisk ekspansjon som angrepsvektor
Hadrian Security publiserte en detaljert teknisk analyse som avslørte den eksakte utnyttelsesmekanismen: Bash aritmetisk ekspansjon. Dette er en funksjon der uttrykk på formen $((expression)) evalueres som matematiske uttrykk av Bash-tolkeren.
# Bash aritmetisk ekspansjon - normal bruk
echo $((1+1)) # Output: 2
# Med ondsinnet input - kodeinjeksjon via ekspansjon
# $(($(ondsinnet_kommando_her)))
# Bash evaluerer kommandoen og setter inn resultatet
# Dette skjer uten at applikasjonen autentiserer brukerenI EPMM-konteksten mottok applikasjonsserveren brukerinput som ble sendt gjennom en Bash-evalueringsmekanisme uten tilstrekkelig sanitisering. En angriper kunne konstruere en HTTP-forespørsel med spesielt utformede parametere som, når de ble behandlet av serveren, resulterte i kjøring av vilkårlig kommandokode med serverens systemrettigheter. Bash aritmetisk ekspansjon er et kjent risikopunkt dokumentert i OWASP-retningslinjer, noe som gjør funnet desto mer oppsiktsvekkende i produksjonskoden til en ledende MDM-leverandør.
EU-Kommisjonen og nederlandske myndigheter bekrefter brudd
I februar 2026 ble det kjent at angripere hadde utnyttet Ivanti EPMM-sårbarhetene til å bryte seg inn i noen av Europas mest sensitive institusjoner. EU-kommisjonen, det nederlandske datatilsynet (Autoriteit Persoonsgegevens) og det nederlandske Judicial Council bekreftet alle at de hadde vært utsatt for vellykkede angrep via de aktuelle null-dagene.
Bruddene hos europeiske offentlige institusjoner er spesielt alvorlige av to grunner. For det første håndterer disse organisasjonene ekstremt sensitiv informasjon: GDPR-klager, personopplysninger om millioner av europeiske borgere, og interne juridiske dokumenter. For det andre representerer de tillitsankere i europeisk digital infrastruktur. Et vellykket angrep mot EU-kommisjonens MDM-system gir potensielt tilgang til mobile enheter brukt av tjenestemenn og politiske rådgivere.
CSIS (Center for Strategic and International Studies) inkluderte angrepene på EU-kommisjonen og de nederlandske institusjonene i sin katalog over betydelige cyberhendelser for første halvdel av 2026. Det nederlandske datatilsynet er særlig symbolsk som offer: en av Europas strengeste håndhevere av GDPR ble selv offer for et databrudd via en MDM-plattform som håndterer ansattes mobile enheter.
“Ivanti EPMM har vist seg å være et gjentatt angrepsmål som krever en grunnleggende gjennomgang av MDM-arkitektur i europeisk offentlig sektor. Null-dagssårbarheter med CVSS 9.8 som rammer autentiseringslogikken er det verst tenkelige scenariet for MDM-plattformer.”
Zach Hanley, sikkerhetsforsker ved Horizon3.ai
CISA KEV: Ivanti med 30 pluss utnyttede sårbarheter
CISA la til CVE-2026-1281 i sin Known Exploited Vulnerabilities-katalog umiddelbart etter Ivantis avsløring 29. januar 2026, og satte en frist på bare tre dager for utbedring: 1. februar 2026. Bindende operasjonsdirektiv 22-01 (BOD 22-01) pålegger amerikanske føderale etater å patche alle KEV-listede sårbarheter innen fristene, og denne fristen er blant de korteste CISA har satt for en enkelt sårbarhet.
Historikken er nedslående. CISA-katalogen lister over 30 Ivanti-produktsårbarheter som har blitt aktivt utnyttet siden 2021. Produktene som er berørt spenner fra Connect Secure (VPN-gateway) og Policy Secure til EPMM og Neurons for MDM. Dette gjør Ivanti til en av de oftest utnyttede programvareleverandørene i katalogen.
