18 Febbraio 2026 13:14    Alert

Ivanti EPMM: due vulnerabilità critiche, una zero-day

L’Agenzia per la Cybersicurezza Nazionale segnala due nuove vulnerabilità critiche in Ivanti Endpoint Manager Mobile (EPMM), identificate come CVE-2026-1281 e CVE-2026-1340, per le quali il produttore ha già rilasciato aggiornamenti di sicurezza dedicati. Si tratta di vulnerabilità di tipo code injection, con punteggio CVSS 9,8, che possono consentire a un attaccante remoto non autenticato di eseguire codice arbitrario sul sistema bersaglio e compromettere l’infrastruttura di mobile device management.

Le falle riguardano funzionalità specifiche della piattaforma EPMM, in particolare l’In-House Application Distribution e l’Android File Transfer Configuration, dove una gestione impropria degli input permette l’iniezione di comandi malevoli. Le due vulnerabilità sono state sfruttate come zero-day contro un numero limitato di clienti prima della divulgazione pubblica, e almeno una di esse (CVE-2026-1281) è stata inserita nel catalogo delle vulnerabilità sfruttate noto (KEV) di CISA, a conferma dell’urgenza di remediation.

Diversi report indicano che le vulnerabilità sono già oggetto di campagne di attacco mirate, con tentativi di sfruttamento osservati in rete e attività che hanno coinvolto anche enti governativi europei, esponendo dati di contatto e informazioni sui dispositivi gestiti. L’elevata criticità è legata al ruolo centrale di EPMM nella gestione delle flotte mobili aziendali: un compromesso della piattaforma può offrire ai criminali un punto d’ingresso privilegiato verso la rete interna e i dispositivi connessi.

ACN e i vari CSIRT raccomandano di applicare immediatamente gli aggiornamenti di sicurezza forniti da Ivanti e di verificare che gli script correttivi (in formato RPM) vengano reinstallati dopo eventuali upgrade di versione, poiché non sono persistenti. Le organizzazioni sono inoltre invitate a seguire le linee guida tecniche del vendor per l’analisi di possibili compromissioni, a limitare l’esposizione su Internet delle istanze EPMM e a monitorare con particolare attenzione i log per individuare tentativi di sfruttamento delle due CVE.

Fonti: ACN, Tenable, Unit 42