荷蘭數據保護局遭遇Ivanti零日攻擊后主動報告數據泄露

荷蘭數據保護局（AP）表示，在攻擊者競相利用近期Ivanti漏洞進行零日攻擊時，該局是眾多受害機構之一。

司法部長阿諾·呂特和王國關系部長埃迪·范·馬魯姆聯名致信荷蘭議會，確認涉及1月份Ivanti終端管理器移動版（EPMM）漏洞的攻擊導致了數據泄露。

這封信確認攻擊發生在1月29日，影響了數據保護局和司法委員會（RVDR）的員工。攻擊者可能獲取了包括姓名、企業郵箱地址和電話號碼在內的個人數據。

兩位高級部長沒有就具體數字透露泄露規模，但表示所有受影響的個人都已直接收到通知。

那么一個國家的數據保護局在這種情況下向誰報告自己呢？答案是其數據保護官，而數據保護局的常規工作人員正在調查司法委員會的泄露事件，后者按正常程序向該局進行了自報。

在這些調查持續進行的同時，該國網絡安全機構（NCSC-NL）正在跟蹤Ivanti EPMM漏洞（CVE-2026-1281和CVE-2026-1340），并與合作伙伴合作了解這些漏洞帶來的額外威脅。

信中表示，荷蘭首席信息官辦公室（CIO Rijk）也在審查是否對中央政府存在更廣泛的風險。

美國網絡安全和基礎設施安全局（CISA）通過將CVE-2026-1281（評分9.8）添加到已知被利用漏洞（KEV）列表中，確認該漏洞在初次披露后不久就被野外利用。

Ivanti當時的安全公告聲明："我們了解到有極少數客戶的解決方案在披露時被利用。"

然而，外部來源的警告表明，攻擊可能比供應商所說的"極少數"更為頻繁。

在對Ivanti漏洞的警告中，英國國家醫療服務體系（NHS）強調，EPMM設備在設計上就暴露在網絡中，這使它們成為攻擊者的理想目標。

NHS表示："像EPMM這樣的邊緣設備在設計上就面向互聯網，對攻擊者極具吸引力，每年披露的邊緣設備漏洞數量不斷增加，且被攻擊者迅速利用。NHS英格蘭國家網絡安全運營中心評估，邊緣設備中發現的漏洞極有可能繼續被作為零日漏洞利用，或在供應商披露后不久就被利用。"

watchTowr首席執行官本杰明·哈里斯在漏洞披露時也表示，根據該公司客戶群的情報，EPMM設備經常被高價值組織使用。

"雖然Ivanti提供了補丁，但僅僅應用補丁是不夠的。威脅行為者一直在將這些漏洞作為零日漏洞利用，截至披露時向互聯網暴露易受攻擊實例的組織必須認為它們已被攻陷，拆除基礎設施，并啟動事件響應流程。"

Q&A

Q1：什么是Ivanti EPMM漏洞？

A：Ivanti EPMM（終端管理器移動版）漏洞是指CVE-2026-1281和CVE-2026-1340兩個安全漏洞。其中CVE-2026-1281的嚴重性評分為9.8，已被美國網絡安全機構確認在野外被利用。這些漏洞被攻擊者作為零日漏洞進行利用。

Q2：為什么EPMM設備容易成為攻擊目標？

A：EPMM等邊緣設備在設計上就面向互聯網，天然暴露在網絡環境中，這使得它們對攻擊者極具吸引力。此外，這些設備通常被高價值組織使用，每年披露的邊緣設備漏洞數量不斷增加，且經常被攻擊者迅速利用。

Q3：組織遭受Ivanti漏洞攻擊后應該怎么辦？

A：專家建議，僅僅應用補丁是不夠的。由于威脅行為者一直在將這些漏洞作為零日漏洞利用，向互聯網暴露易受攻擊實例的組織必須認為系統已被攻陷，需要拆除相關基礎設施，并立即啟動事件響應流程。