Sammenligningsgrunnlaget er tydelig: januar 2025 kom CVE-2025-0282 (CVSS 9.0) i Ivanti Connect Secure, utnyttet av kinesiske trusselaktører identifisert av Mandiant. April 2025 fulgte CVE-2025-22457 (CVSS 9.0, stack-based buffer overflow i Connect Secure), også tilskrevet kinesiske aktører av Google Mandiant. Nå, i 2026, er det EPMM sin tur igjen. Mønsteret er konsistent: Ivanti-produkter avsløres som kompromittert, patching tar tid, og europeiske offentlige institusjoner betaler prisen.
“CISA’s tre-dagers frist for CVE-2026-1281 sender et klart signal om alvorlighetsgraden. Vi ser sjelden at CISA setter frister under en uke. Dette bør få alle EPMM-operatører til å stanse andre oppgaver og patche umiddelbart.”
Caitlin Condon, sikkerhetsdirektør ved Rapid7
Angrepskampanjen: Unit 42 kartlegger omfanget
Palo Alto Networks Unit 42 publiserte en detaljert trusselanalyse i februar 2026 som dokumenterte omfanget av angrepskampanjen mot CVE-2026-1281 og CVE-2026-1340. Teamet sporet aktiv utnyttelse i minst fire land: USA, Tyskland, Australia og Canada. De berørte sektorene inkluderte statlig og kommunal forvaltning, helsevesen, produksjonsindustri, juridiske tjenester og høyteknologi.
Angriperne installerte i mange tilfeller web shells på kompromitterte EPMM-servere, noe som ga vedvarende tilgang selv etter at midlertidige patcher var rullet ut. Web shells er svært vanskelige å oppdage med standard overvåkingsverktøy og krever aktiv søking i serverfilsystemet. Et kompromittert MDM-system gir angriperne full kontroll over alle administrerte mobile enheter: de kan distribuere skadelig programvare, trekke ut e-post og kontakter, aktivere kameratilgang og overvåke nettverkstrafikk.
GreyNoise, som overvåker internett-skanneaktivitet globalt, rapporterte om en markant økning i rekognoseringsaktivitet mot EPMM-endepunkter i ukene forut for Ivantis avsløring. Dette tyder på at trusselaktørene hadde identifisert og begynt å utnytte sårbarhetene betydelig tidligere enn 29. januar 2026.
Tysklands cybersikkerhetsbyrå BSI (Bundesamt für Sicherheit in der Informationstechnik) gikk lenger enn Unit 42 og rapporterte at de hadde bevis for utnyttelse av de aktuelle Ivanti EPMM-sårbarhetene tilbake til juli 2025, mer enn seks måneder før Ivanti selv gikk ut med en offentlig avsløring. Dette er konsistent med mønstre vi har sett i tidligere Ivanti-hendelser, der aktiv utnyttelse har pågått lenge før leverandøren er klar over problemet.
“Web shell-implantering etter EPMM-kompromittering er spesielt bekymringsfullt fordi den midlertidige patchen ikke fjerner en allerede installert bakdør. Organisasjoner som ikke gjennomfører en full trusseljaktsøk etter patching, kan tro de er trygge mens angripere fortsatt har tilgang.”
Anthony Gantous, trusselforsker ved Unit 42, Palo Alto Networks
Nøkkeltall: Ivanti EPMM-sårbarhetene i tall
| CVE | CVSS | Type | Avslørt | PoC offentlig | CISA KEV | Berørte versjoner |
|---|---|---|---|---|---|---|
| CVE-2026-1281 | 9.8 (Kritisk) | Kodeinjektion (pre-auth RCE) | 29. jan 2026 | 30. jan 2026 | Ja (frist 1. feb) | EPMM < 12.8.0.0 |
| CVE-2026-1340 | 9.8 (Kritisk) | Kodeinjektion (pre-auth RCE) | 29. jan 2026 | 30. jan 2026 | Nei | EPMM < 12.8.0.0 |
| CVE-2026-6973 | Høy | Uriktig inputvalidering (auth RCE) | 7. mai 2026 | Begrenset | Under vurdering | EPMM <= 12.8.0.0 |
| CVE-2025-4427 | 5.3 (Middels) | Autentiseringsomgåelse | Mai 2025 | Ja | Ja | EPMM < 12.5.0.1 |
| CVE-2025-4428 | 7.2 (Høy) | RCE via EL-injeksjon | Mai 2025 | Ja | Ja | EPMM < 12.5.0.1 |
| CVE-2025-22457 | 9.0 (Kritisk) | Stack buffer overflow (Connect Secure) | 3. apr 2025 | Ja | Ja | Connect Secure < 22.7R2.6 |
| CVE-2025-0282 | 9.0 (Kritisk) | Stack buffer overflow (Connect Secure) | 8. jan 2025 | Ja | Ja | Connect Secure < 22.7R2.5 |
2025-kjeden: CVE-2025-4427 og CVE-2025-4428
For å forstå konteksten rundt januar 2026-angrepene er det nyttig å se på 2025-hendelsene. To Ivanti EPMM-sårbarheter ble avslørt i mai 2025: CVE-2025-4427 (CVSS 5.3, autentiseringsomgåelse) og CVE-2025-4428 (CVSS 7.2, remote code execution via Expression Language-injeksjon).
