Den 29 januari 2026 avslöjade Ivanti två kritiska nolldagssårbarheter i Endpoint Manager Mobile (EPMM), ett MDM-system (Mobile Device Management) som används av statliga myndigheter, sjukvårdsorganisationer och tillverkningsföretag globalt. Båda sårbarheterna, CVE-2026-1340 och CVE-2026-1281, fick CVSS-betyget 9,8 av 10,0 och möjliggjorde autentiseringsfri fjärrkörning av kod. Shadowserver dokumenterade 86 komprometterade instanser och identifierade nästan 1 300 EPMM-servrar exponerade mot internet vid avslöjandet. Proof-of-concept-kod publicerades redan dagen därpå.

Dubbla nolldagars sårbarheter med CVSS 9,8

Ivanti avslöjade CVE-2026-1340 och CVE-2026-1281 den 29 januari 2026 efter att intern utredning bekräftade aktiv exploatering i verkligheten. Båda sårbarheterna klassificeras som pre-autentiserings-RCE, det vill säga en angripare behöver inga giltiga inloggningsuppgifter för att köra godtycklig kod på en drabbad server. CVSS-betyget 9,8 placerar dem i kategorin “kritisk” på den högsta möjliga risknivån utan att nå det absoluta taket 10,0.

CVE-2026-1340 och CVE-2026-1281 är separata buggar i olika bash-skript och funktioner inom EPMM-plattformen. CVE-2026-1340 är kopplad till funktionen för distribution av interna appar (In-House Application Distribution), medan CVE-2026-1281 berör Android File Transfer-mekanismen. Trots sina tekniska skillnader delar de samma grundläggande orsak: osäker hantering av angriparkontrollerad indata i bash-skriptmiljön, en arkitektursvaghet som genomsyrar hela Ivantis produktportfölj.

Drabbade versioner inkluderar EPMM 12.5.0.0, 12.5.1.0, 12.6.0.0, 12.6.1.0 och 12.7.0.0, samt alla äldre versioner. Ivanti bekräftade att molntjänsten Ivanti Neurons for MDM inte berörs och att Ivanti Endpoint Manager (EPM) stod utanför den direkta riskzonen för dessa specifika CVE:er.

Vad är Ivanti Endpoint Manager Mobile?

Ivanti EPMM, tidigare känt som MobileIron MDM, är en MDM-plattform (Mobile Device Management) för central hantering av mobila enheter i företags- och offentlig sektor. Systemet används för att distribuera appar, tvinga fram krypteringspolicyer, fjärradera enheter vid stöld och styra autentiseringskonfigurationer för hela organisationens mobila flotta från ett enda administrationsgränssnitt.

I myndighets- och försvarskontexter hanterar EPMM inte vilken IT-infrastruktur som helst. Plattformen kontrollerar enhetens GPS-positionsdata, telefonnummer, unika enhetsidentifierare (IMEI), MDM-policykonfigurationer och autentiseringsinställningar för samtliga anslutna mobila enheter. En komprometterad EPMM-server ger angriparen tillgång till alla dessa datakategorier och möjlighet till sidorörelser (lateral movement) via anslutna Ivanti Sentry-instanser.

Ivantis MDM-plattform används brett av statliga och regionala myndigheter i USA, Europa och Australien. Det faktum att EPMM körs som en lokal server (on-premises) snarare än molntjänst innebär att organisationerna själva ansvarar för patchning, vilket historiskt lett till försenad uppdatering och förlängd exponering. Enligt säkerhetsforskare vid BleepingComputer är detta det strukturella problem som återkommer i varje Ivanti-incident.

Teknisk analys: hur sårbarheterna fungerar

Grundorsaken till CVE-2026-1340 och CVE-2026-1281 är oskyddad bash-aritmetisk expansion, ett mönster där angriparkontrollerad indata skickas direkt till bash-skript utan sanering. Specifikt identifierade säkerhetsforskare att skripten map-appstore-url och map-aft-store-url bearbetar HTTP-förfråganparametrar direkt i bash-uttryck, vilket tillåter kodinjicering utan autentisering.

En angripare skickar en specialutformad HTTP GET-förfrågan till en exponerad EPMM-endpoint. Servern bearbetar förfrågan via ett av de drabbade bash-skripten och angriparkontrollerade data körs som systemkommandon med applikationens privilegier. Beroende på serverkonfiguration kan detta resultera i full systemkompromiss med administratörsrättigheter.

