Ivanti patch maggio e zero-day EPMM: RCE e furto credenziali

Ivanti patch maggio per EPM e zero-day EPMM confermato: almeno 22 vulnerabilità sfruttate in due anni e nuove RCE da correggere subito per i team IT.

Contenuto

Ivanti patch maggio e zero-day EPMM: RCE e furto credenziali
Ivanti patch maggio e zero-day EPMM: RCE e furto credenziali

Ivanti ha rilasciato aggiornamenti di sicurezza per Endpoint Manager, Secure Access, Virtual Traffic Manager e Xtraction il 13 maggio 2026, chiudendo vulnerabilità che espongono le infrastrutture a remote code execution e furto di credenziali. Nelle stesse ore, il vendor ha confermato che un difetto zero-day in Endpoint Manager Mobile — CVE-2026-6973, reso pubblico il 7 maggio — è già attivamente sfruttato in the wild. La sovrapposizione tra nuove patch e exploitation in corso alimenta il dibattito sulla capacità dei team interni, anche quelli potenziati da intelligenza artificiale, di contenere la compressione del time-to-exploit.

Punti chiave
  • Il 13 maggio 2026 Ivanti ha pubblicato patch per EPM, Secure Access, vTM e Xtraction: tra le falle corrette, CVE-2026-8109 consente il furto di credenziali tramite un exposed dangerous method nel modulo RemoteControlAuth, mentre CVE-2026-8111 è una SQL injection che può portare a RCE.
  • CVE-2026-6973, zero-day in Ivanti Endpoint Manager Mobile divulgato il 7 maggio 2026, risulta attivamente sfruttato ed è stato inserito nel catalogo CISA KEV entro poche ore dalla disclosure.
  • Nessuna delle vulnerabilità patchate il 13 maggio risultava sfruttata in the wild al momento della disclosure, ma la frequenza storica — almeno 22 difetti sfruttati negli ultimi due anni — impone un approccio aggressivo alla remediation.
  • Ivanti dichiara di utilizzare modelli LLM nei workflow red team per individuare falle che strumenti SAST/DAST tradizionali non trovano, tuttavia la coesistenza di nuove RCE e di uno zero-day attivo solleva interrogativi sull'efficacia effettiva di questo approccio.

EPM, Secure Access, vTM e Xtraction: cosa chiude il bollettino del 13 maggio

Il 13 maggio 2026 Ivanti ha distribuito aggiornamenti cumulativi per quattro prodotti distinti. Il bollettino interessa Endpoint Manager, Secure Access Client, Virtual Traffic Manager e Xtraction. Al momento della disclosure, nessuna delle falle incluse in questo batch risultava sfruttata in the wild secondo le fonti disponibili. Tuttavia, la gravità delle vulnerabilità — che spaziano da SQL injection a metodi esposti pericolosi — rende l'applicazione tempestiva un imperativo operativo per i team di sicurezza e di infrastructure.

Non è chiaro dalle fonti se le patch del 13 maggio coprano anche Endpoint Manager Mobile e lo zero-day CVE-2026-6973 divulgato il 7 maggio. Le fonti trattano i due eventi come linee temporali distinte, senza sovrapposizione esplicita. Ciò significa che i team di sicurezza devono verificare separatamente lo stato di remediation per EPMM, senza presumere che il solo aggiornamento di maggio per EPM o Secure Access estenda la propria copertura anche alla componente mobile. Questa ambiguità gestionale aggiunge attrito ai cicli di patch già compressi.

CVE-2026-8109 e 8111: due modalità d'attacco contro Endpoint Manager

Tra le falle corrette in Endpoint Manager figura CVE-2026-8109, localizzata nel modulo RemoteControlAuth. Il difetto deriva da un exposed dangerous method che consente a un attaccante di bypassare l'autenticazione e disclosare credenziali archiviate nel sistema. Si tratta di una information disclosure con impatto elevato: l'accesso non autorizzato alle credenziali può funzionare da pivot iniziale per movimento laterale all'interno della rete aziendale, bypassando i controlli perimetrali tradizionali.

La seconda vulnerabilità rilevante è CVE-2026-8111, una SQL injection nel web console di Ivanti EPM. Un attaccante remoto autenticato, anche con privilegi limitati, può sfruttarla per ottenere remote code execution sul server target. La combinazione di queste due falle mostra come la superficie di attacco di Endpoint Manager offra vettori diversi e complementari: uno orientato al furto di identità e all'escalation di accesso, l'altro all'esecuzione diretta di codice. Per un team di threat actor, questa modularità aumenta la probabilità di successo anche quando un singolo vettore fallisce.

CVE-2026-6973: lo zero-day in EPMM già sotto attacco

Il 7 maggio 2026 Ivanti ha reso pubblico CVE-2026-6973, una vulnerabilità zero-day in Endpoint Manager Mobile che consente remote code execution a un utente autenticato con privilegi amministrativi. A differenza delle falle patchate il 13 maggio, questa risulta attivamente sfruttata. La Cybersecurity and Infrastructure Security Agency l'ha inserita nel catalogo Known Exploited Vulnerabilities entro poche ore dalla disclosure, segnalando un rischio concreto e immediato per le infrastrutture che espongono EPMM su internet.

