Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Negli ultimi giorni, i ricercatori di sicurezza hanno osservato un fenomeno insolito nel panorama delle minacce informatiche: un unico threat actor sembra essere responsabile della maggior parte degli attacchi in corso che sfruttano due vulnerabilità critiche nel software di gestione degli endpoint mobile di Ivanti.
Queste falle di sicurezza, classificate come remote code execution (RCE) senza autenticazione, interessano in particolare Ivanti Endpoint Manager Mobile (EPMM) e rappresentano un rischio serio per infrastrutture connesse a internet.
Le vulnerabilità in questione, identificate rispettivamente come CVE‑2026‑21962 e CVE‑2026‑24061, consentono a un attaccante di iniettare ed eseguire codice arbitrario su sistemi non aggiornati, senza che sia necessaria alcuna credenziale. Secondo i dati di telemetria raccolti tra il 1° e il 9 febbraio, su 417 sessioni di sfruttamento osservate circa l’83 % è attribuibile a un singolo indirizzo IP, ospitato su una rete considerata bulletproof, ovvero difficile da bloccare o rimuovere.
I dati mostrano un picco particolarmente marcato l’8 febbraio, con 269 tentativi di exploit in un solo giorno, circa 13 volte superiore alla media delle altre giornate monitorate. La natura delle comunicazioni di rete indica che buona parte dell’attività è automatizzata e potrebbe essere legata a un initial access broker (IaB).
Questa concentrazione su una singola fonte di attacco rende ancora più difficile la difesa per molti amministratori di sistema: alcune delle indicatori di compromissione (IOC) maggiormente condivise nella comunità di sicurezza non includono l’IP responsabile della maggior parte delle attività malevole, lasciando molti ambienti esposti se si fa affidamento solo sulle liste IOC comunemente diffuse.
Nonostante la predominanza di un singolo attore in questa ondata specifica di exploit, l’infrastruttura utilizzata non è confinata alla sola piattaforma EPMM. Lo stesso IP ha infatti mostrato attività contro altre vulnerabilità critiche in prodotti come Oracle WebLogic, GNU Inetutils Telnetd e GLPI, suggerendo un’iniziativa automatizzata con capacità di rotazione tra diversi bersagli software.
Ivanti ha risposto rilasciando aggiornamenti correttivi urgenti per le versioni vulnerabili del suo Endpoint Manager Mobile e ha invitato gli utenti a installarli senza indugio. Sebbene alcuni hotfix temporanei siano già disponibili per varie iterazioni del prodotto, il produttore ha indicato che una patch definitiva è prevista con il rilascio della versione 12.8.0.0 nel corso del primo trimestre del 2026.
Nel frattempo, si raccomanda di adottare anche misure preventive come la migrazione a nuove istanze EPMM o l’applicazione immediata degli aggiornamenti offerti.
