I ricercatori di sicurezza hanno riferito che una campagna informatica su larga scala sta prende di mira sistemi che utilizzano Ivanti Endpoint Manager Mobile (EPMM), una piattaforma di gestione dei dispositivi mobili ampiamente utilizzata, dopo la rivelazione di due vulnerabilità zero-day critiche. Gli attaccanti stanno scansionando internet con decine di migliaia di indirizzi IP per identificare e sfruttare istanze non aggiornate del software.
Ivanti ha divulgato le vulnerabilità, tracciate come CVE-2026-1281 e CVE-2026-1340, il 29 gennaio 2026. Entrambi presentano punteggi elevati che riflettono il rischio di esecuzione remota e non autenticata di codice sui server interessati. Gli exploit proof-of-concept sono stati resi pubblici immediatamente dopo la divulgazione, provocando un rapido aumento dei tentativi di scansione e sfruttamento da parte di molteplici attori minacci.
I dati di monitoraggio delle minacce mostrano che in alcuni giorni gli attaccanti hanno accumulato più di 28.000 indirizzi IP distinti per sondare installazioni vulnerabili di EPMM, con più di 39.000 connessioni registrate contro un singolo honeypot usato per misurare attività malevole. In confronto, altre vulnerabilità di alto profilo attirano tipicamente scansioni da fonti molto meno numerose.
Le organizzazioni di sicurezza hanno identificato centinaia di sistemi EPMM esposti a internet in Germania, Stati Uniti, Regno Unito, Svizzera, Hong Kong, Cina, Francia, Spagna, Paesi Bassi e Svezia. Molte altre installazioni esistono dietro firewall aziendali, dove dovrebbero essere schermate dall’accesso diretto a Internet.
Rapporti separati indicano che le vulnerabilità sono state collegate a violazioni confermate dei sistemi governativi in Europa. La Commissione Europea ha dichiarato di aver rilevato e contenuto un attacco informatico alle infrastrutture responsabili della gestione dei dispositivi mobili del personale, che potrebbe aver permesso l’accesso a informazioni personali limitate. Attacchi simili contro agenzie governative in Finlandia e nei Paesi Bassi sono stati attribuiti allo sfruttamento delle stesse falle.
Ivanti ha consigliato a clienti e amministratori di applicare patch di emergenza e ha rilasciato linee guida e strumenti per aiutare a valutare il potenziale sfruttamento. Le patch sono diventate disponibili poco dopo la divulgazione dei difetti, e l’azienda ha incoraggiato le organizzazioni ad aggiornare immediatamente i sistemi interessati per evitare compromettimenti.
Gli esperti hanno affermato che la rapida emergere dello sfruttamento di massa dopo la divulgazione pubblica sottolinea i rischi associati alle vulnerabilità zero-day nei software di gestione ampiamente distribuiti. I sistemi EPMM sono utilizzati per far rispettare le politiche di sicurezza, gestire i dispositivi dei dipendenti e distribuire applicazioni su ambienti iOS, Android e Windows. Se un attaccante prende il controllo di tali sistemi, può potenzialmente accedere a dati aziendali sensibili e distribuire codice malevolo senza essere notato.
I ricercatori avvertono che le istanze non patchate rimangono esposte e che è probabile che la scansione continuata da parte di attori malintenzionati non sia probabile a meno che gli amministratori non mettano in sicurezza le loro reti e applichino gli ultimi aggiornamenti. La campagna mette in evidenza sfide di sicurezza più ampie per le organizzazioni che dipendono dalle piattaforme di gestione dei dispositivi per la continuità operativa e la protezione dei dati.