Bloccare fuori o far trapelare: una falla di Ivanti Endpoint Manager lascia esposti i dati aziendali

È lo scenario da incubo per qualsiasi reparto IT: un attaccante remoto, senza bisogno di login, che sottrae in silenzio credenziali sensibili proprio dal software pensato per proteggere l’azienda. È questa la realtà inquietante che affrontano questa settimana le organizzazioni che utilizzano Ivanti Endpoint Manager (EPM), dopo la rivelazione di una nuova vulnerabilità ad alta gravità - capace di spalancare la porta a devastanti violazioni dei dati se lasciata senza patch.

Ivanti Endpoint Manager è un pilastro dell’IT enterprise, orchestrando la gestione e la sicurezza di migliaia di dispositivi su reti globali. Ma il suo accesso privilegiato lo rende anche un bersaglio ideale per i criminali informatici, che scandagliano costantemente alla ricerca di crepe nell’armatura. Il 9 febbraio 2026, Ivanti ha divulgato due nuove vulnerabilità in EPM - una così grave che gli attaccanti non hanno nemmeno bisogno di un nome utente o di una password per entrare.

La minaccia più urgente è CVE-2026-1603, una falla di bypass dell’autenticazione che consente ad attaccanti remoti di accedere con facilità ad alcuni dati di credenziali memorizzati. Con un punteggio CVSS di 8.6, questo bug è quanto di più simile a una chiave maestra digitale, permettendo a soggetti esterni di superare le difese e potenzialmente raccogliere informazioni sensibili. L’unico ostacolo? Le organizzazioni devono ancora eseguire una versione precedente all’aggiornamento 2024 SU5 - un dettaglio che, per i team IT più lenti a muoversi, potrebbe rivelarsi disastroso.

È stata corretta anche CVE-2026-1602, una vulnerabilità di SQL injection. Pur essendo meno grave, questo bug potrebbe consentire a insider o ad attaccanti con credenziali rubate di manipolare le query del database, leggendo dati a cui non dovrebbero poter accedere. È un promemoria che le minacce non arrivano sempre dall’esterno - talvolta si annidano all’interno.

Le vulnerabilità sono state segnalate responsabilmente da un ricercatore che lavora con l’iniziativa Trend Zero Day e, finora, Ivanti afferma che non ci sono prove di sfruttamento attivo. Ma con strumenti di attacco e codice proof-of-concept che spesso compaiono pochi giorni dopo le divulgazioni, il tempo stringe. L’aggiornamento include inoltre le correzioni per 11 precedenti problemi di gravità media, rendendo questa patch un pacchetto critico per l’igiene della sicurezza in ambito enterprise.

Le indicazioni di Ivanti sono chiare: verificate la versione di EPM e aggiornate a 2024 SU5 senza indugio. La patch è disponibile tramite l’Ivanti License System (ILS) e i team IT sono invitati ad agire rapidamente - perché nel gioco del gatto e del topo della cybersecurity, anche una breve finestra di esposizione può costare cara.

Quando la polvere si posa, la lezione è netta: persino gli strumenti che promettono protezione possono trasformarsi in passività se lasciati senza patch. Nel panorama di minacce di oggi, vigilanza - e velocità - restano le linee di difesa definitive.

WIKICROOK

• Bypass dell’autenticazione: Il bypass dell’autenticazione è una vulnerabilità che consente agli attaccanti di saltare o ingannare il processo di login, ottenendo accesso ai sistemi senza credenziali valide.
• CVSS: CVSS (Common Vulnerability Scoring System) è un metodo standard per valutare la gravità delle falle di sicurezza, con punteggi da 0.0 a 10.0.
• SQL Injection: La SQL injection è una tecnica di hacking in cui gli attaccanti inseriscono codice malevolo negli input utente per indurre un database a eseguire comandi dannosi.
• Endpoint Manager: Endpoint Manager è un software che aiuta le organizzazioni a monitorare, controllare e proteggere tutti i computer e i dispositivi connessi alle loro reti.
• Zero Day: Uno Zero Day è una falla software nascosta per la quale non è disponibile alcuna correzione, rendendola un bersaglio privilegiato per gli attaccanti finché lo sviluppatore non ne viene a conoscenza e rilascia una patch.