Horizon3.ai beskrev attackpotentialen: exploatering kan leda till “fullständig kompromiss av EPMM-servern, obehörig åtkomst till hanterade mobila enheter och företagsdata, samt sidorörelser till anslutna system.” Sårbarhetens enkla exploaterbarhet, kombinerad med att ingen autentisering krävs och att inga ingrepp av slutanvändaren behövs, förklarar varför CISA reagerade med en av de kortaste åtgärdsfristerna i KEV-katalogens historia.

Forskare från Rapid7 publicerade en teknisk analys med detaljerade PoC-detaljer redan den 30 januari 2026, ett dygn efter avslöjandet. Det snabba utgivandet av PoC-kod är en medveten strategi: ju snabbare administratörer förstår hur enkelt sårbarheten utnyttjas, desto starkare motivation att patcha omedelbart.

Exploateringsstatistik: 1 300 exponerade, 86 komprometterade

Shadowserver Foundation, den ideella säkerhetsorganisationen som kontinuerligt skannar internet för exponerade tjänster, identifierade nästan 1 300 EPMM-instanser exponerade mot internet vid tidpunkten för avslöjandet. Av dessa bekräftade Shadowserver 86 komprometterade instanser baserat på artefakter och indikatorer på exploatering.

Piotr Kijewski från Shadowserver konstaterade: “Angripare med olika avsikter och ursprung komprometterar fortfarande ytterligare Ivanti EPMM-instanser.” Formuleringen antyder att attackerna inte kom från en enda hotaktör utan från flera oberoende grupper som utnyttjar samma sårbarhet parallellt, allt från cyberkriminella med ransomware-agenda till statsunderstödda spionageoperationer.

Rapid7 satte upp ett honeypot-system för att mäta attackvolymen i realtid. Under en enda 24-timmarsperiod registrerade honeypoten hundratals inkommande anslutningar från mer än 130 unika IP-adresser, varav 58 procent direkt försökte utnyttja de aktuella Ivanti EPMM-sårbarheterna. Christiaan Beek från Rapid7 beskrev attackmönstret: “De dominerande payloaderna var byggda för att snabbt ta kontroll via omvända skal, försök att distribuera webshells och automatiserade payload-droppers.”

MätvärdeAntalKälla
EPMM-instanser exponerade mot internetNästan 1 300Shadowserver, jan 2026
Bekräftade komprometterade instanser86Shadowserver, jan 2026
Unika angripande IP-adresser (24 timmar)Mer än 130Rapid7 honeypot, jan 2026
Andel IP:n som direkt försökte exploatera CVE:erna58%Rapid7 honeypot, jan 2026
Tid till offentlig PoC-kod efter avslöjande1 dag (30 jan 2026)Rapid7, jan 2026
CISA KEV-frist för federala myndigheter3 dagar (frist 1 feb 2026)CISA KEV, jan 2026
Driftstopp krävs för temporär patchIngetUnit 42 / Ivanti, jan 2026

Drabbade sektorer och länder

Unit 42, Palo Alto Networks hotforskningsteam, dokumenterade att aktiv exploatering påverkade organisationer i USA, Tyskland, Australien och Kanada. Drabbade sektorer inkluderade statliga och kommunala myndigheter, sjukvård och tillverkning, en kombination som understryker hur brett EPMM används inom kritisk infrastruktur och varför konsekvenserna av en kompromiss är så allvarliga.

Myndighetsanvändning av EPMM är särskilt känslig av strukturella skäl. Statliga enheter hanterar skyddsvärda personuppgifter, hemligstämplade dokument och kritiska systemadministrationskonton via sina mobila enheter. En komprometterad MDM-server ger potentiellt åtkomst till alla dessa kategorier och kan fungera som språngbräda mot mer skyddade delar av organisationsnätverket.

Inom sjukvårdssektorn hanteras mobila enheter som innehåller patientjournaldata, medicinska bilder och autentiseringsinformation för vårdinformationssystem via EPMM. En framgångsrik attack mot sjukvårdens EPMM-infrastruktur kan äventyra GDPR-efterlevnad och leda till avslöjande av skyddad hälsoinformation för ett stort antal patienter. I EU-sammanhang innebär ett sådant dataintrång obligatorisk anmälan till tillsynsmyndigheten inom 72 timmar.

