荷兰数据保护局遭遇Ivanti零日攻击后主动报告数据泄露

荷兰数据保护局（AP）表示，在攻击者竞相利用近期Ivanti漏洞进行零日攻击时，该局是众多受害机构之一。

司法部长阿诺·吕特和王国关系部长埃迪·范·马鲁姆联名致信荷兰议会，确认涉及1月份Ivanti终端管理器移动版（EPMM）漏洞的攻击导致了数据泄露。

这封信确认攻击发生在1月29日，影响了数据保护局和司法委员会（RVDR）的员工。攻击者可能获取了包括姓名、企业邮箱地址和电话号码在内的个人数据。

两位高级部长没有就具体数字透露泄露规模，但表示所有受影响的个人都已直接收到通知。

那么一个国家的数据保护局在这种情况下向谁报告自己呢？答案是其数据保护官，而数据保护局的常规工作人员正在调查司法委员会的泄露事件，后者按正常程序向该局进行了自报。

在这些调查持续进行的同时，该国网络安全机构（NCSC-NL）正在跟踪Ivanti EPMM漏洞（CVE-2026-1281和CVE-2026-1340），并与合作伙伴合作了解这些漏洞带来的额外威胁。

信中表示，荷兰首席信息官办公室（CIO Rijk）也在审查是否对中央政府存在更广泛的风险。

美国网络安全和基础设施安全局（CISA）通过将CVE-2026-1281（评分9.8）添加到已知被利用漏洞（KEV）列表中，确认该漏洞在初次披露后不久就被野外利用。

Ivanti当时的安全公告声明："我们了解到有极少数客户的解决方案在披露时被利用。"

然而，外部来源的警告表明，攻击可能比供应商所说的"极少数"更为频繁。

在对Ivanti漏洞的警告中，英国国家医疗服务体系（NHS）强调，EPMM设备在设计上就暴露在网络中，这使它们成为攻击者的理想目标。

NHS表示："像EPMM这样的边缘设备在设计上就面向互联网，对攻击者极具吸引力，每年披露的边缘设备漏洞数量不断增加，且被攻击者迅速利用。NHS英格兰国家网络安全运营中心评估，边缘设备中发现的漏洞极有可能继续被作为零日漏洞利用，或在供应商披露后不久就被利用。"

watchTowr首席执行官本杰明·哈里斯在漏洞披露时也表示，根据该公司客户群的情报，EPMM设备经常被高价值组织使用。

"虽然Ivanti提供了补丁，但仅仅应用补丁是不够的。威胁行为者一直在将这些漏洞作为零日漏洞利用，截至披露时向互联网暴露易受攻击实例的组织必须认为它们已被攻陷，拆除基础设施，并启动事件响应流程。"

Q&A

Q1：什么是Ivanti EPMM漏洞？

A：Ivanti EPMM（终端管理器移动版）漏洞是指CVE-2026-1281和CVE-2026-1340两个安全漏洞。其中CVE-2026-1281的严重性评分为9.8，已被美国网络安全机构确认在野外被利用。这些漏洞被攻击者作为零日漏洞进行利用。

Q2：为什么EPMM设备容易成为攻击目标？

A：EPMM等边缘设备在设计上就面向互联网，天然暴露在网络环境中，这使得它们对攻击者极具吸引力。此外，这些设备通常被高价值组织使用，每年披露的边缘设备漏洞数量不断增加，且经常被攻击者迅速利用。

Q3：组织遭受Ivanti漏洞攻击后应该怎么办？

A：专家建议，仅仅应用补丁是不够的。由于威胁行为者一直在将这些漏洞作为零日漏洞利用，向互联网暴露易受攻击实例的组织必须认为系统已被攻陷，需要拆除相关基础设施，并立即启动事件响应流程。