Kjedet sammen muliggjorde disse to sårbarhetene uautentisert fjernkjøring av kode, akkurat som januar 2026-nulldagene. Angrepsvektoren var API-endepunktene /api/v2/featureusage og /api/v2/featureusage_history, der inputvalidering fant sted før autentiseringssjekken, og dermed lot angripere injisere skadelig kode uten gyldige påloggingsopplysninger. GreyNoise rapporterte om en markant økning i skanneaktivitet mot disse endepunktene i ukene forut for avsløringen i 2025, et mønster som gjentok seg i forkant av januar 2026-avsløringen.
De berørte versjonene i 2025 inkluderte 11.12.0.4 og tidligere, samt 12.3.0.1, 12.4.0.1 og 12.5.0.0. Rettede versjoner var 11.12.0.5, 12.3.0.2, 12.4.0.2 og 12.5.0.1. Det faktum at svært like angrepsmekanismer ble gjentatt bare måneder etter 2025-avsløringen tyder på at Ivantis kodebase har systemiske problemer med inputvalidering og autentiseringslogikk i EPMM, snarere enn isolerte kodefeil.
Norsk og nordisk risiko: Offentlig sektor i skuddlinja
Norge og de øvrige nordiske landene har et stort antall offentlige etater, kommuner og helseforetak som bruker MDM-løsninger for å administrere mobile enheter. Ivanti EPMM er i bruk i deler av Skandinavia, og de aktuelle sårbarhetene rammer alle on-premises installasjoner uavhengig av geografi.
Ivanti EPMM-problemet kommer i en periode der norsk og nordisk offentlig sektor allerede er under betydelig press fra statlige og kriminelle trusselaktører. I august 2025 bekreftet norske myndigheter at et russisk statsstøttet aktørnett hadde stått bak angrepet på Bremanger-demningen i april 2025, der angriperne kortvarisk tok kontroll over systemer knyttet til vanninfrastruktur. I 2026 bekreftet PST at kinesiske aktører knyttet til Salt Typhoon-operasjonen hadde rettet angrep mot norsk telekommunikasjonsinfrastruktur.
Nordisk Cyberrapport 2026 dokumenterer 166 bekreftet cyberhendelser mot nordiske mål i 2025, der offentlig sektor, helsevesen og kritisk infrastruktur er de hyppigst angrepne sektorene. MDM-plattformer som Ivanti EPMM representerer en særlig risiko fordi de administrerer enhetene til de ansatte med størst tilgang til sensitive data: toppledere, politikere og sikkerhetsklarerte tjenestemenn.
Nasjonal sikkerhetsmyndighet (NSM) har i sin risikobilde for 2026 understreket at kompromittering av administrasjonsplattformer, herunder MDM-systemer, er et prioritert mål for statlige trusselaktører. NSM anbefaler alle virksomheter med samfunnskritiske funksjoner å gjennomføre en inventar over alle eksponerte administrasjonsgrensesnitt og prioritere patching av disse foran ordinære applikasjonssystemer.
Ivantis respons: Midlertidig patch og permanent løsning
Ivanti reagerte på avsløringen 29. januar 2026 med å publisere midlertidige RPM-patcher som kunne installeres på eksisterende EPMM-installasjoner uten full oppgradering. Patchene adresserte sårbarhetene i både CVE-2026-1281 og CVE-2026-1340, men representerte ikke en permanent løsning.
