Ivanti EPMM CVE-2026-6973: zero-day RCE in attack chain con credenziali rubate a gennaio 2026, CISA fissa scadenza a 72 ore

La CVE-2026-6973 (CVSS 7.2) è una vulnerabilità di tipo Improper Input Validation in Ivanti Endpoint Manager Mobile (EPMM) on-premises — la piattaforma MDM utilizzata dalle organizzazioni per gestire e proteggere dispositivi mobili aziendali. La flaw consente a un utente remoto autenticato con privilegi amministrativi di eseguire codice arbitrario sul sistema. Ivanti e il Centre for Cybersecurity belga hanno confermato lo sfruttamento attivo su un numero limitato di clienti al momento della divulgazione il 7 maggio 2026.

Come documentato da ZeroPath, la campagna segue una catena di attacco a due stadi:

• nella prima fase — risalente a gennaio 2026 — gli attori hanno sfruttato CVE-2026-1340 per esfiltrare credenziali amministrative da appliance EPMM.
• Nella seconda fase, a maggio 2026, quelle stesse credenziali sono state usate per autenticarsi alle appliance target e sfruttare CVE-2026-6973, ottenendo RCE.

Ivanti ha dichiarato con alta confidenza che le credenziali usate negli attacchi di maggio erano state raccolte durante quelle compromissioni precedenti. Il post-exploitation potenziale comprende esfiltrazione di dati, accesso all'intera flotta di dispositivi mobili gestiti e lateral movement. La CISA ha aggiunto la CVE al catalogo KEV il 7 maggio 2026 con scadenza al 10 maggio — 72 ore — segnale della gravità operativa nonostante il CVSS relativamente contenuto. Help Net Security conferma che la vulnerabilità era zero-day al momento dello sfruttamento.

Versioni affette: Ivanti EPMM on-premises 12.8.0.0 e precedenti (non è affetto Ivanti Neurons for MDM cloud, Ivanti EPM, Ivanti Sentry).
Azione raccomandata: aggiornare immediatamente a 12.8.0.1, 12.7.0.1 o 12.6.1.1; la patch da sola non è sufficiente — ruotare tutte le credenziali amministrative dell'appliance EPMM, specialmente se l'istanza era esposta a gennaio 2026.

Fonti: ACN, Zeropath, HelpNetSecurity