Ivanti EPMM: RCE autenticata CVE-2026-6973 in exploitation attivo

Ivanti EPMM: RCE autenticata CVE-2026-6973 in exploitation attivo

Ivanti ha confermato in un advisory di inizio maggio 2026, come riportato da The Hacker News il 7 maggio, che la vulnerabilità CVE-2026-6973 in Endpoint Manager Mobile on-prem è sotto sfruttamento attivo in un numero molto limitato di ambienti cliente. La falla, classificata con un punteggio CVSS di 7.2, consente l'esecuzione remota di codice a un utente remoto che disponga già di credenziali amministrative valide. Il pericolo immediato non è la sola RCE, ma la possibilità che venga concatenata con altre quattro vulnerabilità patchate nello stesso advisory, alcune delle quali raggiungibili senza autenticazione.

Ivanti conferma: CVE-2026-6973 è sotto exploitation attivo

Nell'advisory di inizio maggio 2026, Ivanti ha riconosciuto che CVE-2026-6973 è sfruttata in the wild. L'azienda ha parlato di un numero molto limitato di clienti interessati, precisando che non è noto se gli attacchi abbiano portato a compromissioni di successo o solo a tentativi, né di identificare il gruppo o l'attore responsabile. La vulnerabilità risiede in un difetto di improper input validation all'interno delle appliance Ivanti Endpoint Manager Mobile on-prem: un utente malintenzionato che riesca a connettersi all'interfaccia con privilegi amministrativi può eseguire codice arbitrario sul sistema sottostante.

La portata dell'impatto è circoscritta ma critica. I prodotti interessati sono esclusivamente le installazioni on-prem di EPMM nelle versioni antecedenti a 12.6.1.1, 12.7.0.1 e 12.8.0.1. Ivanti Neurons for MDM, Ivanti EPM e Ivanti Sentry non risentono del problema, una distinzione che riduce la superficie di attacco ma che non attenua il rischio per le organizzazioni che ancora gestiscono l'infrastruttura mobile interna con le build vulnerabili.

Il difetto è classificato come improper input validation e ha ricevuto un punteggio CVSS di 7.2, un valore che riflette la serietà della compromissione pur restando al di sotto della soglia critica massima. La differenza tra una RCE autenticata e una aperta è tuttavia sostanziale: finché le credenziali admin restano protette, la falla non è direttamente accessibile da Internet senza ulteriori step di pre-compromissione.

"We are aware of a very limited number of customers exploited with CVE-2026-6973. Successful exploitation requires Admin authentication."

Al momento non è disponibile alcun codice di exploit pubblico, ma la conferma di uno sfruttamento attivo dimostra che almeno un attore dispone già di un metodo funzionante per abusare della falla. La natura autenticata della RCE offre un primo livello di difesa, condizionato però interamente alla solidità della gestione delle credenziali admin e alla loro eventuale esposizione in passato.

L'inserimento nel catalogo KEV e la deadline federale del 10 maggio

CISA ha reagito con tempi stretti inserendo CVE-2026-6973 nel proprio Known Exploited Vulnerabilities Catalog. L'agenzia ha imposto alle agenzie appartenenti alla Federal Civilian Executive Branch l'obbligo di applicare le patch entro il 10 maggio 2026, una scadenza che sottolinea la gravità percepita della minaccia per le infrastrutture critiche. L'urgenza deriva non solo dalla conferma di exploitation attivo, ma anche dalla funzione strategica di EPMM come punto di controllo centrale per la gestione dei dispositivi mobili aziendali.

Per il settore privato, la deadline federale funge da campanello d'allarme. Le scadenze imposte da CISA nel catalogo KEV sono tradizionalmente interpretate come indicatore di rischio elevato, spingendo anche le aziende non vincolate direttamente dall'obbligo a trattare la patch come prioritaria. La vicinanza temporale della data scelta da CISA suggerisce inoltre che l'agenzia ritenga la vulnerabilità particolarmente pericolosa se lasciata aperta in ambienti enterprise.

Quattro falle collaterali che possono eliminare il prerequisito admin

L'angolo più insidioso dell'advisory Ivanti è la pubblicazione simultanea di altre quattro vulnerabilità: CVE-2026-5786, CVE-2026-5787, CVE-2026-5788 e CVE-2026-7821. Nessuna di esse risulta attivamente sfruttata secondo le informazioni rese note da Ivanti, ma alcune sono sfruttabili senza autenticazione. Questo dettaglio trasforma la prospettiva di rischio: una falla che richiede credenziali admin diventa esponenzialmente più pericolosa se esistono nel medesimo prodotto altre strade per ottenere quel livello di accesso.

Secondo l'analisi di Kudelski Security, le quattro vulnerabilità collaterali potrebbero permettere a un attaccante di acquisire accesso amministrativo o informazioni sensibili, eliminando di fatto il prerequisito iniziale necessario per sfruttare CVE-2026-6973. Non è tuttavia confermato che questa catena di attacco sia già stata utilizzata negli incidenti osservati finora, né che le credenziali admin siano state rubate proprio attraverso queste falle. Rimane un'ipotesi tecnica fondata, non una evidenza forense.

