Zero-Day nel Cuore dell’Europa: 92 Server Compromessi in 24 Ore
Il 29 gennaio 2026, Ivanti ha divulgato due vulnerabilità critiche nel proprio software Endpoint Manager Mobile (EPMM): CVE-2026-1281 e CVE-2026-1340, entrambe con punteggio CVSS di 9.8. Meno di 24 ore dopo, la Commissione Europea comunicava di aver subito un attacco informatico attraverso esattamente queste falle. L’incidente ha esposto i dati di personale di alto profilo all’interno delle istituzioni comunitarie e ha scatenato una reazione a catena che ha coinvolto governi di tutta Europa.
La gravità della situazione non risiede solo nei numeri, per quanto significativi: 92 server Ivanti EPMM compromessi rilevati da Shadowserver Foundation, fino a 50.000 dipendenti governativi finlandesi con dati esposti, tre istituzioni europee di alto profilo violate nello stesso weekend. La vera preoccupazione è strutturale: Ivanti EPMM è il sistema di Mobile Device Management (MDM) utilizzato da decine di governi e grandi organizzazioni in tutto il mondo per gestire centralmente smartphone e tablet aziendali. Compromettere il server MDM significa, potenzialmente, accedere ai dispositivi mobili di ministri, funzionari e diplomatici.
Questo articolo analizza in dettaglio l’incidente, le vulnerabilità, la risposta delle istituzioni e le implicazioni per la cybersecurity europea nel contesto della Direttiva NIS2 e del Cyber Resilience Act.
CVE-2026-1281 e CVE-2026-1340: Anatomia di un Zero-Day CVSS 9.8
Le due vulnerabilità, divulgate da Ivanti il 29 gennaio 2026, colpiscono Ivanti Endpoint Manager Mobile (EPMM), il software di gestione centralizzata dei dispositivi mobili aziendali precedentemente noto come MobileIron. Il fatto che portino entrambe il punteggio massimo pratico di 9.8 su 10 nella scala CVSS le colloca nella categoria delle vulnerabilità più pericolose che un’organizzazione possa affrontare.
CVE-2026-1281 consente l’esecuzione remota di codice senza autenticazione (unauthenticated Remote Code Execution, RCE). Un attaccante che conosce l’indirizzo IP del server EPMM può inviare richieste HTTP appositamente costruite per eseguire codice arbitrario con privilegi elevati, senza presentare credenziali valide. CISA ha rapidamente aggiunto questa vulnerabilità al proprio catalogo delle vulnerabilità sfruttate (KEV), obbligando le agenzie federali statunitensi a correggere i propri sistemi entro tempi brevi.
CVE-2026-1340 è una vulnerabilità complementare che, combinata con la prima, permette agli attaccanti di consolidare l’accesso e muoversi lateralmente all’interno delle reti compromesse. Anche questa vulnerabilità era già stata sfruttata attivamente prima della divulgazione pubblica, confermando lo status di zero-day: le organizzazioni non avevano finestre temporali per proteggersi prima che gli attacchi iniziassero.
Nel comunicato ufficiale, Ivanti ha ammesso che “un numero molto limitato di clienti” era stato compromesso al momento della divulgazione. Una formulazione che, come evidenzieremo, appare significativamente riduttiva rispetto alla realtà documentata da ricercatori indipendenti. La versione temporanea di mitigazione è stata rilasciata contestualmente all’advisory del 29 gennaio, mentre la correzione permanente, la versione EPMM 12.8.0.0, era attesa per il primo trimestre 2026.
Il 30 Gennaio 2026: L’Attacco alla Commissione Europea
Il giorno successivo alla divulgazione delle vulnerabilità, la Commissione Europea ha rilevato segnali di un attacco informatico sulla propria infrastruttura centralizzata di Mobile Device Management, basata su Ivanti EPMM. L’attacco ha preso di mira il sistema che gestisce smartphone e tablet assegnati al personale della Commissione, dispositivi che contengono comunicazioni, documenti di lavoro e contatti istituzionali di funzionari europei.
