Ivanti ha una falla zero-day: il governo USA ha 4 giorni per non farsi bucare

La CISA, l’agenzia americana per la cybersicurezza, ha ordinato a tutte le agenzie federali USA di correggere una vulnerabilità critica in Ivanti EPMM entro domenica 10 maggio 2026. Il problema è che quella falla viene già usata in attacchi reali.

Cosa succede: una falla zero-day in un software di gestione aziendale

Il software nel mirino si chiama Ivanti Endpoint Manager Mobile (EPMM), uno strumento usato da oltre 40.000 aziende e enti pubblici nel mondo per gestire i dispositivi mobili dei dipendenti. La vulnerabilità tracciata come CVE-2026-6973 colpisce tutte le versioni fino alla 12.8.0.0 e permette a un attaccante con privilegi di amministratore di eseguire codice remoto sul sistema.

In parole semplici: chi riesce ad entrare con un account admin può prendere il controllo del server. E secondo il report pubblicato su BleepingComputer, l’organizzazione no-profit Shadowserver conta già più di 800 appliance Ivanti EPMM esposte su internet.

Quante di queste abbiano già ricevuto la patch è un’incognita.

La scadenza di 4 giorni e la storia che si ripete

Giovedì 8 maggio la CISA ha aggiunto CVE-2026-6973 alla sua lista ufficiale di vulnerabilità sfruttate attivamente e ha imposto una scadenza durissima: patch installata entro mezzanotte di domenica 10 maggio. Le versioni corrette sono EPMM 12.6.1.1, 12.7.0.1 e 12.8.0.1, già disponibili.

Quello che trovo significativo è che non si tratta di un episodio isolato. Solo a fine gennaio Ivanti aveva già corretto due falle critiche simili, CVE-2026-1281 e CVE-2026-1340, anch’esse sfruttate come zero-day.

Il 4 aprile la CISA aveva già dato quattro giorni per tappare CVE-2026-1340. Stesso prodotto, stesso schema, stesso panico a orologeria.

Il contesto: Ivanti non è nuova a questo copione

Vale la pena ricordare che Ivanti EPMM nasce da MobileIron, acquisita da Ivanti nel 2020. MobileIron era già finita nel mirino nel 2020 con CVE-2020-15505, una RCE critica sfruttata da attori statali iraniani e cinesi contro enti governativi europei, inclusi obiettivi nel settore pubblico norvegese.

Il cambio di marchio non ha cambiato la superficie d’attacco: il prodotto è rimasto architetturalmente lo stesso, e i problemi di sicurezza strutturali si sono trascinati con lui.

Chi offre l’alternativa e a quale prezzo

Per chi gestisce un parco dispositivi mobili enterprise, le alternative on-premise consolidate sono sostanzialmente due: Microsoft Intune, incluso nei piani Microsoft 365 Business Premium a partire da circa 22 euro per utente al mese, e Jamf Pro, pensato prevalentemente per ambienti Apple, con licenze che partono da circa 8 dollari per dispositivo al mese.

Nessuna delle due è immune da vulnerabilità, ma entrambe operano in modalità cloud-first per default: la superficie esposta su internet che Shadowserver riesce a censire è strutturalmente più piccola rispetto a un EPMM on-premise mal configurato.

Perché questo schema Ivanti mi preoccupa davvero

Il mandato della CISA vale formalmente solo per le agenzie federali USA. Ma il segnale è chiaro per chiunque usi Ivanti EPMM in ambito enterprise, incluse le aziende italiane.

Ivanti serve oltre 40.000 clienti globali, e il fatto che Shadowserver trovi centinaia di appliance esposte pubblicamente su internet dice tutto sul livello medio di attenzione alla sicurezza in questo segmento.

La mia posizione è netta: se la tua azienda usa EPMM on-premise e non ha ancora applicato l’aggiornamento, smettila di aspettare la finestra di manutenzione programmata. Quattro giorni sono già troppi quando c’è sfruttamento attivo confermato.

Stay tech 🦾