Le correzioni rilasciate da Ivanti coprono tre rami di versione: 12.6.1.1, 12.7.0.1 e 12.8.0.1. Chiunque stia eseguendo una build precedente deve considerare il sistema esposto, indipendentemente dal fatto che le credenziali admin siano state o meno ruotate di recente.

La combinazione di una RCE autenticata con falle unauthenticated più leggere rappresenta uno schema classico nelle campagne di compromissione di appliance di gestione. Il prodotto EPMM on-prem, essendo esposto spesso alla rete per gestire dispositivi remoti, può diventare il fulcro di un attacco a catena che inizia con un'informazione leakata o una sessione admin compromessa e termina con il controllo completo dell'appliance.

Cosa fare adesso

Le organizzazioni che utilizzano Ivanti EPMM on-prem devono agire secondo una sequenza rigorosa di priorità. Non è sufficiente pianificare l'aggiornamento: la combinazione di exploitation attivo e di possibile concatenazione con altre falle impone una risposta immediata e strutturata.

• Aggiornare immediatamente. Installare le patch rilasciate da Ivanti per portare EPMM alle versioni 12.6.1.1, 12.7.0.1 o 12.8.0.1, a seconda del ramo in uso. L'appliance rimane vulnerabile fino all'applicazione della correzione e nessuna mitigazione alternativa è nota al momento.
• Ruotare le credenziali amministrative. Eseguire la rotazione di tutte le password e i token di accesso di livello admin associati all'appliance, con particolare attenzione se non è stata già effettuata a seguito della raccomandazione di Ivanti datata gennaio 2026. Credenziali stale o potenzialmente compromesse rappresentano il prerequisito ideale per la RCE.
• Analizzare i log di autenticazione. Verificare i log recenti di EPMM alla ricerca di accessi amministrativi sospetti o anomali, considerando che lo sfruttamento confermato richiede proprio quel livello di privilegio e potrebbe aver lasciato tracce prima dell'advisory di inizio maggio.
• Valutare l'integrità dell'infrastruttura gestita. Trattare la vulnerabilità come un rischio di compromissione totale dell'appliance e pianificare la verifica dei dispositivi mobili gestiti, poiché un controllo admin su EPMM può impattare l'intero parco mobile aziendale.

Perché la rotazione delle credenziali di gennaio è un fattore decisivo

Ivanti ha collegato direttamente la mitigazione del rischio a una raccomandazione precedente. Secondo l'advisory, se i clienti hanno seguito l'indicazione di ruotare le credenziali a gennaio 2026, il rischio di sfruttamento di CVE-2026-6973 risulta significativamente ridotto. Questo dettaglio suggerisce che l'azienda consideri probabile una compromissione pregressa o il riutilizzo di credenziali esposte in incidenti anteriori.

L'invito a una rotazione effettuata mesi prima dell'advisory di inizio maggio indica che la supply chain di accesso admin era già stata identificata come punto debole. Le aziende che hanno ignorato quel primo avvertimento si trovano ora nella condizione di avere potenzialmente credenziali stale o compromesse, esattamente il prerequisito che rende CVE-2026-6973 pericolosa. La lezione operativa è chiara: in prodotti di gestione centralizzata come EPMM, l'igiene delle credenziali è tanto importante quanto la tempestività delle patch.

La conferma di exploitation attivo, anche se circoscritta, posiziona CVE-2026-6973 al di fuori della routine di patching. Il vero scenario da temere non è l'uso isolato di questa falla, ma la sua integrazione in una catena più articolata che sfrutta le altre quattro vulnerabilità per aggirare l'autenticazione. Per le aziende che gestiscono migliaia di endpoint mobili attraverso EPMM on-prem, ignorare questa advisory equivale a lasciare aperto un varco nella gestione dei dispositivi più sensibili.

Domande frequenti

I servizi cloud di Ivanti sono coinvolti?

No. La vulnerabilità interessa esclusivamente Ivanti EPMM on-prem nelle versioni precedenti alle patch indicate. Ivanti Neurons for MDM, Ivanti EPM e Ivanti Sentry non sono affetti.

La vulnerabilità è sfruttabile senza autenticazione?

No. CVE-2026-6973 richiede esplicitamente credenziali amministrative valide per essere sfruttata. Tuttavia, altre quattro vulnerabilità risolte nello stesso advisory potrebbero teoricamente fornire quel livello di accesso, trasformando una RCE autenticata in un vettore più ampio.

È disponibile un proof-of-concept pubblico?

Al momento non è stato rilasciato alcun codice di exploit pubblico per CVE-2026-6973. La conferma di exploitation attivo dimostra però che attori malevoli dispongono già di un metodo funzionante, rendendo la mancanza di PoC un fattore di falso senso di sicurezza.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://thehackernews.com/2026/05/ivanti-epmm-cve-2026-6973-rce-under.html
• https://kudelskisecurity.com/research/ivanti-epmm-cve-2026-6973-allows-rce-with-admin-credentials-under-active-exploitation
• https://vulert.com/blog/ivanti-epmm-cve-2026-6973-rce-active-exploitation/