Ivanti ha reso note e patchato due vulnerabilità di sicurezza critiche che riguardano Ivanti Endpoint Manager Mobile (EPMM) e che sono state attivamente sfruttate in attacchi zero-day. Le falle, classificate come CVE-2026-1281 e CVE-2026-1340, consentono l'esecuzione di codice remoto non autenticato e hanno un punteggio CVSS di 9,8, che le colloca tra le classi di vulnerabilità più gravi. Una delle vulnerabilità è stata aggiunta al catalogo delle vulnerabilità sfruttate note (Known Exploited Vulnerabilities, KEV) della CISA, aumentando in modo significativo l'urgenza di rimediare, in particolare negli ambienti federali statunitensi.

Queste vulnerabilità consentono agli aggressori di compromettere le appliance EPMM esposte senza credenziali valide, garantendo potenzialmente il pieno controllo sui sistemi che gestiscono e archiviano i dati sensibili dei dispositivi mobili e della configurazione aziendale.

Panoramica delle vulnerabilità

CVE-2026-1281 e CVE-2026-1340 sono vulnerabilità di code injection all'interno di Ivanti EPMM che consentono agli aggressori di eseguire comandi arbitrari da remoto e senza autenticazione. I problemi derivano da una gestione impropria dell'input nelle funzioni In-House Application Distribution e Android File Transfer Configuration di EPMM. Il successo dello sfruttamento porta all'esecuzione diretta di codice sull'appliance stessa, creando uno scenario ad alto rischio dato il ruolo privilegiato di EPMM negli ambienti aziendali.

Le vulnerabilità interessano diverse versioni supportate di Ivanti EPMM, tra cui le versioni 12.5.x, 12.6.x e 12.7.x. Ivanti ha rilasciato patch provvisorie basate su RPM per le versioni interessate; tuttavia, queste patch non persistono durante gli aggiornamenti di versione e devono essere riapplicate se l'appliance viene aggiornata. Una soluzione definitiva è prevista con il rilascio della versione 12.8.0.0 di EPMM, previsto per il primo trimestre del 2026.

È importante notare che Ivanti ha dichiarato che nessun altro prodotto Ivanti è interessato da queste vulnerabilità, compresi Ivanti Neurons for MDM, Ivanti Endpoint Manager (EPM) e Ivanti Sentry.

Rischio di sfruttamento e post-compromissione

Ivanti ha confermato che un numero limitato di clienti è stato sfruttato attivamente prima della divulgazione pubblica, anche se l'azienda ha sottolineato che attualmente non ha una visibilità sufficiente sugli strumenti e sull'infrastruttura degli attori delle minacce per pubblicare indicatori atomici affidabili di compromissione. Sulla base degli attacchi storici contro le precedenti vulnerabilità EPMM, Ivanti ritiene che gli aggressori stabiliscano comunemente la persistenza attraverso shell web o reverse shell distribuite direttamente sul dispositivo compromesso.

Una volta compromesso un sistema EPMM, gli aggressori hanno la possibilità di eseguire codice arbitrario, accedere a dati sensibili relativi ai dispositivi gestiti e potenzialmente spostarsi lateralmente negli ambienti aziendali connessi. Poiché le appliance EPMM si trovano spesso all'intersezione tra identità, gestione dei dispositivi e accesso alla rete, una compromissione riuscita può avere implicazioni a cascata sulla sicurezza ben oltre l'appliance stessa.

Guida al rilevamento

Data la mancanza di indicatori dettagliati, il rilevamento si basa attualmente sull'analisi dei registri e sull'esame della configurazione. Ivanti consiglia ai clienti di ispezionare i registri di accesso Apache situati in /var/log/httpd/https-access_log alla ricerca di richieste sospette rivolte agli endpoint vulnerabili. Le richieste che restituiscono risposte HTTP 404, anziché le previste risposte 200 associate a un uso legittimo, possono indicare un tentativo o un successo di sfruttamento. Ivanti ha fornito un'espressione regolare per aiutare a identificare tali voci e raccomanda di correlare i risultati con i timestamp e gli indirizzi IP di origine.

Oltre all'analisi dei registri, le organizzazioni sono incoraggiate a controllare gli account amministrativi EPMM per verificare che non siano stati modificati in modo non autorizzato, a esaminare le configurazioni di autenticazione, come LDAP e SSO, e a controllare i criteri dei dispositivi e le applicazioni push create o modificate di recente. Anche le modifiche inaspettate alla configurazione della rete o della VPN distribuite tramite EPMM devono essere considerate come potenziali indicatori di compromissione.

Cosa fare

Le organizzazioni che utilizzano Ivanti EPMM devono considerare queste vulnerabilità come un rischio immediato e ad alta gravità. La prima priorità dovrebbe essere l'applicazione delle opportune patch RPM rilasciate da Ivanti a tutte le istanze EPMM interessate, fermo restando che tali patch devono essere riapplicate dopo qualsiasi aggiornamento di versione fino alla distribuzione di EPMM 12.8.0.0. Le appliance EPMM rivolte a Internet devono essere considerate particolarmente ad alto rischio e prioritarie di conseguenza.

Parallelamente all'applicazione delle patch, i team devono effettuare un esame approfondito dei registri di accesso ad Apache e delle impostazioni di configurazione di EPMM per identificare eventuali segni di sfruttamento. Poiché Ivanti non consiglia di tentare di ripulire manualmente un dispositivo compromesso, qualsiasi indicazione di sfruttamento riuscito dovrebbe innescare un processo di ripristino completo. Ciò comporta il ripristino dell'appliance da un backup noto e valido eseguito prima della compromissione o la creazione di una nuova istanza EPMM e la migrazione dei dati puliti su di essa.

Dopo il ripristino, le organizzazioni devono presumere l'esposizione delle credenziali e intraprendere azioni correttive reimpostando tutte le password degli account EPMM locali, ruotando le credenziali degli account dei servizi LDAP e Kerberos e revocando e sostituendo tutti i certificati pubblici utilizzati dall'appliance EPMM. Un ulteriore controllo deve essere applicato ai sistemi e ai servizi collegati per individuare eventuali segni di movimento laterale, in particolare negli ambienti in cui EPMM si integra con controlli di identità o di accesso alla rete.

Infine, i team di sicurezza dovrebbero aggiornare i loro playbook di gestione delle vulnerabilità e di risposta agli incidenti per includere esplicitamente EPMM e dispositivi infrastrutturali simili come obiettivi di alto valore. Il monitoraggio continuo delle attività anomale in uscita dai sistemi EPMM e la convalida proattiva dei backup contribuiranno a ridurre i tempi di attesa e a limitare l'impatto di eventuali tentativi di sfruttamento futuri.

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più importanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa,mettetevi in contattoper scoprire come proteggere la vostra organizzazione.