Angreppskedjan: från HTTP-begäran till systemkompromiss

Attackkedjan för CVE-2026-1340 och CVE-2026-1281 är ovanligt kort, vilket förklarar dels den snabba spridningen och dels den tremme dagars CISA-fristen. Forskarna från Rapid7 och Horizon3.ai kartlade följande steg:

  1. Rekognosering: Angriparen identifierar exponerade EPMM-instanser via Shodan, Censys eller liknande sökmotorer för internet-anslutna enheter. Med nästan 1 300 exponerade instanser krävs minimal ansträngning.
  2. Initial åtkomst: Angriparen skickar en specialutformad HTTP GET-förfrågan till en sårbar EPMM-endpoint. Inga inloggningsuppgifter krävs och inga användare behöver luras att klicka på något.
  3. Kodexekvering: EPMM:s bash-skript bearbetar den angriparkontrollerade parametern utan sanering. Resultatet är omedelbar kodexekvering på servern med applikationsprivilegier.
  4. Persistens: Angriparen installerar ett webshell eller en omvänd kanal för att behålla åtkomst även om den ursprungliga exploateringen stängs via patchning.
  5. Datainsamling: Med full systemåtkomst extraheras telefonnummer, enhetidentifierare, GPS-positionshistorik, MDM-policykonfigurationer och autentiseringsinformation.
  6. Sidorörelser: Via EPMM:s anslutning till Ivanti Sentry-instanser kan angriparen röra sig vidare in i det bredare företagsnätverket och kompromettera ytterligare system.

Det observerade payloadmönstret, omvända skal, webshell-distribuering och automatiserade payload-droppers, indikerar att angriparna prioriterade persistent åtkomst och automatiserad massexploatering framför omedelbar datastöld. Automatiserade payload-droppers tillåter angriparna att snabbt kompromettera ett stort antal instanser och hantera dem som en koordinerad angreppsinfrastruktur.

CISA:s nödreaktion: tre dagars åtgärdskrav

CISA (Cybersecurity and Infrastructure Security Agency) lade till CVE-2026-1281 i sin KEV-katalog (Known Exploited Vulnerabilities) och satte åtgärdsfristen till den 1 februari 2026, bara tre dagar efter att Ivanti offentliggjorde sårbarheterna. Tremme dagars frist är bland de kortaste CISA har utfärdat för en KEV-åtgärd, ett tydligt tecken på att myndigheten bedömde risken som extremt akut.

KEV-katalogen gäller formellt för federala civila myndigheter inom FCEB (Federal Civilian Executive Branch), men CISA uppmanar starkt alla privata organisationer att följa samma rekommendationer. Fristen på tre dagar är jämförbar med vad som gäller för aktivt utnyttjade nolldagar i produkter som Microsoft Exchange och Citrix NetScaler, system som historiskt attraherat statsunderstödda hotaktörer och föranlett de snabbaste KEV-åtgärdsfristerna.

Ivanti publicerade temporära RPM-patchar omedelbart vid avslöjandet och bekräftade att dessa inte kräver driftstopp, en kritisk detalj för myndigheter som inte kan tillåta sig servicehantering i känsliga infrastrukturer under ordinarie arbetstid. Den permanenta åtgärden, version 12.8.0.0, planerades till Q1 2026. Unit 42 bekräftade att patcharna inte påverkar funktionalitet och att ingen systemkompromiss av patchningsprocessen är nödvändig.

Observationer från fältet: Rapid7 och Shadowserver

Rapid7 kombinerade honeypot-analys med teknisk forskning och publicerade sina resultat snabbt för att ge säkerhetsteam handlingsbar information. Christiaan Beek, säkerhetsforskare på Rapid7, dokumenterade att honeypoten registrerade aktivitet från över 130 unika IP-adresser under ett enda dygn, varav 58 procent direkt försökte exploatera CVE:erna snarare än att utföra bredare nätverksrekognosering.

Beek identifierade tre dominerande payloadkategorier i attacktrafiken: omvända skal för interaktiv kommandoåtkomst, webshell-distributionsförsök för persistent bakdörr och automatiserade payload-droppers för massexploatering. Kombinationen antyder att angriparna inte var opportunistiska individer utan välorganiserade hotaktörer med infrastruktur optimerad för storskalig exploatering av sårbarhetsfönstret.

