The Shadowserver Foundation meldt dat ongeveer zestienhonderd Ivanti Endpoint Manager Mobile (EPMM) servers vanaf het internet toegankelijk zijn. Aanvallers maken momenteel actief misbruik van kwetsbaarheden in deze software. In Nederland zijn 38 van deze servers publiek toegankelijk, terwijl Duitsland bijna vijfhonderd servers telt. EPMM is een softwaretool voor het beheer van mobiele apparaten binnen organisaties, waarmee bijvoorbeeld applicaties en beleid op afstand kunnen worden beheerd. Een gecompromitteerde server kan ernstige gevolgen hebben.

Ivanti heeft recent beveiligingsupdates uitgebracht voor twee kwetsbaarheden, CVE-2026-1281 en CVE-2026-1340, die actief worden aangevallen. Deze lekken maken het mogelijk voor een ongeauthenticeerde aanvaller om op afstand code uit te voeren op kwetsbare servers. Beide kwetsbaarheden hebben een impactscore van 9.8 op een schaal van 10. Het is onbekend sinds wanneer aanvallers deze problemen uitbuiten en hoeveel klanten zijn getroffen. The Shadowserver Foundation heeft alleen gescand op publiek toegankelijke EPMM-servers, zonder te controleren of ze kwetsbaar zijn. De scan vond zestienhonderd servers, met Duitsland, de Verenigde Staten en het Verenigd Koninkrijk als koplopers. Het Nationaal Cyber Security Centrum (NCSC) waarschuwt dat er nog geen Proof-of-Concept-code publiek beschikbaar is, maar verwacht dat deze snel kan verschijnen, wat het risico op misbruik vergroot. Organisaties worden aangespoord om de updates te installeren.