De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft federale overheidsinstanties opgedragen om uiterlijk zondag 11 april hun systemen te patchen tegen een kritieke kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM). Deze kwetsbaarheid, bekend als CVE-2026-1340, wordt sinds januari actief misbruikt door aanvallers om zonder geldige rechten op afstand code uit te voeren op internet-blootgestelde en niet-gepatchte EPMM-apparaten.

Ivanti bracht op 29 januari beveiligingsupdates uit om deze en een tweede kwetsbaarheid (CVE-2026-1281) te verhelpen, en drong er bij klanten op aan deze direct te installeren om verdere exploitatie te voorkomen. Volgens Ivanti is er een zeer beperkt aantal klanten waarvan de systemen op het moment van bekendmaking al waren aangevallen. De internetbeveiligingsorganisatie Shadowserver monitort momenteel bijna 950 IP-adressen met Ivanti EPMM-vingerafdrukken die nog online en kwetsbaar zijn, voornamelijk in Europa en Noord-Amerika. CISA voegde de kwetsbaarheid toe aan haar Known Exploited Vulnerabilities (KEV) Catalog en gaf via Binding Operational Directive 22-01 een ultimatum aan federale agentschappen om de patch uiterlijk voor middernacht op 11 april te implementeren. CISA waarschuwt dat dit type kwetsbaarheid een veelgebruikte aanvalsvector is en aanzienlijke risico’s vormt voor de federale infrastructuur. Ook raadt CISA aan dat organisaties buiten de federale overheid prioriteit geven aan het patchen van deze kwetsbaarheid om hun systemen te beveiligen. In de afgelopen jaren zijn meerdere Ivanti-kwetsbaarheden via zero-day aanvallen misbruikt om uiteenlopende doelwitten, waaronder overheidsinstanties wereldwijd, te compromitteren. Ivanti levert IT asset management oplossingen aan meer dan 40.000 klanten via een wereldwijd netwerk van ruim 7.000 partners.