cybersecurity CISA beveiliging kwetsbaarheid zero-day patch Ivanti EPMM CVE-2026-6973 aanval

Nieuwe zero-day in Ivanti EPMM actief misbruikt

Voor de tweede keer in korte tijd zijn aanvallers een nieuwe zero-day kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM) aan het misbruiken. Ivanti heeft klanten gewaarschuwd voor CVE-2026-6973, een fout in de invoervalidatie die geauthenticeerde gebruikers met beheerdersrechten in staat stelt om op afstand code uit te voeren. De kwetsbaarheid vereist dus beheerdersprivileges, wat de risico’s voor niet-gecompromitteerde systemen beperkt.

Patches beschikbaar, maar impact blijft onduidelijk

Ivanti heeft donderdag patches uitgebracht voor vijf kwetsbaarheden in EPMM, waaronder de nieuwe zero-day. Daarnaast zijn er vier andere hoge-risico kwetsbaarheden gedicht, die volgens het bedrijf nog niet actief worden misbruikt. Een woordvoerder van Ivanti bevestigde dat er beperkte in-the-wild-exploitatie van CVE-2026-6973 is waargenomen, maar de exacte omvang en het tijdstip van de eerste aanvallen zijn onbekend.

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft de zero-day direct toegevoegd aan haar Known Exploited Vulnerabilities Catalog, wat organisaties verplicht om de kwetsbaarheid binnen een bepaalde termijn te patchen.

Oorsprong van de kwetsbaarheid mogelijk terug te voeren op eerdere zero-days

Ivanti suggereert dat de nieuwe zero-day mogelijk verband houdt met twee eerder misbruikte kritieke kwetsbaarheden in EPMM: CVE-2026-1281 en CVE-2026-1340. Deze werden vanaf eind januari actief uitgebuit en leidden tot compromittering bij bijna 100 slachtoffers, waaronder de Autoriteit Persoonsgegevens in Nederland en de Raad voor de Rechtspraak. Beide kwetsbaarheden waren op afstand uit te buiten zonder authenticatie, in tegenstelling tot de huidige zero-day.

Een voormalig medewerker ontdekte één van de nieuwe kwetsbaarheden en meldde deze verantwoordelijk aan Ivanti. Het bedrijf benadrukt dat de kwetsbaarheden recent zijn ontdekt dankzij geavanceerde AI-ondersteunde detectieprocessen, samenwerking met klanten en verantwoorde disclosure.

Risico’s beperken door beheerderstoegang te beperken

Volgens Ivanti kunnen klanten die in januari de aanbeveling opvolgden om EPMM-inloggegevens te roteren, het risico op exploitatie van de nieuwe zero-day aanzienlijk verminderen. Ook organisaties die niet door de eerdere aanvallen zijn getroffen, lopen minder gevaar.

Expert: nieuwe zero-day minder kritiek dan eerdere kwetsbaarheden

Caitlin Condon, vicepresident Security Research bij VulnCheck, wijst erop dat de vereiste beheerdersrechten voor CVE-2026-6973 erop duiden dat de kwetsbaarheid mogelijk onderdeel uitmaakt van een grotere aanvalsketen. "Er is geen attributie gedeeld over wie de zero-day misbruikt, maar twee andere CVEs uit 2026 in Ivanti EPMM – CVE-2026-1281 en CVE-2026-1340 – zijn al uitgebuit door verschillende dreigingsactoren, waaronder groepen gelinkt aan China en Iran," aldus Condon tegen CyberScoop.

"Deze eerdere kwetsbaarheden waren op afstand uit te buiten zonder authenticatie, wat ze gevaarlijker maakte dan de huidige zero-day. Beide zijn nu opgelost in de nieuwste Ivanti-update."

Herhalend probleem voor Ivanti-klanten

De herhaalde exploitatie van kwetsbaarheden in Ivanti-producten blijft een terugkerend probleem voor zowel klanten als beveiligingsexperts. Veel van deze kwetsbaarheden werden al uitgebuit voordat Ivanti ze kon detecteren en patchen. Organisaties die Ivanti EPMM gebruiken, worden aangeraden om de beschikbare patches direct toe te passen en extra aandacht te besteden aan het beperken van beheerdersrechten.

Bron: CyberScoop
OpenAI breidt toegang tot AI-model voor cyberbeveiligers uit
← Vorige

OpenAI breidt toegang tot AI-model voor cyberbeveiligers uit

 Kansas sluit zaak tegen Chiefs-assistent Dave Merritt af
Volgende →

Kansas sluit zaak tegen Chiefs-assistent Dave Merritt af