Ivanti EPMM zero-day: RCE admin credenziali, deadline CISA

Ivanti EPMM zero-day: RCE admin credenziali, deadline CISA

Ivanti ha confermato che CVE-2026-6973, una vulnerabilità zero-day in Endpoint Manager Mobile (EPMM), è attivamente sfruttata per eseguire codice remoto tramite credenziali amministrative. CISA ha inserito la falla nel catalogo KEV entro ore dalla disclosure, fissando al 10 maggio 2026 la deadline per le agenzie federali. Oltre 850 appliance risultano esposte su Internet, molte in Europa, e il rischio che le credenziali admin siano già compromesse a causa dei flaw di gennaio rende la sola patch una contromisura potenzialmente insufficiente.

Il catalogo KEV e la corsa contro il 10 maggio

La disclosure di Ivanti è arrivata in concomitanza con l’inserimento di CVE-2026-6973 nel Known Exploited Vulnerabilities catalog di CISA, avvenuto entro poche ore dalla pubblicazione dell’advisory. L’agenzia federale ha reso obbligatoria l’applicazione della patch per tutte le agenzie governative statunitensi entro il 10 maggio 2026, una tempistica che riflette la gravità dello scenario. Non è la prima volta che un flaw di Ivanti finisce nel mirino di CISA: dal 2021, sono circa 34 le vulnerabilità del vendor entrate nel catalogo come exploited.

La velocità della reazione è sintomatica. Quando CISA comprime i tempi di remediation a pochi giorni, il messaggio implicito è che l’exploitation in the wild sia già in fase avanzata e che i sistemi esposti rappresentino un pericolo immediato per l’ecosistema federale. Nel 2026, EPMM ha già attraversato tre eventi confermati di zero-day exploitation, un ritmo che colloca il prodotto tra le piattaforme più bersagliate del panorama enterprise.

La deadline del 10 maggio vincola direttamente le agenzie USA, ma il segnale per il settore privato è altrettanto inequivocabile: quando CISA accelera su un vendor già noto, la probabilità di vedere l’exploit traslare su target corporate europei cresce esponenzialmente nei giorni successivi alla scadenza.

Perché le credenziali admin non sono una garanzia

La vulnerabilità risiede in un difetto di improper input validation che consente a un utente remoto autenticato con privilegi amministrativi di eseguire codice arbitrario sul server. Non si tratta di un bypass dell’autenticazione: l’attaccante deve già possedere credenziali valide di livello admin. Questo dettaglio, lontano dal minimizzare il rischio, lo sposta su un piano più insidioso, perché presuppone che l’intruso abbia già superato il primo perimetro o abbia ottenuto le chiavi attraverso altre vie.

"actively exploited in zero-day attacks against a limited number of customers"

Kudelski Security ha pubblicato un advisory primario che conferma il meccanismo RCE with Admin Credentials e lo stato di active exploitation. La natura autenticata del flaw implica che gli attaccanti operino con un livello di stealth superiore rispetto a un exploit pubblico e rumoroso: una volta dentro, il codice malevolo viene eseguito nel contesto di un utente legittimo, riducendo le possibilità di rilevamento da parte dei sistemi di logging standard.

La detection si complica ulteriormente dal fatto che l’input validation flaw potrebbe non generare errori visibili nei log di applicazione se l’exploit viene incapsulato in richieste API apparentemente legittime. Questo rende necessario l’uso di behavioral analytics oltre che di signature-based detection per intercettare anomalie nel traffico amministrativo.

La filiera di attacco: dal gennaio 2026 al nuovo zero-day

L’angolo più preoccupante della campagna emerge dal possibile concatenamento con i precedenti zero-day di gennaio 2026, identificati come CVE-2026-1281 e CVE-2026-1340. Quei flaw erano di tipo unauthenticated e avrebbero potuto consentire agli attaccanti di esfiltrare credenziali amministrative o movimentarsi lateralmente all’interno della rete. Ivanti ha esplicitamente raccomandato la rotazione delle credenziali admin proprio per i clienti che furono compromessi in quel periodo.

Non è tuttavia confermato ufficialmente da Ivanti che CVE-2026-6973 sia stato sfruttato come secondo stadio di attacchi iniziati a gennaio: questa ricostruzione resta una valutazione dei ricercatori. Ciò che è certo è che, se le credenziali sono state rubate durante la prima ondata, la nuova vulnerabilità elimina ogni ulteriore barriera tra l’attaccante e il controllo totale della piattaforma EPMM.