Shadowserver kompletterade bilden med kontinuerliga internet-skanningar. Piotr Kijewski konstaterade att 86 instanser uppvisade kompromissindikatorer tidigt i förloppet och betonade att attackerna kom från flera håll: “Angripare med olika avsikter och ursprung komprometterar fortfarande ytterligare Ivanti EPMM-instanser.” Formuleringen pekar mot parallella attackkampanjer med potentiellt skilda mål, allt från cyberkriminalitet och ransomware-distributioner till statsunderstödd spionage mot myndigheter och försvarsrelaterade organisationer.

Tenable, vars forskarteam analyserade sårbarheternas tekniska karaktär, underströk i sina rapporter att exploateringen var “mestadels automatiserad”, vilket bekräftar att angriparna använde skannings- och exploateringsautomation snarare än manuellt riktade attacker mot specifika organisationer. Automatiserad massexploatering mot ett känt sårbart system är det effektivaste sättet att utnyttja det begränsade tidsfönster som uppstår mellan avslöjande och patchning.

Ivantis historia av nolldagar: ett återkommande mönster

CVE-2026-1340 och CVE-2026-1281 är inte isolerade incidenter utan del av ett dokumenterat mönster av kritiska sårbarheter i Ivantis produktportfölj. En granskning av de senaste tre åren avslöjar en oroväckande frekvens av nolldagar med liknande egenskaper: pre-autentiserings-RCE, aktiv exploatering vid avslöjandet och snabba CISA-reaktioner.

ÅrProduktCVECVSSExponeringDrabbade
2023-2024Connect Secure / Policy SecureCVE-2023-46805, CVE-2024-218878,2 och 9,128 000 instanser i 145 länder600+ bekräftade kompromisser
Jan 2025Connect SecureCVE-2025-0282, CVE-2025-0283KritiskAktiv exploatering vid avslöjandeBegränsad offentlig statistik
Jan 2026EPMMCVE-2026-1281, CVE-2026-13409,8 och 9,81 300 exponerade86 bekräftade kompromisser
2026SentryCVE-2026-10520, CVE-2026-1052310,0 och 9,9Internetexponerade Sentry-instanserEj känd exploatering vid avslöjande

Mönstret är tydligt: Ivantis internetvända produkter har vid upprepade tillfällen innehållit kritiska pre-autentiseringssårbarheter med CVSS-betyg i intervallet 8,2 till 10,0. Den 2023-2024 kampanjen mot Connect Secure och Policy Secure resulterade i att över 28 000 instanser exponerades i 145 länder, med mer än 600 bekräftade kompromisser. Mandiant kopplade dessa attacker till UNC5221, en hotgrupp med kopplingar till kinesisk statssponsrad verksamhet.

Den upprepade historiken av pre-autentiserings-RCE i Ivantis produkter pekar mot ett systemiskt problem i kodgranskning och säker mjukvaruutveckling snarare än enskilda implementationsfel. Säkerhetsforskare vid flera organisationer pekar på att bash-baserade webbapplikationsgränssnitt i grunden är riskfyllda och att migrering till säkrare programmeringsspråk och moderna webbramverk är den enda långsiktiga lösningen.

Ivanti Sentry: CVSS 10,0 följer tätt

Parallellt med EPMM-sårbarheterna avslöjades ytterligare kritiska buggar i Ivanti Sentry, plattformens gateway-komponent som hanterar kommunikation mellan hanterade enheter och företagets interna resurser. CVE-2026-10520 fick CVSS-betyget 10,0, det maximalt möjliga värdet, och CVE-2026-10523 fick 9,9. Dessa sårbarheter möjliggör OS-kommandoinjektion och autentiseringsförbikoppling som leder till fjärrkörning av kod med systemadministratörsprivilegier.

Vid avslöjandet uppgav Ivanti att de inte kände till aktiv exploatering av Sentry-sårbarheterna, en viktig distinktion jämfört med EPMM-fallen där exploatering var pågående. Men kombinationen av CVSS 10,0 och Sentrys roll som kommunikationsgateway för EPMM skapar ett allvarligt kedjeangreppsscenario.

