Ivanti: scoperta una nuova falla critica con esecuzione di codice remoto

Ivanti ha segnalato lo sfruttamento attivo della vulnerabilità CVE-2026-6973 in Endpoint Manager Mobile (EPMM), piattaforma usata per gestire dispositivi mobili aziendali. La falla consente esecuzione di codice remoto con privilegi amministrativi ed è stata aggiunta dalla CISA al catalogo delle vulnerabilità sfruttabili.

I clienti di Ivanti sono stati nuovamente presi di mira tramite un prodotto già al centro di diversi incidenti di alto profilo. Questa volta, gli aggressori stanno sfruttando una vulnerabilità precedentemente sconosciuta in Ivanti Endpoint Manager Mobile, utilizzato per proteggere e gestire i dispositivi mobili all’interno del perimetro della rete aziendale.

Giovedì 7 maggio, l’azienda ha emesso un avviso relativo alla vulnerabilità CVE-2026-6973.

La falla è legata a una convalida impropria degli input e consente l’esecuzione di codice in remoto, ma l’attacco richiede privilegi di amministratore in EPMM. Secondo Ivanti, al momento della divulgazione, l’azienda era a conoscenza solo di un numero molto limitato di casi di sfruttamento della vulnerabilità in attacchi reali. Ivanti non ha specificato quando sono iniziati i primi incidenti né quanti clienti sono stati interessati.

Poche ore dopo la pubblicazione del bollettino, il CISA ha aggiunto la vulnerabilità CVE-2026-6973 al suo catalogo di vulnerabilità sfruttabili note. Anche Ivanti ha rilasciato aggiornamenti per questo bug e per diverse altre vulnerabilità ad alto rischio in EPMM. L’azienda ha dichiarato che alcuni dei problemi sono stati scoperti da sistemi di rilevamento interni, inclusi quelli che utilizzano l’intelligenza artificiale e la successiva revisione umana, e che una vulnerabilità è stata segnalata da un ex dipendente.

Ivanti attribuisce il rischio di un nuovo attacco alle conseguenze degli incidenti di gennaio, quando gli aggressori hanno sfruttato le vulnerabilità critiche CVE-2026-1281 e CVE-2026-1340 nello stesso prodotto.

Tali attacchi hanno colpito quasi 100 organizzazioni, tra cui l’Autorità olandese per la protezione dei dati e il Consiglio della magistratura. L’azienda ritiene che i clienti che hanno modificato le proprie credenziali EPMM seguendo le raccomandazioni di gennaio abbiano ridotto significativamente il rischio di compromissione.

Caitlin Condon, vicepresidente della ricerca sulla sicurezza di VulnCheck, ritiene che la necessità di privilegi amministrativi possa indicare che la vulnerabilità CVE-2026-6973 venga utilizzata come parte di una catena di attacchi dopo una penetrazione iniziale utilizzando metodi alternativi.

Le vulnerabilità di Ivanti hanno da tempo attirato l’attenzione degli esperti di sicurezza informatica. Dalla fine del 2021, la CISA ha aggiunto 34 falle nei prodotti dell’azienda al suo catalogo di vulnerabilità sfruttate. Negli ultimi due anni, gli aggressori hanno sfruttato almeno 22 vulnerabilità di Ivanti, tra cui cinque falle in EPMM nell’ultimo anno.

Il responsabile della sicurezza di Ivanti, Daniel Spicer, aveva precedentemente attribuito l’elevato numero di vulnerabilità divulgate alla politica di maggiore apertura dell’azienda. Ivanti sostiene di continuare a rafforzare il proprio programma di sicurezza dei prodotti e identificare più rapidamente i bug e divulgare informazioni sui rischi ai clienti.

Bajram Zeqiri

Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.

Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research