Skip to content
arrow-alt-circle-up icon

Cyber Incident?

arrow-alt-circle-up icon

Call 00800 1744 0000

arrow-alt-circle-up icon

See all Threat Responses

On the 29th of January, Ivanti released an update for their Endpoint Manager Mobile which resolved two critical severity vulnerabilities. These vulnerability are tracked under CVE-2026-1281 [1] and CVE-2026-1340 [2], both rated with a CVSS score of 9.8. We urge all recipients to ensure that the affected systems are patched as per vendor recommendation. [3] The Netherlands Cyber Security Center (NCSC-NL) reports active exploitation the vulnerability and requests that all organisations which use Ivanti Endpoint Manager Mobile contact the NCSC-NL. [4]
 
Description
Successful exploitation of the pre-authentication remote code execution vulnerability allows a remote attacker to issue operating system commands under the context of the site user. No user interaction or authentication is required for exploitation.The vulnerability affects the following Ivanti Endpoint Manager Mobile versions:

  • 12.5.0.0 and prior
  • 12.6.0.0 and prior
  • 12.7.0.0 and prior
  • 12.5.1.0 and prior
  • 12.6.1.0 and prior
The NCSC reports that attackers are actively exploiting this vulnerability to copy and exfiltrate the internal “mifs” database of EPMM servers, containing sensitive device information (IMEI, SIM, phone numbers), LDAP directory data, and Office365 access tokens. [4]
 
Impact
We estimate the impact of this vulnerability as HIGH based on the fact that it allows Unauthenticated Remote Code Execution on EPMM appliances and unauthorized access to EPMM administrative functionality.
 
Risk
We assess the risk as HIGH as there is active exploitation reported and there is a proof-of-concept exploitation publicly available.
 
Mitigation
Organisations using EPMM should apply either the RPM 12.x.0.x or RPM 12.x.1.x patches, depending on their current version. These RPMs are version‑specific (not vulnerability‑specific), so only the matching patch should be applied.
Important: The RPM script does not persist through version upgrades. After upgrading the appliance, the RPM patch must be reapplied.

Ivanti states that a permanent fix will be included in version 12.8.0.0 [3].
 
What should you do?
In order to resolve the remote code execution vulnerability, we recommend to immediately apply patches provided by Ivanti. The NCSC urges all organizations using Ivanti EPMM to contact them and immediately follow an assume‑breach approach due to confirmed compromises at multiple organizations. [4]
 
What will Northwave do?
Vulnerability Management customers will be informed in case vulnerable systems are detected in their infrastructure. IoCs shared by the NCSC-NL have been included in the monitoring for our MDR customers.We will monitor any developments regarding this vulnerability. If new critical information about this threat arises we will reach out to you. You can call us by phone or send us an email if you would like additional information.

E-mail: soc@northwave-cybersecurity.com
Do you have an incident right now? Call our Incident Response Team: 00800 1744 0000
 
Disclaimer applies, see below.
 
Sources

 

Op 29 januari heeft Ivanti een update uitgebracht voor hun Endpoint Manager Mobile waarmee twee kwetsbaarheden met een kritieke ernst zijn verholpen. Deze kwetsbaarheden worden gevolgd onder CVE‑2026‑1281 [1] en CVE‑2026‑1340 [2], beide beoordeeld met een CVSS‑score van 9.8. Wij dringen er bij alle ontvangers op aan om ervoor te zorgen dat alle getroffen systemen worden gepatcht volgens de aanbevelingen van de leverancier [3]. Het Nationaal Cyber Security Centrum (NCSC) meldt actief misbruik van de kwetsbaarheid en verzoekt alle organisaties die gebruikmaken van Ivanti Endpoint Manager Mobile om contact op te nemen met het NCSC [4].