En angripare som via CVE-2026-1340 komprometterar EPMM-servern kan sedan utnyttja den etablerade åtkomsten och nätverkspositionen för att attackera Sentry via CVE-2026-10520. Resultatet är full kontroll över organisationens mobila infrastruktur, inklusive all kommunikation mellan hanterade enheter och det interna nätverket. Säkerhetsforskare beskriver detta som en av de allvarligaste kombinerade attackvektorerna i Ivantis produkthistorik.

Konsekvenser för nordiska organisationer och NIS2

För nordiska organisationer som använder Ivanti EPMM tillkommer NIS2-direktivets krav som en ytterligare dimension. Direktivet, implementerat i Sverige via Cybersäkerhetslagen, kräver att organisationer inom kritisk infrastruktur rapporterar allvarliga cyberincidenter inom 24 timmar och implementerar lämpliga riskhanteringsåtgärder för att förebygga sådana incidenter.

En organisation som driftsätter EPMM men inte patchade inom den tidsfrist CISA rekommenderade riskerar att ha brutit mot NIS2:s krav på tillräckliga tekniska åtgärder. Det räcker inte att bevisa att man kände till sårbarheten. Myndigheten för samhällsskydd och beredskap (MSB), som är tillsynsmyndighet i Sverige under Cyber Resilience Act och NIS2, kan begära dokumentation om hur och när patchning genomfördes, samt vilka kompensatoriska åtgärder som vidtogs under exponeringsfönstret.

Enligt Nordic CISO-rapport 2026 har genomsnittlig exploateringstid för kritiska sårbarheter fallit med 95 procent sedan 2021. Det innebär att en sårbarhet som publiceras måndag exploateras i stor skala inom dagar, inte veckor. För Ivantis EPMM-fall var offentlig PoC-kod tillgänglig redan dagen efter avslöjandet, vilket komprimerade det handlingsfönster inom vilket organisationer måste agera till under 24 timmar.

Sverige toppar Norden med 60 dokumenterade cyberincidenter mot inhemska organisationer under 2025, enligt DNV:s nordiska säkerhetsrapport. MDM-infrastruktur används i stor utsträckning av svenska statliga myndigheter, regioner och kommuner och utgör därmed ett primärt mål för hotaktörer som söker åtkomst till bred offentlig sektor-data. Se även vår analys av ransomware-situationen i Sverige och Norden för den bredare hotbilden.

Rekommenderade åtgärder för it-säkerhetsteam

Ivanti, CISA och oberoende säkerhetsforskare har publicerat samstämmiga rekommendationer för organisationer som driftsätter EPMM. Dessa åtgärder bör prioriteras i den ordning de presenteras:

  1. Patcha omedelbart: Installera Ivantis temporära RPM-patchar för den EPMM-version som körs. Ivanti bekräftade att patcharna inte kräver driftstopp och inte påverkar systemfunktionalitet.
  2. Behandla exponerade system som komprometterade: Om EPMM-instansen var internetexponerad och opatchad under perioden januari 2026 eller tidigare bör systemet behandlas som komprometterat tills en fullständig forensisk analys genomförts.
  3. Granska Sentry-konfigurationer: Kontrollera alla anslutningar från EPMM till Ivanti Sentry och sök efter tecken på obehörig åtkomst eller konfigurationsändringar som inte följer godkänd ändringshantering.
  4. Sök aktivt efter persistensmekanismer: Leta efter installerade webshells, ovanliga bakgrundsprocesser, misstänkta cron-jobb och ändringar i systemfiler som kan indikera att en angripare etablerat persistens.
  5. Granska autentiseringskonfigurationer: Kontrollera att inga obehöriga administrativa konton skapats och att MDM-policyer inte ändrats utan godkänd begäran i ärendehanteringssystemet.
  6. Uppgradera till 12.8.0.0: Den permanenta åtgärden ingår i version 12.8.0.0 och ska installeras så snart den finns tillgänglig för den aktuella produktbranchen.
  7. Begränsa internetexponering: EPMM-administrationsgränssnitt ska aldrig vara direkt tillgängliga från internet utan kräver VPN-åtkomst eller IP-vitlistning för administrativa endpoints.