Den permanente rettingen ble inkludert i versjon 12.8.0.0, annonsert for lansering i Q1 2026. Berørte versjoner inkluderte alle on-premises EPMM-installasjoner frem til og med versjon 12.7.x. Cloud-basert Ivanti Neurons for MDM, samt Ivanti EPM og Ivanti Sentry, var ikke berørt.
I mai 2026 avslørte Ivanti ytterligere fem høy-alvorlighetssårbarheter i EPMM, inkludert CVE-2026-6973, som var under aktiv utnyttelse. Denne sårbarheten krevde autentisering med administratorrettigheter for vellykket utnyttelse, noe som reduserer den praktiske risikoen sammenlignet med januar-nulldagene. I tillegg ble CVE-2026-5786, CVE-2026-5787, CVE-2026-5788 og CVE-2026-7821 patchet, som potensielt muliggjorde rettighetseskalering, sertifikatmisbruk og uautorisert metodetilgang.
MDM-markedet: Ivanti EPMM mot alternative plattformer
Ivantis sårbarhetsproblemer har åpnet en debatt om hvilke MDM-plattformer norske og nordiske virksomheter bør vurdere. Markedet domineres av fem store leverandører, og sikkerhetshistorikken varierer betydelig.
| Plattform | Distribusjonsmodell | CISA KEV-oppføringer | Sist kjente null-dag | Patchingsmodell |
|---|---|---|---|---|
| Ivanti EPMM | On-premises / Cloud | 30+ | Januar 2026 (CVSS 9.8) | Manuell (on-prem) |
| Microsoft Intune | Cloud-only | 0 (EPMM-klasse) | Ikke bekreftet | Automatisk |
| Jamf Pro | Cloud / On-premises | 1 | 2024 | Manuell / Automatisk |
| VMware Workspace ONE | Cloud / On-premises | 4 | 2025 | Manuell / Automatisk |
| Mosyle | Cloud-only | 0 | Ikke bekreftet | Automatisk |
Cloud-only MDM-løsninger som Microsoft Intune og Mosyle skiller seg ut ved at de automatisk mottar sikkerhetsoppdateringer uten at kundene trenger å ta handling. Intunes integrasjon med Azure Active Directory og Conditional Access gjør den til et naturlig valg for Microsoft 365-tunge organisasjoner. Ulempen er at cloud-only løsninger krever internettforbindelse og involverer tredjepartshåndtering av data, noe som kan by på utfordringer for organisasjoner med strenge datasuverenitetskrav.
VMware Workspace ONE, nå under Broadcom etter oppkjøpet i 2023, har hatt sin del av sikkerhetsproblemer, men ingen med omfanget av Ivantis EPMM-serie. Jamf Pro er svært populær i Apple-tunge miljøer og har generelt god sikkerhetshistorikk.
BSI, ENISA og europeisk koordinert respons
Tysklands BSI gikk tidlig ut med advarsler etter at intern etterretning tydet på at EPMM-utnyttelse hadde pågått siden juli 2025. BSI er en av Europas mest ressurssterke cybersikkerhetsmyndigheter og har etablerte kanaler for informasjonsdeling med søsterorganisasjoner i Norden, inkludert NSM i Norge, NCSC i Sverige, CERT-FI i Finland og CFCS i Danmark.
EU-byrået ENISA, som koordinerer cybersikkerhetsarbeid på tvers av EU-landene, inkluderte Ivanti EPMM-sårbarhetene i sitt Early Warning System umiddelbart etter Ivantis avsløring. For EØS-land som Norge, som har tett sikkerhetssamarbeid via NIS2-direktivet (implementert i norsk lov som digitalsikkerhetsloven), betyr dette at informasjon om sårbarhetene og kjente indikatorer på kompromittering ble delt raskt gjennom etablerte kanaler.
NIS2-direktivet, implementert i norsk lovgivning, stiller krav til at virksomheter innen kritiske sektorer rapporterer sikkerhetsbrudd innen 24 timer (foreløpig varsel) og 72 timer (detaljert rapport). Organisasjoner som ble rammet av Ivanti EPMM-brudd og faller under NIS2-jurisdiksjon, var forpliktet til å varsle tilsynsmyndigheter og i mange tilfeller berørte parter. For det nederlandske datatilsynet, som selv er NIS2-relevant virksomhet, er den ironiske situasjonen av å måtte varsle om et eget brudd ikke ubetydelig.