Ivanti ha dichiarato di essere a conoscenza di exploitation molto limitata, ma non ha fornito attribuzioni specifiche a gruppi threat actor né il numero esatto di vittime o entità compromesse. La data del primo avvistamento di sfruttamento rimane non precisata nelle fonti disponibili. Ciò nonostante, la velocità di inserimento nel catalogo CISA e la natura di RCE autenticata impongono di trattare la minaccia con la massima priorità, indipendentemente dalla mancanza di dettagli pubblici sull'ampiezza dell'attacco.

Lo storico recente non lascia spazio a interpretazioni ottimistiche. Secondo il conteggio riportato da CyberScoop, almeno 22 difetti in prodotti Ivanti sono stati sfruttati negli ultimi due anni, mentre almeno trentaquattro vulnerabilità del vendor figurano nel catalogo KEV dal tardo 2021. È un trend che posiziona Ivanti tra i vendor più ricorrenti nel mirino di attori nation-state e di gruppi ransomware, rendendo ogni nuovo advisory un segnale di allarme per i CISO.

"At the time of disclosure, Ivanti is aware of very limited exploitation in the wild of CVE-2026-6973, which requires authenticated administrative access to implement"

AI red team e time-to-exploit: il gap tra promesse e exploitation

Ivanti dichiara di aver integrato modelli LLM nei workflow red team per scoprire vulnerabilità che strumenti SAST e DAST tradizionali non individuano. L'obiettivo dichiarato è anticipare l'avversario riducendo il tempo di permanenza dei difetti nel codice prima che raggiungano la produzione. La realtà dei fatti, tuttavia, mostra una coesistenza problematica: lo stesso ciclo di sicurezza che vanta l'uso di intelligenza artificiale per la ricerca proattiva si chiude con la conferma di un nuovo zero-day attivo e di ulteriori vulnerabilità di RCE pubblicate a distanza di pochi giorni.

Non è possibile stabilire dai dati disponibili quanti dei difetti patchati il 13 maggio fossero stati individuati proprio tramite LLM, né se l'AI red team abbia accelerato o ritardato la disclosure rispetto ai cicli tradizionali. Ciò che emerge con chiarezza è che la compressione del time-to-exploit — la finestra tra pubblicazione di una vulnerabilità e suo sfruttamento operativo — continua a essere più breve della capacità di remediation media delle organizzazioni. In questo scenario, la dichiarazione d'intenti sul fronte AI rischia di suonare come una rassicurazione tecnologica piuttosto che una garanzia operativa misurabile per i clienti.

Cosa fare adesso

  • Applicare immediatamente le patch rilasciate il 13 maggio 2026 per Endpoint Manager, Secure Access, vTM e Xtraction, dando priorità agli asset esposti su segmenti di rete non protetti da firewall rigidi.
  • Isolare o sottoporre a monitoraggio intensivo gli asset Ivanti Endpoint Manager Mobile, verificando i log per accessi amministrativi sospetti e tentativi di autenticazione anomali, dato lo sfruttamento attivo confermato di CVE-2026-6973.
  • Ruotare le credenziali archiviate in Ivanti EPM, con attenzione specifica al modulo RemoteControlAuth, considerando il rischio di disclosure non autorizzata derivante da CVE-2026-8109.
  • Rivedere la segregazione di rete e i privilegi amministrativi su EPM e EPMM, limitando l'accesso ai soli IP autorizzati e implementando l'autenticazione a più fattori per ridurre il movimento laterale in caso di compromissione iniziale.

Il problema Ivanti non è più solo tecnico, ma operativo e gestionale. Quando un vendor di gestione endpoint rilascia patch per RCE e furto di credenziali nello stesso ciclo in cui conferma uno zero-day attivo in un altro prodotto, la posta in gioco si sposta dal singolo difetto alla resilienza del processo complessivo. Le aziende non possono più permettersi di trattare questi aggiornamenti come mera manutenzione ordinaria: la gestione delle patch deve diventare prioritaria quanto la rotazione delle credenziali e la segmentazione della rete. Fino a quando il time-to-exploit rimarrà più breve del time-to-patch, l'unico margine di sicurezza risiederà nella velocità di risposta dei team interni.

Domande frequenti

Le patch del 13 maggio 2026 risolvono anche lo zero-day EPMM CVE-2026-6973?

Non è confermato dalle fonti disponibili. L'advisory sul batch di maggio si concentra su EPM, Secure Access, vTM e Xtraction, mentre CVE-2026-6973 è stato divulgato il 7 maggio come zero-day separato.

CVE-2026-8109 consente l'esecuzione di codice remoto?

No. Secondo l'analisi disponibile, la vulnerabilità nel modulo RemoteControlAuth consente il bypass dell'autenticazione e la disclosure di credenziali archiviate, non l'esecuzione diretta di codice.

È nota l'attribuzione degli attacchi che sfruttano CVE-2026-6973?

Al momento non è stata fornita alcuna attribuzione specifica per lo sfruttamento di questa vulnerabilità. Ivanti ha confermato exploitation limitata senza indicare gruppi threat actor.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Link utili

Apri l'articolo su DeafNews