Marknadspåverkan och konkurrensanalys

Ivantis upprepade säkerhetsincidenter skapar ett växande trovärdighetsproblem på MDM-marknaden. Konkurrenterna Microsoft Intune, VMware Workspace ONE och Jamf erbjuder alternativa plattformar med delvis annorlunda arkitektoniska val. Microsoft Intune körs helt i Azure-molnet, vilket eliminerar kategorin av on-premises-sårbarheter som drabbat Ivanti EPMM upprepade gånger. VMware Workspace ONE erbjuder hybridinstallation med strängare nätverkssegmentering som standard och kräver inte att administrationsgränssnittet är internetexponerat.

Säkerhetsanalytiker på Gartner och Forrester har i sina senaste rapporter lyft fram Ivantis sårbarhethistorik som en konkret riskfaktor i upphandlingsbeslut. Organisationer som utvärderar MDM-plattformar förväntas nu inkludera antalet kritiska CVE:er och mediantiden för patchning i sina utvärderingskriterier, parametrar där Ivanti för närvarande har en negativ trend jämfört med molnbaserade konkurrenter.

Unit 42, vars forskarteam vid Palo Alto Networks kontinuerligt spårar hotaktörer och deras exploateringspreferenser, noterar att internetvända MDM-plattformar med on-premises-arkitektur är en växande kategori för statsunderstödda aktörer. Värdet av MDM-data, kombinerat med de historiska patchningsfördröjningarna i sektorn, gör kategorin till ett primärt mål för sofistikerade hotgrupper.

För befintliga Ivanti EPMM-kunder är migrationskostnaden till alternativa plattformar betydande. En fullständig MDM-migration för en stor myndighet tar typiskt 12 till 18 månader och kräver kompatibilitetsvalidering för alla hanterade enheter och applikationer. Det innebär att Ivanti behåller sin kundbas kortsiktigt, men riskerar att accelerera utflödet när nästa kontraktscykel löper ut och säkerhetsargumentet för migration stärkts ytterligare av upprepade incidenter.

Prognoser: vad händer härnäst?

Baserat på händelseförloppet kring CVE-2026-1340 och CVE-2026-1281, Ivantis historiska mönster och den bredare trenden mot exploatering av MDM-infrastruktur kan följande scenarier bedömas som sannolika under 2026:

  1. Statsunderstödda aktörer identifieras: Precis som 2023-2024 EPMM-kampanjen slutligen kopplades till kinesiska APT-grupper, är det sannolikt att en eller flera av de 86 komprometterade instanserna i 2026 års kampanj kopplas till statsunderstödd spionageverksamhet under Q2-Q3 2026, troligen via Mandiant- eller NSA-attribuering.
  2. Fler Ivanti-CVE:er under 2026: Det historiska mönstret visar kritiska nolldagar ungefär var sjätte till tolfte månad i Ivantis produktlinje. Med Ivanti Sentry-sårbarheterna (CVSS 10,0 och 9,9) nyligen avslöjade är nästa troliga attackyta Ivantis VPN-produkter eller Connect Secure-plattformen.
  3. MDM-infrastruktur som primärt attackmål: MDM-plattformar kombinerar hög värdekoncentration, bred åtkomst till känsliga data och historiskt sämre patchhastighet jämfört med klientoperativsystem. Fler MDM-leverantörer, inte bara Ivanti, kommer att se ökad säkerhetsforskning på sina produkter under 2026.
  4. NIS2-tillsynsärenden mot sena patchers: Myndigheterna i Sverige och andra EU-länder kommer troligen att initiera de första formella NIS2-tillsynsärendena mot organisationer som inte patchade kritiska sårbarheter inom rimlig tid under 2026, med Ivanti EPMM som ett möjligt referensfall för vad som räknas som “lämpliga tekniska åtgärder”.
  5. Accelererad migration från Ivanti: Organisationer med MDM-kontrakt som löper ut under 2026-2027 kommer i ökad utsträckning att välja bort Ivanti. Microsoft Intune är den primära beneficiären, givet Microsofts etablerade position i statliga IT-miljöer och Intunes integrering i Microsoft 365-licensstrukturen som de flesta nordiska myndigheter redan betalar för.

Relaterat innehåll

Fler kritiska CVE:er och cybersäkerhetsanalyser

Vanliga frågor om Ivanti EPMM CVE-2026-1340

Vad är CVE-2026-1340?