Di qui la linea editoriale che guida la risposta: patchare non basta. Le aziende devono ipotizzare che le credenziali admin siano già in circolazione e agire conseguentemente. La logica difensiva non può più fermarsi al patching proattivo, ma deve estendersi a una fase forense retroattiva in grado di ricostruire se, e quando, quelle chiavi siano state duplicate o utilizzate al di fuori dei parametri standard.

In Europa, dove molte amministrazioni pubbliche e operatori sanitari gestiscono EPMM on-premises, la mancanza di un mandato CISA equivale spesso a un ritardo pericoloso. Senza ordine esecutivo, la decisione di patchare resta nelle mani di team IT già sotto pressione, che tendono a trattare il patching autenticato come bassa priorità rispetto a flaw più appariscenti.

Oltre 850 target esposti e la mappa del rischio europeo

I dati raccolti da Shadowserver indicano oltre 850 appliance EPMM raggiungibili via Internet, con concentrazioni significative in Europa e Nord America. Questa esposizione pubblica amplifica la superficie di attacco: un server EPMM accessibile dalla rete globale è un punto di ingresso privilegiato, specialmente se le credenziali admin non sono state ruotate dopo i flaw di inizio anno.

La distribuzione geografica non è neutra. Per le organizzazioni europee, la sovrapposizione tra appliance esposte e infrastrutture critiche rende il rischio non solo tecnico ma anche reputazionale e normativo. L’eventuale compromissione di un endpoint manager mobile governativo o sanitario comporta l’esfiltrazione di dati sensibili su larga scala, oltre al controllo remoto dei dispositivi gestiti.

La visibilità pubblica di questi asset è un dato oggettivo che non dipende dal threat intelligence avanzato: chiunque effettui reconnaissance di superficie può mappare i server EMM vulnerabili. Per gli attaccanti, l’investimento iniziale è minimale, mentre il ritorno in termini di accesso a flotte mobili aziendali è massimale.

Cosa fare adesso

Le contromisure devono essere tempestive e strutturali. La semplicità relativa del fix non deve illudere: chi si ferma alla sola installazione dell’aggiornamento lascia aperta la porta a un eventuale attaccante che già detiene le credenziali.

• Patch immediata: installare gli aggiornamenti rilasciati da Ivanti per le versioni 12.6.1.1, 12.7.0.1 e 12.8.0.1, verificando che l’appliance sia effettivamente protetta e non esposta a versioni intermedie non corrette.
• Rotazione credenziali obbligatoria: resettare tutte le password e i token amministrativi di EPMM, operando sul presupposto che possano essere già compromessi, soprattutto se la rete ha subito intrusioni a gennaio 2026.
• Forense retroattiva: analizzare i log di autenticazione e le sessioni admin dei mesi precedenti per identificare accessi anomali, orari inconsueti o provenienze geografiche sospette legate all’uso delle credenziali.
• Riduzione della superficie di attacco: rimuovere dall’esposizione Internet le appliance EPMM non strettamente necessarie, dato che oltre 850 sistemi visibili pubblicamente amplificano il rischio di targeting indiscriminato.

Il 2026 sta consegnando a Ivanti EPMM la dannata regolarità dei cicli di zero-day. Quello che cambia con CVE-2026-6973 è la natura silenziosa dell’exploit: non serve più un bypass fragoroso, basta una chiave admin che qualcuno potrebbe aver già copiato. Per chi gestisce infrastrutture on-premises, la vera verifica di sicurezza inizia ora, dopo la patch, quando si scopre se il sistema era già stato attraversato.

Domande frequenti

Perché un bug che richiede credenziali admin è classificato come zero-day critico?

Perché è sotto active exploitation e le credenziali amministrative potrebbero essere già state compromise durante precedenti intrusioni, trasformando un presunto prerequisito in un passaggio automatico per l’attaccante.

Cosa distingue CVE-2026-6973 dai flaw di gennaio 2026?

I vulnerabilità di gennaio erano sfruttabili senza autenticazione, mentre CVE-2026-6973 richiede un utente remoto autenticato con privilegi elevati. Il rischio concreto risiede nel possibile concatenamento tra le due fasi, non nell’exploit isolato.

La patch risolve anche eventuali compromissioni pregresse?

No. L’aggiornamento corregge il difetto di input validation ma non espelle eventuali backdoor o credenziali già rubate. Per questo Ivanti e i ricercatori raccomandano rotazione delle chiavi e analisi forense retroattiva.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• https://cybersecuritynews.com/ivanti-patches-multiple-vulnerabilities/
• https://securityboulevard.com/2026/05/ivanti-warns-of-new-epmm-flaw-exploited-in-zero-day-attacks/
• https://kudelskisecurity.com/research/13-unpatched-ivanti-endpoint-manager-zero-days-disclosed