Hva bør norske virksomheter gjøre umiddelbart?
For norske virksomheter som bruker Ivanti EPMM on-premises er tiltakslisten klar og hastepreget. Sikkerhetsavdelinger bør behandle CVE-2026-1281 og CVE-2026-1340 som en kritisk hendelse, ikke en rutineoppgave i neste patchesyklus.
- Oppgrader til versjon 12.8.0.0 umiddelbart. Den midlertidige RPM-patchen er ikke en permanent løsning. Versjon 12.8.0.0 inneholder den faktiske koderettingen for CVE-2026-1281 og CVE-2026-1340.
- Gjennomfør trusseljaktsøk etter web shells. Patching stopper fremtidige angrep, men fjerner ikke web shells som allerede er installert. Søk etter uventede filer i webservermapper og gjennomgå serverlogger for unormale API-kall fra perioden juli 2025 til og med patching.
- Implementer nettverkssegmentering. EPMM-servere bør ikke være direkte tilgjengelige fra internett uten dedikert WAF-filtrering og IP-hvitelisting der det er mulig.
- Aktiver loggeksport til SIEM. EPMM-logger bør videresende hendelser til et sentralt Security Information and Event Management-system for kontinuerlig overvåking.
- Vurder migrasjon til cloud MDM. For organisasjoner uten strenge datasuverenitetskrav er overgangen til cloud-baserte MDM-løsninger verdt å vurdere for å eliminere risikoen knyttet til on-premises eksponering.
- Rapporter til NSM ved mistanke om kompromittering. Norske virksomheter som oppdager indikatorer på kompromittering bør varsle Nasjonal sikkerhetsmyndighet via varslingssystemet for digital infrastruktur (VDI).
“Det er ikke lenger nok å patche raskt. Organisasjoner som bruker Ivanti EPMM bør anta at de er kompromittert inntil det er bevist at de ikke er det, og gjennomføre en full kriminalteknisk gjennomgang av serverne sine fra perioden november 2025 til og med patching.”
Marcus Hutchins, sikkerhetsforsker og malwareanalytiker
Fem spådommer for Ivanti og MDM-sikkerhet
Basert på trender fra 2025-2026 og Ivantis historikk med produktsikkerhet, tegner det seg et klart bilde for de neste 12-18 månedene:
- Ivanti vil tape markedsandeler i europeisk offentlig sektor. Gjentatte kritiske null-dagssårbarheter med CVSS 9.8 i produkter brukt av europeiske regjeringer vil tvinge innkjøpsmyndigheter til å gjennomgå kontraktene sine. Alternativvurderinger vil akselerere fra H2 2026.
- Cloud MDM vil bli standard i nordisk offentlig sektor innen 2028. Kombinasjonen av Ivanti-hendelsene og NIS2-krav om rask varsling vil gjøre risikoprofilen til on-premises MDM uakseptabel for de fleste offentlige virksomheter uten spesielle datasuverenitetsbehov.
- BSI-rapporten om juli 2025-utnyttelse vil utløse regulatorisk etterforskning. Det faktum at utnyttelse pågikk i seks måneder før offentlig avsløring vil sannsynligvis resultere i undersøkelser av Ivantis opplysningspraksis i EU, og muligens i USA under SEC-reglene for cybersikkerhetshendelser.
- Ivanti vil lansere et styrket bug bounty-program i 2026. For å gjenopprette tillit vil Ivanti sannsynligvis øke bug bounty-utbetalingene og etablere en separat sikkerhetsgjennomgangsprosess for EPMM med tredjeparts revisjon.
- Nordisk CERT-samarbeid vil styrkes rundt MDM-spesifikke varsler. Etter EU-kommisjonsbruddet og de nederlandske hendelsene vil ENISA, NSM og nordiske CERT-er etablere dedikerte informasjonsdelingsformater for MDM-plattformsårbarheter.