Secondo le informazioni ufficiali diffuse dall’istituzione, i dati potenzialmente esposti includevano nomi, numeri di telefono cellulare e, in alcuni casi, indirizzi email di lavoro del personale. La Commissione ha specificato che nessun dispositivo mobile è stato direttamente compromesso: l’attacco ha colpito l’infrastruttura di gestione, non i singoli terminali degli utenti. Una distinzione tecnica importante, ma che non elimina il rischio di sfruttamento secondario delle informazioni esfiltrate.
CERT-EU, il Computer Emergency Response Team delle istituzioni europee, ha coordinato la risposta all’incidente. Il risultato più significativo è stato il contenimento completo della violazione entro nove ore dal rilevamento iniziale: un dato che i professionisti della sicurezza considerano eccellente per la tipologia di attacco e la complessità dell’ambiente target. Entro quella finestra temporale, il sistema MDM è stato isolato, la vulnerabilità mitigata e i vettori di accesso degli attaccanti eliminati.
La Commissione non ha attribuito pubblicamente l’attacco a un gruppo specifico o a un attore statale. Questa scelta, comune nelle comunicazioni istituzionali europee, riflette sia la prudenza politica necessaria in questo tipo di incidenti sia la genuina difficoltà di attribuzione tecnica nelle prime fasi di risposta. L’espansione della copertura mediatica dell’incidente è avvenuta il 9 febbraio 2026, quando i dettagli sui collegamenti con gli attacchi alle istituzioni olandesi e finlandesi hanno reso chiaro il quadro di una campagna coordinata.
L’Epidemia Europea: Olanda, Finlandia e 92 Server Compromessi
La Commissione Europea non era l’unico bersaglio. Nello stesso periodo, almeno altre tre organizzazioni governative europee di rilievo hanno confermato violazioni attraverso le medesime vulnerabilità Ivanti EPMM.
Nei Paesi Bassi, sia l’Autorità per la Protezione dei Dati (AP) sia il Consiglio della Magistratura (Rvdr) hanno confermato di essere stati colpiti. In entrambi i casi, i dati esposti riguardavano informazioni lavorative dei dipendenti: nomi, indirizzi email aziendali e numeri di telefono. Si tratta di organizzazioni con responsabilità particolarmente sensibili: l’AP supervisiona l’applicazione del GDPR in Olanda, mentre il Rvdr gestisce l’amministrazione del sistema giudiziario nazionale. Il fatto che i sistemi di gestione dispositivi di questi enti siano stati compromessi attraverso una vulnerabilità critica sottolinea la difficoltà di mantenere un perimetro di sicurezza efficace anche per organizzazioni con competenze specifiche in materia di privacy.
In Finlandia, l’agenzia governativa Valtori, responsabile dei servizi informatici dell’amministrazione pubblica, ha riportato la violazione più estesa in termini di scala. L’incidente, identificato il 30 gennaio 2026, ha esposto i dati lavorativi di fino a 50.000 dipendenti governativi finlandesi, rendendo questo il singolo evento più significativo della campagna in termini di persone coinvolte.
Il quadro completo emerge dai dati di Shadowserver Foundation, l’organizzazione no-profit specializzata nel monitoraggio delle infrastrutture internet compromesse. I ricercatori di Shadowserver hanno identificato 92 server Ivanti EPMM con segnali di compromissione legati a CVE-2026-1281, precisando che il numero era destinato ad aumentare man mano che le analisi proseguivano. Questa cifra contrasta nettamente con la comunicazione di Ivanti sui “un numero molto limitato di clienti”: 92 server compromessi rappresentano una campagna di scala significativa, non un incidente isolato.
