Nuovo zero-day attivo in Ivanti EPMM: vulnerabilità sfruttata per attacchi mirati

I clienti di Ivanti sono nuovamente nel mirino degli attaccanti, che stanno sfruttando una nuova vulnerabilità zero-day in uno dei prodotti più colpiti della società: Ivanti Endpoint Manager Mobile (EPMM). Il difetto, identificato come CVE-2026-6973, riguarda una mancata convalida dell'input che permette a utenti con privilegi amministrativi di eseguire codice arbitrario da remoto.

In un avviso di sicurezza pubblicato giovedì, Ivanti ha confermato la presenza di attacchi in corso, seppur limitati, e ha reso disponibili patch immediate per cinque vulnerabilità ad alta gravità, tra cui il nuovo zero-day. La società ha inoltre segnalato quattro ulteriori difetti nello stesso prodotto, tutti classificati come severità alta ma non ancora sfruttati in attacchi reali: CVE-2026-5787, CVE-2026-5788, CVE-2026-6973 e CVE-2026-7821.

Dettagli tecnici e rischi associati

Secondo una dichiarazione ufficiale di Ivanti, CVE-2026-6973 richiede accesso amministrativo autenticato per essere sfruttato, il che riduce il rischio per i clienti che hanno già seguito le raccomandazioni di gennaio per la rotazione delle credenziali di EPMM. Tuttavia, la società non ha fornito informazioni su quando sia iniziata la prima ondata di attacchi né sul numero esatto di vittime colpite.

La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto il nuovo zero-day al suo catalogo delle vulnerabilità note sfruttate entro poche ore dalla segnalazione di Ivanti, sottolineando l'urgenza delle patch. La CISA ha inoltre evidenziato che i difetti precedenti, CVE-2026-1281 e CVE-2026-1340, sono stati sfruttati a partire da fine gennaio, colpendo quasi 100 vittime, tra cui l'Autorità olandese per la protezione dei dati e il Consiglio per la Magistratura.

Origine delle vulnerabilità e risposta di Ivanti

Ivanti ha dichiarato di aver scoperto le nuove vulnerabilità nelle ultime settimane attraverso processi di rilevamento interni supportati da AI avanzata, collaborazione con i clienti e segnalazioni responsabili. Una delle falle è stata segnalata da un ex dipendente della società, che ha contribuito a identificare il problema prima che potesse essere sfruttato.

Il portavoce di Ivanti ha inoltre suggerito che la nuova vulnerabilità potrebbe essere correlata a due precedenti zero-day critici, CVE-2026-1281 e CVE-2026-1340, che hanno causato danni significativi a livello globale. Questi difetti, entrambi vulnerabilità di iniezione di codice sfruttabili da remoto senza autenticazione, sono stati utilizzati da gruppi di minaccia attribuiti a Cina e Iran.

«Il requisito di privilegi amministrativi per CVE-2026-6973 indica che potrebbe essere stato sfruttato come parte di una catena di attacco che dipende da un altro metodo per l'accesso iniziale», ha dichiarato Caitlin Condon, vicepresidente della ricerca sulla sicurezza di VulnCheck. «I precedenti zero-day di Ivanti, come CVE-2026-1281 e CVE-2026-1340, erano molto più pericolosi perché sfruttabili senza autenticazione e hanno già causato danni significativi».

Consigli per i clienti e impatto sul settore

Ivanti ha raccomandato ai clienti di applicare immediatamente le patch rilasciate giovedì e di verificare la rotazione delle credenziali di EPMM, come già suggerito a gennaio. La società ha inoltre sottolineato che i clienti non colpiti dalle vulnerabilità precedenti sono a rischio significativamente inferiore.

Gli attacchi che sfruttano le vulnerabilità di Ivanti rappresentano un problema ricorrente per i clienti e per i professionisti della sicurezza. Nonostante gli sforzi della società per migliorare la sicurezza dei propri prodotti, la presenza di difetti critici continua a rappresentare una minaccia costante per le infrastrutture aziendali e governative in tutto il mondo.