Ivanti EPMM nel mirino: CVE-2026-1281 e CVE-2026-1340, due zero-day RCE che espongono l’infrastruttura MDM

Cyber Advising si occupa di Sicurezza Informatica offrendo servizi per prevenire attacchi informatici, Cyber Security, Consulenza di Sicurezza Informatica.

  • Home   /  blog   /  
  • Ivanti EPMM nel mirino: CVE-2026-1281 e CVE-2026-1340, due zero-day RCE che espongono l’infrastruttura MDM

Ivanti EPMM nel mirino: CVE-2026-1281 e CVE-2026-1340, due zero-day RCE che espongono l’infrastruttura MDM

Commenti disabilitati su Ivanti EPMM nel mirino: CVE-2026-1281 e CVE-2026-1340, due zero-day RCE che espongono l’infrastruttura MDM

Ivanti EPMM nel mirino: CVE-2026-1281 e CVE-2026-1340, due zero-day RCE che espongono l’infrastruttura MDM

Ultimo aggiornamento: 26 febbraio 2026

Le vulnerabilità CVE-2026-1281 e CVE-2026-1340 colpiscono Ivanti Endpoint Manager Mobile (EPMM) e rappresentano uno dei casi più delicati di questo periodo per chi gestisce infrastrutture di mobile device management on-premises. Entrambe consentono remote code execution non autenticata, con un livello di gravità critico e un impatto che va ben oltre il singolo server vulnerabile.

Quando una piattaforma MDM viene compromessa, il problema non è solo l’esecuzione di codice sul nodo esposto. Il punto reale è che l’MDM è spesso un nodo di fiducia privilegiato, con visibilità su dispositivi aziendali, policy, configurazioni, certificati, workflow di enrollment e relazioni con sistemi interni. Questo significa che una compromissione può trasformarsi rapidamente in accesso operativo, abuso di trust e movimento laterale.

Perché queste vulnerabilità sono così critiche

Il valore offensivo di queste due CVE deriva dalla combinazione di tre elementi:

  • nessuna autenticazione richiesta;
  • esecuzione di codice remota;
  • bersaglio ad altissimo valore operativo, cioè il server che governa la gestione dei dispositivi mobili aziendali.

In un contesto enterprise, un attaccante che ottiene esecuzione di codice su EPMM non sta semplicemente entrando in un’applicazione. Sta entrando in un punto di controllo centrale, spesso integrato con autenticazione aziendale, distribuzione applicativa, profili di sicurezza e processi di amministrazione remota. È qui che il rischio tecnico diventa immediatamente rischio sistemico.

Rischio reale per l’organizzazione

Dal punto di vista difensivo, bisogna leggere queste vulnerabilità nel modo corretto: non come un difetto isolato, ma come un possibile vettore di compromissione primaria con impatto esteso. Una piattaforma MDM compromessa può infatti diventare:

  • un punto di persistenza ad alta affidabilità;
  • una sorgente di accesso a dati e metadati sensibili;
  • un pivot verso segmenti interni;
  • un moltiplicatore di danno in caso di campagne mirate o di follow-on intrusion.

In scenari maturi di attacco, la compromissione di una console MDM non viene sfruttata solo per il danno immediato. Viene sfruttata per acquisire vantaggio operativo, consolidare l’accesso e preparare fasi successive con un profilo di rumorosità molto più basso rispetto ad altre tecniche di intrusione.

Cosa verificare immediatamente

Le organizzazioni che usano Ivanti EPMM dovrebbero eseguire una verifica urgente su più livelli:

  • versione installata e stato di patching;
  • esposizione internet diretta o indiretta tramite reverse proxy;
  • presenza di richieste anomale verso endpoint applicativi sensibili;
  • indicatori di persistenza, web shell o modifiche inattese nei componenti applicativi;
  • attività sospette sugli account amministrativi e sui meccanismi di gestione;
  • eventuali connessioni successive verso asset interni dopo comportamenti anomali del server EPMM.

Il punto chiave è non fermarsi alla domanda “sono vulnerabile?”. Serve anche rispondere a una seconda domanda molto più importante: sono già stato toccato? In presenza di sfruttamento attivo noto, questo cambia completamente la postura di risposta.

Patch, exposure review e hunting

Su casi come questo, limitarsi a installare l’aggiornamento non basta. La remediation corretta richiede almeno tre azioni coordinate:

  • mitigare o correggere subito le versioni vulnerabili;
  • ridurre l’esposizione delle istanze EPMM, soprattutto se internet-facing;
  • condurre threat hunting mirato su log, file, processi e attività post-exploitation.

È una differenza sostanziale. Il patching risolve il difetto tecnico. L’analisi difensiva serve invece a stabilire se il difetto sia già stato sfruttato prima dell’intervento. Ed è proprio in questo spazio che molte organizzazioni perdono tempo prezioso.

Conclusione

Le CVE-2026-1281 e CVE-2026-1340 sono vulnerabilità che meritano trattamento immediato perché colpiscono un’infrastruttura di trust, non un semplice servizio periferico. Quando il bersaglio è il controllo dei dispositivi e delle policy mobili, il rischio non è lineare: è amplificato dalla centralità operativa della piattaforma.

Per questo motivo, un approccio maturo non si limita all’aggiornamento. Serve verificare esposizione, possibile compromissione pregressa, residui di persistenza e fiducia residua nella piattaforma. In casi come questo, la vera domanda non è solo se la falla sia stata chiusa, ma se il perimetro sia ancora davvero sotto il controllo del difensore.