CVE-2026-1340 är en kritisk pre-autentiserings-RCE-sårbarhet (Remote Code Execution) i Ivanti Endpoint Manager Mobile (EPMM). Sårbarheten, med CVSS-betyget 9,8, uppstår genom osäker hantering av angriparkontrollerad indata i ett bash-skript kopplat till In-House Application Distribution-funktionen. En angripare kan skicka en specialutformad HTTP-förfrågan och köra godtycklig kod på servern utan att behöva autentisera sig.

Vilka versioner av Ivanti EPMM är drabbade?

Drabbade versioner inkluderar EPMM 12.5.0.0, 12.5.1.0, 12.6.0.0, 12.6.1.0 och 12.7.0.0, samt alla äldre versioner. Ivanti Neurons for MDM (molntjänsten), Ivanti Endpoint Manager (EPM) och Ivanti Sentry är inte direkt påverkade av dessa specifika CVE:er, men Sentry har egna kritiska CVE:er (CVE-2026-10520 med CVSS 10,0) som kräver separat patchning.

Hur snabbt kom angriparna igång?

Mycket snabbt. Ivanti avslöjade sårbarheterna den 29 januari 2026. Rapid7 publicerade en offentligt tillgänglig proof-of-concept-exploit den 30 januari 2026, dagen efter avslöjandet. Rapid7:s honeypot registrerade inom 24 timmar mer än 130 unika IP-adresser som försökte exploatera sårbarheterna, varav 58 procent direkt riktade in sig på de aktuella CVE:erna.

Vad kan angripare göra efter ett lyckat angrepp?

En framgångsrik exploatering ger angriparen systemåtkomst till EPMM-servern. Från den positionen kan angriparen extrahera telefonnummer, enhetidentifierare, GPS-positionsdata, MDM-policykonfigurationer och autentiseringsinformation för samtliga hanterade enheter. Angriparen kan dessutom modifiera MDM-policyer, distribuera skadlig kod till hanterade enheter och röra sig lateralt till anslutna Ivanti Sentry-instanser och därifrån vidare in i det bredare nätverket.

Hur patchar jag Ivanti EPMM?

Ivanti publicerade temporära RPM-patchar för varje drabbad version (12.5, 12.6 och 12.7) direkt vid avslöjandet. Patcharna kräver inga omstarter och inga driftstopp. Den permanenta åtgärden ingår i version 12.8.0.0, planerad för Q1 2026. Ladda ned och installera den RPM-patch som matchar din EPMM-version och verifiera att installationen lyckades via administrationsgränssnittet.

Hur påverkas svenska organisationer av NIS2?

Organisationer som omfattas av NIS2-direktivet, implementerat i Sverige via Cybersäkerhetslagen, är skyldiga att implementera lämpliga tekniska åtgärder för att hantera cybersäkerhetsrisker. Att inte patcha en CVSS 9,8-sårbarhet inom rimlig tid kan betraktas som bristande riskhantering och utlösa tillsyn från MSB. Incidenter där kompromiss misstänks ska rapporteras till NCSC inom 24 timmar från att organisationen blev medveten om incidenten.

Varför har Ivanti så många kritiska sårbarheter?

Säkerhetsforskare pekar på Ivantis utbredda användning av bash-baserade webbgränssnitt som en strukturell riskfaktor. Bash är inte designat för att på ett säkert sätt bearbeta webbtrafik och saknar de inbyggda kontroller för indatasanering som moderna programmeringsspråk och webbramverk erbjuder. Ivantis produkter speglar arkitektoniska beslut från en era när internetexponerade administrationsgränssnitt var ovanligare och angriparna färre. Migrering till en säkrare teknikstack är den enda långsiktiga lösningen och förväntas minska frekvensen av denna typ av sårbarheter.

Vilka alternativ finns till Ivanti EPMM?

De primära alternativen är Microsoft Intune (molnbaserat, integrerat i Microsoft 365), VMware Workspace ONE (hybrid- och molninstallation), Jamf (primärt för Apple-enheter) och SOTI MobiControl. Microsoft Intune är det vanligaste alternativet för statliga myndigheter i Sverige och Norden som redan har Microsoft 365-licenser. Intunes molnbaserade arkitektur eliminerar kategorin av on-premises-nolldagar som drabbat Ivanti EPMM upprepade gånger och minskar organisationens eget patchningsansvar avsevärt.