Kritieke kwetsbaarheden in Ivanti EndPoint Manager Mobile zijn misbruikt door Chinese hackers.
Chinese hackers hebben sinds 15 mei misbruik gemaakt van een nieuwe kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM) om organisaties wereldwijd binnen te dringen. De bug, CVE-2025-4428, is zeer ernstig en laat toe om op afstand code uit te voeren op kwetsbare systemen.
Gerichte aanvallen op strategische sectoren
De kwetsbaarheid zit in versies tot 12.5.0.0 van Ivanti EPMM en werd samen met een tweede lek (CVE-2025-4427) gepatcht op 13 mei. Twee dagen later begon echter een nieuwe golf van aanvallen. BleepingComputer lijst de slachtoffers op, onder andere: de Britse National Health Service, een Amerikaans medisch apparaatbedrijf, overheden in Scandinavië, een Duitse telecomspeler, een Amerikaanse cybersecurityfirma en zelfs een Ierse luchtvaartfinancier.
Volgens onderzoekers van EclecticIQ zit de Chinese UNC5221-groep achter de hacks, die vroeger ook Ivanti-zerodays misbruikte. De aanval toont hun diepgaande kennis van Ivanti-systemen: de hackers wisten exact waar gevoelige wachtwoorden en configuraties bewaard worden.
Reële spionage en snelle uitrol
Bij de aanvallen werden databases geëxporteerd en Office 365- en LDAP-configuraties misbruikt. De aanvallers lieten zelfs tijdelijke bestanden achter als vermomde .jpg-bestanden om detectie te omzeilen.
Ivanti heeft de kwetsbaarheden intussen gepatcht, maar EclecticIQ benadrukt dat aanvallen al binnen 48 uur na openbaarmaking begonnen. Wie Ivanti EPMM gebruikt en nog niet heeft geüpdatet, loopt ernstig risico. Snel updaten is dus aangeraden.
lees ook