Ivanti EPMM: RCE CVE-2026-6973 attivamente sfruttata

Ivanti EPMM: RCE CVE-2026-6973 attivamente sfruttata

Ivanti ha confermato il 7 maggio 2026 che la vulnerabilità CVE-2026-6973 nel suo Endpoint Manager Mobile (EPMM) on-prem è oggetto di un numero molto limitato di attacchi attivi nel wild. La falla, classificata come improper input validation con un punteggio CVSS oltre 7.0, attestandosi su 7.2, consente a un utente remoto autenticato con privilegi amministrativi di ottenere l'esecuzione di codice da remoto. CISA ha già inserito il difetto nel catalogo Known Exploited Vulnerabilities, fissando per le agenzie del Federal Civilian Executive Branch una scadenza di mitigazione al 10 maggio 2026.

Exploitation confermata il 7 maggio: il advisory Ivanti

L'advisory rilasciato da Ivanti il 7 maggio identifica CVE-2026-6973 come una vulnerabilità di improper input validation nell'interfaccia di EPMM. Secondo quanto riportato da The Hacker News, l'azienda ha dichiarato di essere a conoscenza di un numero molto limitato di clienti compromessi attraverso questa specifica falla. La gravità è sottolineata da un punteggio CVSS oltre 7.0, attestandosi su 7.2, che classifica la minaccia come alta.

Nello stesso bollettino, Ivanti ha corretto altre quattro vulnerabilità — CVE-2026-5786, CVE-2026-5787, CVE-2026-5788 e CVE-2026-7821 — ma solo CVE-2026-6973 risulta attivamente sfruttata nel wild al momento della pubblicazione. Non è noto se gli attacchi osservati siano stati tutti successful né quali siano gli obiettivi finali dei threat actor, la cui identità resta ignota.

Va inoltre precisato che le patch destinate a EPM, Secure Access, vTM e Xtraction diffuse il 13 maggio non interessano EPMM e non risolvono la RCE oggetto del presente advisory. Chi gestisce EPMM on-prem deve applicare le versioni 12.6.1.1, 12.7.0.1 o 12.8.0.1 per chiudere la falla.

Improper input validation: la catena tecnica dietro la RCE

Dal punto di vista tecnico, la falla risiede in una validazione insufficiente dell'input nell'interfaccia di gestione di EPMM. Un attaccante che riesce ad autenticarsi con privilegi amministrativi può inviare una richiesta opportunamente costruita per ottenere l'esecuzione remota di codice sul server. L'advisory di Ivanti citato da The Hacker News precisa che l'exploitation richiede l'autenticazione admin.

Questo elemento è determinante: non si tratta di una vulnerabilità pre-autenticazione, ma di una RCE post-autenticazione. Il requisito di autenticazione non abbassa tuttavia il rischio perimetrale se le credenziali admin sono già compromesse, riutilizzate tra più sistemi o esposte a tentativi di forza bruta su interfacce pubblicamente raggiungibili.

Da gennaio a maggio: quando la rotazione credenziali blocca la RCE

L'angolo più rilevante della campagna è il legame con le raccomandazioni preventive emesse da Ivanti a gennaio 2026. In quel periodo, l'azienda aveva sollecitato la rotazione delle credenziali per i clienti colpiti da precedenti flaw. Secondo l'advisory riportato da The Hacker News, chi ha seguito quella indicazione riduce in modo significativo il rischio di exploitation del nuovo CVE.

"We are aware of a very limited number of customers exploited with CVE-2026-6973. Successful exploitation requires Admin authentication."

Questo passaggio indica che la nuova RCE potrebbe essere sfruttata proprio riutilizzando credenziali di amministrazione rubate in incidenti precedenti. Non è chiaro se esista un exploit pubblico o se l'attacco avvenga tramite credenziali di default, brute-force o riutilizzo di password già compromesse. L'assenza di un meccanismo di autenticazione bypass sposta l'attenzione dal bug puro alla hygiene delle credenziali e alla segmentazione delle interfacce di gestione.