Beschrijving
Succesvolle exploitatie van de pre‑authenticatie remote code execution‑kwetsbaarheid stelt een externe aanvaller in staat besturingssysteemcommando’s uit te voeren onder de context van de sitegebruiker. Voor exploitatie is geen gebruikersinteractie of authenticatie vereist.De kwetsbaarheid treft de volgende versies van Ivanti Endpoint Manager Mobile:

  • 12.5.0.0 en ouder
  • 12.6.0.0 en ouder
  • 12.7.0.0 en ouder
  • 12.5.1.0 en ouder
  • 12.6.1.0 en ouder

Het NCSC meldt dat aanvallers deze kwetsbaarheid actief misbruiken om de interne “mifs”-database van EPMM‑servers te kopiëren en te exfiltreren. Deze database bevat gevoelige apparaatgegevens (IMEI, SIM, telefoonnummers), LDAP‑directorygegevens en Office365‑toegangstokens [4].

Impact
Wij schatten de impact van deze kwetsbaarheid als HOOG, aangezien deze ongeauthenticeerde remote code execution op EPMM‑appliances mogelijk maakt en ongeautoriseerde toegang tot EPMM‑beheersfunctionaliteit biedt.

Risico
Wij beoordelen het risico als HOOG, omdat er sprake is van actief gemeld misbruik en er openbaar beschikbare proof‑of‑concept exploitatie is.

Mitigatie
Organisaties die EPMM gebruiken, dienen afhankelijk van hun huidige versie de patches RPM 12.x.0.x of RPM 12.x.1.x toe te passen. Deze RPM’s zijn versie‑specifiek (niet kwetsbaarheid‑specifiek) en alleen de bij de versie passende patch moet worden geïnstalleerd.
Belangrijk: de patch blijft niet behouden na een versie‑upgrade. Na het upgraden van de appliance moet het RPM‑patch opnieuw worden toegepast.

Ivanti geeft aan dat een permanente oplossing zal worden opgenomen in versie 12.8.0.0 [3].

Wat moet u doen?
Om de remote code execution‑kwetsbaarheid te verhelpen, raden wij aan om onmiddellijk de patches van Ivanti toe te passen. Het NCSC dringt er bij alle organisaties die Ivanti EPMM gebruiken op aan om contact met hen op te nemen en direct een assume‑breach scenario te volgen, vanwege bevestigde compromitteringen bij meerdere organisaties [4].

Wat doet Northwave?
Vulnerability Management‑klanten worden geïnformeerd wanneer kwetsbare systemen in hun infrastructuur worden gedetecteerd.
IoC’s die door het NCSC zijn gedeeld, zijn toegevoegd aan de monitoring voor onze MDR‑klanten.Wij blijven de ontwikkelingen rond deze kwetsbaarheid volgen. Als er nieuwe kritieke informatie beschikbaar komt, nemen wij contact met u op. U kunt ons bellen of e‑mailen als u aanvullende informatie wenst.


E-mail: soc@northwave-cybersecurity.com
Heeft u nu een incident? Bel ons Incident Response Team: 00800 1744 0000Disclaimer van toepassing, zie hieronder.

Bronnen

[1]: https://www.cve.org/CVERecord?id=CVE-2026-1281

[2]: https://www.cve.org/CVERecord?id=CVE-2026-1340

[3]: https://hub.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340?language=en_US

[4]: https://www.ncsc.nl/waarschuwing/ncsc-roept-organisaties-op-zich-te-melden-bij-gebruik-van-ivanti-endpoint-manager

 

 
 

Disclaimer

Northwave has made every effort to make this information accurate and reliable. However, the information provided is without warranty of any kind and its use is at the sole risk of the user. Northwave does not accept any responsibility or liability for the accuracy, content, completeness, legality or reliability of the information provided. We shall not be liable for any loss or damage of whatever nature, direct or indirect, consequential or other, whether arising in contract, tort or otherwise, which may arise as a result of your use of, or inability to use, this information or any additional information provided by us in direct or indirect relation to the information provided here.

 

 

.