Relatert dekning
Les mer om cybersikkerhetstrusler mot Norden
- Nordisk Cyberrapport 2026: 166 Angrep, 66% Varsler Trusseltopp
- Verizon DBIR 2026: 31% Angrep Via Sårbarhet, 22.000 Brudd
- NIS2 i Norge: 5.000 virksomheter, 4% bot
- Salt Typhoon i Norge: PST bekrefter Kina-angrep
- Bremanger-demningen hacket av Russland: 7,2M liter ut
- cPanel-bruddet: CVSS 9.8, 1,5 mill. servere
Ofte stilte spørsmål
Er Ivanti Neurons for MDM (cloud) berørt av CVE-2026-1281?
Nei. CVE-2026-1281, CVE-2026-1340 og de øvrige EPMM-sårbarhetene berører kun on-premises installasjoner av Ivanti EPMM. Ivanti Neurons for MDM (cloud-versjonen), Ivanti EPM og Ivanti Sentry er ikke berørt av disse sårbarhetene.
Hvor raskt må on-premises EPMM-brukere patche?
CISA satte en frist på tre dager (1. februar 2026) for amerikanske føderale etater. For norske offentlige etater er det juridisk anbefalte minimum å patche umiddelbart. NIS2-virksomheter bør behandle dette som en P1-hendelse med patching innen 24 timer. Midlertidige RPM-patcher fra Ivanti er tilgjengelige og kan installeres uten full oppgradering til versjon 12.8.0.0.
Er det nok å installere patchen, eller bør vi sjekke om vi er kompromittert?
Patching alene er ikke nok. BSI og Unit 42 har begge bekreftet at angriperne installerte web shells for vedvarende tilgang etter initial utnyttelse. Patching stopper ny utnyttelse, men fjerner ikke en allerede eksisterende web shell. Alle EPMM-operatører bør gjennomføre aktiv trusseljaktsøk for indikatorer på kompromittering, spesielt for perioden juli 2025 til og med patching.
Hvilke indikatorer på kompromittering finnes for disse sårbarhetene?
GreyNoise, Unit 42 og Rapid7 har publisert IoC-sett (Indicators of Compromise). Typiske indikatorer inkluderer uventede prosesser startet av webserverprosessen, nye filer i webservermapper og uvanlige utgående nettverksforbindelser fra EPMM-servere. CISA har anbefalt å bruke Ivantis Integrity Checker Tool (ICT) for verifisering, men advarer om at ICT-resultater kan variere og ikke gir garantert deteksjon.
Hvem stod bak angrepene mot EU-kommisjonen?
Per juni 2026 er det ikke publisert noen offentlig attribusjon av angrepene mot EU-kommisjonen og de nederlandske myndighetene via Ivanti EPMM. Historisk har statsstøttede aktører fra Kina tilskrevet Ivanti Connect Secure-utnyttelse (CVE-2025-22457) av Google Mandiant, men en offisiell attribusjon for februar 2026-angrepene er ikke bekreftet.
Hva er forholdet mellom Ivanti EPMM og MobileIron?
Ivanti kjøpte MobileIron i 2020. MobileIron Core ble siden omdøpt til Ivanti Endpoint Manager Mobile (EPMM). Teknisk sett er det samme produktet med oppdatert merkevarenavn. Eldre installasjoner basert på MobileIron Core er fullt kompatible med de aktuelle sårbarhetene, og organisasjoner som fortsatt refererer til produktet som MobileIron Core bør umiddelbart kontrollere sin patchestatus.
Bør norske virksomheter bytte fra Ivanti EPMM?
Det avhenger av virksomhetens risikotoleranse og datasuverenitetskrav. For organisasjoner uten strenge krav til databehandling i Norge er Microsoft Intune (cloud-only) et naturlig alternativ for Microsoft 365-miljøer. For Apple-tunge miljøer er Jamf Pro et modent valg med god sikkerhetshistorikk. Det vedvarende mønsteret av kritiske null-dagssårbarheter i Ivanti EPMM gjør risikovurderingen stadig mer tyngende for on-premises brukere.
Kilder: Tenable: CVE-2026-1281 og CVE-2026-1340 analyse | Rapid7: Kritisk EPMM zero-day ETR | Unit 42: Kampanjeanalyse | Hadrian Security: Teknisk dybdeanalyse | GreyNoise: Rekognoseringdata