Il catalogo KEV di CISA e la scadenza federale del 10 maggio

La Cybersecurity and Infrastructure Security Agency ha incluso la vulnerabilità EPMM improper input validation nel catalogo KEV. La presenza nel KEV attiva un obbligo di mitigazione per le agenzie federali statunitensi, con una deadline fissata al 10 maggio 2026. Per il settore privato, l'inclusione nel catalogo federale funge da segnale di gravità indipendente dal vendor, accelerando le richieste di patch da parte dei team di security e compliance.

Sebbene il testo estratto dall'entry CISA non citi esplicitamente il numero CVE nel materiale fornito, la correlazione con la falla EPMM improper input validation è implicita e coerente con l'advisory Ivanti. La scadenza del 10 maggio costituisce un termine rigido per il settore pubblico USA, mentre le aziende private devono calibrare la propria risposta sulla base del profilo di rischio e della criticità del sistema mobile device management.

Cosa fare adesso

Le organizzazioni che impiegano Ivanti EPMM on-prem devono agire su più fronti parallelamente. La natura post-autenticativa della falla rende le credenziali il perno della difesa, ma l'aggiornamento software resta irrinunciabile.

Verificare la versione e applicare la patch. Le release corrette sono la 12.6.1.1, la 12.7.0.1 e la 12.8.0.1. Chi è su release precedenti deve pianificare l'upgrade immediato, dato che nessun workaround alternativo è noto per bloccare la RCE.

Ruotare tutte le credenziali amministrative di EPMM. Occorre eliminare password riutilizzate o condivise, in linea con la raccomandazione di gennaio. La rotazione interrompe la catena di attacco che sfrutta credenziali già compromesse, anche prima che la patch sia distribuita su larga scala.

Segmentare l'interfaccia di gestione. Limitare l'esposizione dell'interfaccia admin alla sola rete interna o a segmenti VPN riduce la superficie di attacco brute-force. Ogni endpoint EPMM raggiungibile pubblicamente rappresenta un punto di raccolta per tentativi di accesso illegittimo.

Controllare i log di autenticazione. Analizzare gli accessi amministrativi degli ultimi mesi permette di identificare sessioni anomale che possano aver preceduto l'exploitation di CVE-2026-6973. La ricerca di login da geolocalizzazioni insolite o orari atipici è prioritaria.

La storia di CVE-2026-6973 non è solo quella di un nuovo bug in una piattaforma già bersagliata, ma il caso di una falla che premia gli attaccanti capaci di riutilizzare credenziali già in loro possesso. Per le difese aziendali, questo significa che la rotazione preventiva e la segmentazione delle interfacce amministrative possono valere quanto — se non più — una patch tempestiva. Finché le credenziali admin restano punto di passaggio obbligato, la linea tra un incidente vecchio e uno nuovo resta più sottile di quanto i bollettini CVE possano suggerire.

Domande frequenti

CVE-2026-6973 interessa anche Ivanti Neurons for MDM cloud o EPM?

No. Ivanti ha esplicitamente escluso che la vulnerabilità colpisca Neurons for MDM cloud, Ivanti EPM o Sentry. La falla riguarda solo EPMM on-prem nelle versioni precedenti a quelle indicate nell'advisory.

Se l'attacco richiede autenticazione admin, perché il rischio resta alto?

Perché le credenziali amministrative potrebbero essere già compromesse in incidenti precedenti, esposte a brute-force o riutilizzate tra sistemi diversi. L'autenticazione non protegge da password già in mano all'attaccante.

Le patch del 13 maggio 2026 per Secure Access e vTM correggono anche questa RCE?

No. Il bollettino del 13 maggio riguarda prodotti distinti — EPM, Secure Access, vTM e Xtraction — e non include EPMM né risolve CVE-2026-6973. EPMM richiede un aggiornamento separato alle versioni 12.6.1.1, 12.7.0.1 o 12.8.0.1.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• https://cybersecuritynews.com/ivanti-patches-multiple-vulnerabilities/
• https://thehackernews.com/2026/05/ivanti-epmm-cve-2026-6973-rce-under.html