Ivanti Endpoint Manager: authentication bypass sfruttato in attacchi reali, oltre 700 istanze esposte

La CISA ha inserito il 9 marzo 2026 la CVE-2026-1603 nel catalogo Known Exploited Vulnerabilities, segnalando sfruttamento attivo in the wild. La vulnerabilità — classificata come authentication bypass tramite percorso alternativo (CWE-288, CVSS 8.6) — interessa Ivanti Endpoint Manager 2024 SU4 SR1 e versioni precedenti. Un attaccante remoto non autenticato può sfruttarla per accedere a dati di credenziali memorizzati nella piattaforma, aprendo la strada a movimenti laterali e potenziali compromissioni ransomware. Ivanti aveva rilasciato la patch (EPM 2024 SU5) il precedente mese di febbraio.

Secondo BleepingComputer, la piattaforma di monitoraggio Shadowserver tracciava oltre 700 istanze Ivanti EPM esposte su Internet, principalmente in Nord America. La radice tecnica della vulnerabilità è identificata da PT Security nella concatenazione malformata degli header HTTP, che permette l'iniezione di byte nulli per aggirare la verifica dei token di sessione e accedere alle API interne, con conseguente recupero di credential blob cifrati per account ad alto privilegio. Qualys ThreatProtect e Cyberpress confermano che la CISA ha classificato l'exploitation come attiva, pur in assenza di conferma diretta da parte di Ivanti.

Versioni affette: Ivanti Endpoint Manager 2024 SU4 SR1 e precedenti.
Azione raccomandata: aggiornare a EPM 2024 SU5; se non immediatamente possibile, bloccare l'accesso internet alle porte di gestione (80/443) e limitare l'accesso ai soli jump host amministrativi.

Fonti: ACN, Bleeping Computer, Qualys