Ivanti EPMM pod tlakem: kyberútoky zasáhly evropské instituce napříč státy
Národní centrum kybernetické bezpečnosti bylo o situaci informováno 29. ledna poté, co dodavatel upozornil na závažné zranitelnosti v systému EPMM, který slouží ke správě mobilních zařízení, aplikací a bezpečnostních politik.
Evropské instituce a státní úřady řeší v krátkém časovém období sérii kybernetických incidentů, které jsou dávány do souvislosti s kritickými zranitelnostmi v systému pro správu mobilních zařízení Ivanti Endpoint Manager Mobile (EPMM). Dopady potvrdily úřady v Nizozemsku, Finsku i samotná Evropská komise.
Společným jmenovatelem incidentů je možný přístup útočníků k pracovním kontaktním údajům zaměstnanců, nikoliv ke komunikaci či obsahu na samotných mobilních zařízeních.
Nizozemsko: zasažen úřad pro ochranu osobních údajů i justice
Nizozemský úřad pro ochranu osobních údajů (AP) a Rada pro justici (Rvdr) informovaly parlament, že jejich systémy byly zasaženy kybernetickým útokem. Podle oficiálního vyjádření došlo k neoprávněnému přístupu k pracovním údajům zaměstnanců, konkrétně ke jménům, pracovním e-mailovým adresám a telefonním číslům.
Národní centrum kybernetické bezpečnosti bylo o situaci informováno 29. ledna poté, co dodavatel upozornil na závažné zranitelnosti v systému EPMM, který slouží ke správě mobilních zařízení, aplikací a bezpečnostních politik.
Způsob průniku nebyl detailně zveřejněn, nicméně incident je v bezpečnostní komunitě spojován s nedávno odhalenými chybami v Ivanti EPMM.
Evropská komise: stopy útoku, rychlá izolace
Evropská komise uvedla, že její centrální infrastruktura pro správu mobilních zařízení zaznamenala stopy kybernetického útoku, který mohl vést k přístupu ke jménům a mobilním telefonním číslům části zaměstnanců.
Komise zdůraznila, že incident byl izolován a vyřešen do devíti hodin od detekce a že nebyla zjištěna kompromitace samotných mobilních zařízení ani jejich obsahu. Situace je nadále monitorována a byla přijata další preventivní opatření.
Ačkoliv nebyl oficiálně uveden konkrétní dodavatel, útok je časově i technicky spojován s kampaní zaměřenou na zranitelnosti Ivanti EPMM.
Finsko: až 50 000 dotčených zaměstnanců státu
Nejrozsáhlejší dopady hlásí Finsko. Státní poskytovatel ICT služeb Valtori oznámil únik pracovních údajů až 50 000 státních zaměstnanců. Incident byl identifikován 30. ledna 2026 a cílil na dosud neznámou zranitelnost (zero-day) v systému pro správu mobilních zařízení.
Podle zveřejněných informací mohl útočník získat přístup k:
- jménům uživatelů,
- pracovním e-mailovým adresám,
- telefonním číslům,
- technickým údajům o spravovaných zařízeních.
Valtori zároveň uvedl, že data uložená přímo na mobilních zařízeních kompromitována nebyla. Vyšetřování však odhalilo vážný problém v nakládání s historickými daty – systém podle dostupných zjištění data po odstranění nevymazával trvale, ale pouze je označoval jako smazaná. To znamená, že mohly být ohroženy i údaje organizací, které službu využívaly v minulosti.
Kritické zranitelnosti v Ivanti EPMM
Společnost Ivanti vydala 29. ledna 2026 bezpečnostní aktualizace pro dvě kritické zranitelnosti:
- CVE-2026-1281
- CVE-2026-1340
Obě chyby mají skóre CVSS 9.8 a umožňují neautentizované vzdálené spuštění kódu (RCE). Ivanti potvrdila, že minimálně jedna z těchto zranitelností byla aktivně zneužívána v reálných útocích, přičemž bezpečnostní komunita považuje obě za vysoce rizikové.
Proč je tento případ zásadní
Tyto incidenty znovu ukazují, že:
- systémy pro správu mobilních zařízení představují vysoce hodnotný cíl,
- zero-day zranitelnosti se stávají běžnou součástí útoků na státní infrastrukturu,
- problémy s retencí a mazáním dat mohou výrazně zvětšit dopady útoku i s velkým časovým odstupem.
Ačkoliv ve všech popsaných případech šlo „pouze“ o pracovní kontaktní údaje, rozsah incidentů a jejich souběh napříč Evropou potvrzují, že bezpečnost MDM/EMM platforem patří mezi kritické body moderní státní IT infrastruktury.