Ivanti ha segnalato una vulnerabilità zero-day in Endpoint Manager Mobile sfruttata attivamente. Le agenzie federali USA hanno 4 giorni per applicare le patch. Cosa significa per le aziende italiane che usano questo software.

Ivanti sotto attacco: vulnerabilità critiche in Endpoint Manager Mobile richiedono patch urgente

Ivanti ha lanciato un allarme ufficiale: una vulnerabilità critica nel suo software Endpoint Manager Mobile (EPMM) è già stata sfruttata da attaccanti in attacchi zero-day. Non è una minaccia teorica: secondo BleepingComputer, il gruppo di sicurezza Shadowserver sta tracciando quasi 950 indirizzi IP con EPMM esposti online, la maggior parte in Europa (569) e Nord America (206). La domanda che si pone è semplice: quanti di questi server sono già stati compromessi?

Chi

Ivanti è un fornitore di software per la gestione dei dispositivi mobili e degli endpoint aziendali. EPMM (Endpoint Manager Mobile) è uno dei suoi prodotti principali, utilizzato da organizzazioni pubbliche e private per controllare e proteggere smartphone e tablet in ambienti enterprise. La vulnerabilità riguarda solo la versione on-premise del software, non la soluzione cloud Ivanti Neurons for MDM.

Cosa è successo

Ivanti ha divulgato il 29 gennaio una vulnerabilità critica tracciata come CVE-2026-1340, una falla di code injection che consente l'esecuzione remota di codice senza autenticazione. Colpisce EPMM versione 12.8.0.0 e precedenti. Secondo la dichiarazione ufficiale, al momento della divulgazione era in corso uno sfruttamento "molto limitato", ma la minaccia è reale.

Poco dopo, il 7 aprile, l'agenzia americana CISA (Cybersecurity and Infrastructure Security Agency) ha aggiunto la vulnerabilità al suo catalogo di vulnerabilità note come sfruttate e ha ordinato alle agenzie federali statunitensi di applicare le patch entro il 12 aprile — solo 4 giorni. Questo è il livello massimo di urgenza nel sistema di prioritizzazione americano.

Ivanti ha reso disponibili versioni corrette: EPMM 12.8 (rilasciata il 18 marzo), oltre a patch per le versioni precedenti 12.7.0.1, 12.6.1.1 e versioni ancora più vecchie (12.5.0.1, 12.4.0.2, 12.3.0.2, 11.12.0.5). L'azienda ha anche rilasciato un pacchetto RPM che richiede "zero downtime" e si applica in pochi secondi.

Nella stessa comunicazione, Ivanti ha segnalato altre quattro vulnerabilità ad alta gravità (CVE-2026-5786, CVE-2026-5787, CVE-2026-5788, CVE-2026-7821) che permettono di ottenere accesso amministrativo, impersonare host registrati e accedere a informazioni riservate. Per queste ultime quattro, l'azienda ha dichiarato di non avere evidenza di sfruttamento in natura.

Secondo Heise, anche Ivanti Neurons for ITSM (un prodotto diverso) contiene una vulnerabilità critica (CVE-2025-22462, CVSS 9.8) che consente il bypass dell'autenticazione e l'accesso amministrativo.

Perché è importante

EPMM è utilizzato da migliaia di organizzazioni in tutto il mondo per gestire i dispositivi mobili aziendali. Una vulnerabilità di esecuzione remota di codice senza autenticazione è tra le peggiori: un attaccante non ha bisogno di credenziali valide, basta che il server sia raggiungibile da internet.

Il fatto che CISA abbia imposto un deadline di 4 giorni alle agenzie federali USA segnala che il rischio è percepito come immediato e concreto. Non è una vulnerabilità teorica scoperta in laboratorio: è già in uso da attaccanti veri.

Per le aziende italiane, il messaggio è duplice. Se usate EPMM on-premise, dovete applicare le patch immediatamente — non è una raccomandazione, è una questione di sicurezza operativa. Se non l'avete ancora fatto, siete potenzialmente vulnerabili a un attacco che non richiede credenziali e può compromettere l'intera infrastruttura mobile aziendale.

Il precedente più vicino è la serie di vulnerabilità che Ivanti ha dovuto affrontare in Ivanti Connect Secure (il suo software VPN) ad aprile 2024, quando il governo USA ordinò il distacco di tutti i sistemi federali non patchati. Questo pattern si sta ripetendo.

Un elemento rassicurante: Ivanti ha chiarito che la vulnerabilità colpisce solo la versione on-premise di EPMM. Chi usa Ivanti Neurons for MDM (la soluzione cloud) non è interessato da CVE-2026-1340. Questo riduce il perimetro di rischio, ma non lo elimina: Shadowserver continua a tracciare quasi 950 istanze esposte online.

Cosa aspettarsi

Nei prossimi giorni, osservate:

  • Compliance federale: le agenzie USA dovranno riferire a CISA il completamento delle patch entro il 12 aprile. Questo creerà una baseline pubblica di quante organizzazioni critiche erano vulnerabili.
  • Movimenti di attaccanti: è probabile che i gruppi di minacce continuino a sfruttare server non patchati per almeno una-due settimane dopo il deadline federale, mirando a organizzazioni private che non hanno la stessa urgenza.
  • Analisi forensica: nei mesi successivi, avremo rapporti di sicurezza che documenteranno quanti sistemi sono stati effettivamente compromessi durante il periodo di sfruttamento zero-day.
  • Roadmap Ivanti: l'azienda dovrà comunicare se ci saranno ulteriori patch o se la versione 12.8 sarà considerata stabile. La frequenza di vulnerabilità critiche in EPMM negli ultimi anni suggerisce che il software potrebbe beneficiare di una revisione più profonda della sicurezza.

Per chi gestisce infrastrutture EPMM: non aspettate il 12 aprile se siete un'organizzazione privata. Applicate le patch oggi. La finestra di sfruttamento attivo è ancora aperta, e gli attaccanti non rispettano deadline federali.

📰 Fonti

  1. BleepingComputerIvanti warns of new EPMM flaw exploited in zero-day attacks
  2. bleepingcomputer.comIvanti warns of new EPMM flaw exploited in zero-day attacks
  3. crn.comCISA Orders Rapid Patching For ‘Critical’ Ivanti Mobile Management Flaw
  4. heise.deIvanti: Gaps in EPMM attacked, critical leak in Neurons discovered
  5. bleepingcomputer.comCISA orders feds to patch exploited Ivanti EPMM flaw by Sunday
  6. instagram.comIvanti warns of new EPMM flaw exploited in zero-day attacks