Ivanti ha rilasciato una serie di aggiornamenti critici per arginare due vulnerabilità di sicurezza che hanno colpito Ivanti Endpoint Manager Mobile (EPMM). Si tratta di falle sfruttate attivamente in attacchi zero-day, una criticità tale da spingere la Cybersecurity and Infrastructure Security Agency (CISA) statunitense a inserire immediatamente una delle due vulnerabilità nel suo catalogo dei pericoli noti.
Il quadro tecnico è allarmante: le vulnerabilità, identificate come CVE-2026-1281 e CVE-2026-1340, presentano un punteggio CVSS di 9,8. In termini meno tecnici, siamo di fronte a falle di iniezione di codice che permettono a utenti malintenzionati di eseguire codice da remoto senza alcuna autenticazione.
Il problema riguarda un ampio spettro di versioni, dalle 12.5.0.0 alla 12.7.0.0. Sebbene Ivanti abbia fornito delle patch correttive in formato RPM, l’azienda ha emesso un avvertimento cruciale: queste soluzioni temporanee non sopravvivono ai futuri aggiornamenti di versione. In pratica, se l’appliance viene aggiornata, la patch deve essere reinstallata manualmente.
La risoluzione definitiva è prevista solo con il rilascio della versione 12.8.0.0, programmato per la fine del primo trimestre del 2026. Ivanti ha confermato di essere a conoscenza di un numero limitato di clienti già colpiti, ammettendo però di non possedere ancora informazioni sufficienti sulle tattiche degli attaccanti per fornire indicatori di compromissione certi.
Le falle colpiscono specificamente le funzioni di distribuzione delle app interne e la configurazione del trasferimento file su sistemi Android. Fortunatamente, l’azienda ha chiarito che altri prodotti del portafoglio, tra cui Ivanti Sentry e Ivanti Neurons for MDM, non risultano interessati dall’esposizione.
Le analisi condotte rivelano che gli aggressori puntano solitamente a stabilire una persistenza sui sistemi compromessi tramite l’uso di web shell e reverse shell. Una volta ottenuto il controllo dell’appliance EPMM, il rischio si estende al movimento laterale nell’intera rete aziendale e all’esfiltrazione di dati sensibili dai dispositivi mobili gestiti.
Per individuare eventuali tentativi di intrusione, Ivanti raccomanda di analizzare i log di accesso di Apache. Un segnale sospetto è rappresentato dalla presenza di codici di risposta HTTP 404 in corrispondenza di specifici tentativi di accesso alle funzionalità di distribuzione app, mentre il traffico legittimo dovrebbe normalmente restituire un codice 200.
Oltre all’analisi dei log tecnici, è fondamentale un controllo amministrativo sui pannelli di gestione. Gli esperti suggeriscono di monitorare l’eventuale comparsa di nuovi profili amministratore non autorizzati o modifiche sospette ai sistemi di autenticazione SSO e LDAP che potrebbero indicare una manomissione in corso.
Il controllo deve estendersi anche alle applicazioni push e alle politiche di sicurezza inviate ai dispositivi mobili. Ogni variazione non pianificata nella configurazione delle app interne o nei parametri delle VPN aziendali deve essere considerata un potenziale campanello d’allarme per una violazione avvenuta.
In attesa del fix definitivo previsto per marzo, la vigilanza umana resta l’ultima linea di difesa. L’invito per i responsabili della sicurezza è quello di esaminare attentamente ogni modifica alla configurazione di rete e alle politiche inviate ai terminali mobili, per scongiurare che l’accesso all’EPMM diventi una porta aperta verso il cuore dell’infrastruttura.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cyber News
Cultura
Cultura
Innovazione
Cybercrime