| Organizzazione | Paese | Data Conferma | Dati Esposti | Scala |
|---|---|---|---|---|
| Commissione Europea | UE | 30 gen 2026 | Nomi, telefoni, email di lavoro | Istituzione UE (migliaia di dipendenti) |
| Autorità Protezione Dati (AP) | Olanda | Feb 2026 | Nomi, email, numeri telefono | Ente regolatorio GDPR |
| Consiglio della Magistratura (Rvdr) | Olanda | Feb 2026 | Nomi, email, numeri telefono | Amministrazione giudiziaria |
| Valtori | Finlandia | 30 gen 2026 | Dati lavorativi | Fino a 50.000 dipendenti governativi |
| Organizzazioni non identificate | Vari | Gen-Feb 2026 | Non divulgato | 88 server aggiuntivi (Shadowserver) |
Analisi Tecnica: Come Funziona la Vulnerabilità CVE-2026-1281
Per comprendere la gravità di CVE-2026-1281 è necessario capire il ruolo architetturale di Ivanti EPMM nelle organizzazioni che lo utilizzano. Il server EPMM è il sistema nervoso centrale della gestione dei dispositivi mobili: riceve connessioni dai dispositivi degli utenti, distribuisce policy di sicurezza, installa applicazioni, accede a calendario e email aziendali e può, in caso di necessità, cancellare da remoto i dati su un dispositivo smarrito o rubato. Un server EPMM esposto su internet è, per definizione, raggiungibile da qualsiasi attaccante del mondo.
Il Meccanismo di Exploiting
CVE-2026-1281 sfrutta una debolezza nell’interfaccia API di EPMM che permette richieste non autenticate a endpoint che dovrebbero richiedere credenziali valide. I ricercatori di Palo Alto Networks Unit 42 hanno documentato come l’exploit permetta ad attaccanti non autenticati di eseguire codice arbitrario sul server, descrivendo la vulnerabilità come “attivamente sfruttata nel contesto reale da attori malevoli che operano prima della disponibilità di patch”. La combinazione con CVE-2026-1340 consente poi di stabilire persistenza nel sistema e potenzialmente accedere ai dati gestiti dal server EPMM.
Il team di Horizon3.ai ha classificato le falle come “vulnerabilità RCE attivamente sfruttate in Ivanti EPMM”, evidenziando che la natura pre-autenticazione le rende particolarmente pericolose: non è necessario ottenere credenziali valide in una fase precedente, il che semplifica enormemente lo sfruttamento automatizzato su scala.
La Finestra di Esposizione
Gli analisti di Rapid7 hanno confermato che lo sfruttamento delle vulnerabilità aveva già avuto luogo prima della divulgazione ufficiale del 29 gennaio 2026: “il vendor ha indicato che lo sfruttamento nel mondo reale era già avvenuto prima della disclosure”. Questo schema, noto come zero-day exploitation, è il più pericoloso possibile per i difensori: le organizzazioni non hanno nessuna informazione disponibile per proteggere i propri sistemi, né patch da applicare, né indicatori di compromissione da monitorare.
La tempistica è rivelatrice: Ivanti ha rilasciato aggiornamenti temporanei contestualmente all’advisory del 29 gennaio, mentre la correzione definitiva nella versione EPMM 12.8.0.0 era prevista entro il primo trimestre 2026. In pratica, le organizzazioni si sono trovate con la scelta tra applicare aggiornamenti temporanei in produzione su un’infrastruttura critica oppure rimanere esposte a una vulnerabilità CVSS 9.8 attivamente sfruttata. Non è una scelta facile in ambienti con rigidi requisiti di continuità operativa.
La Risposta di CERT-EU: Nove Ore per Contenere la Crisi
La risposta della Commissione Europea all’incidente del 30 gennaio ha messo in evidenza sia i punti di forza sia i limiti della cybersecurity istituzionale europea. Il punto di forza più evidente è il tempo di contenimento: nove ore dal rilevamento al completo isolamento e pulizia del sistema compromesso. Per un’istituzione della complessità della Commissione Europea, con infrastrutture IT distribuite su più sedi e centinaia di migliaia di dipendenti, questo risultato è tecnicamente notevole.
CERT-EU, il team di risposta agli incidenti delle istituzioni europee, ha coordinato le operazioni di contenimento. L’ente, formalmente Computer Emergency Response Team for the EU Institutions, Bodies and Agencies, opera come struttura centralizzata di risposta agli incidenti per tutte le istituzioni dell’Unione, fornendo intelligence sulle minacce, supporto tecnico in caso di incidente e monitoraggio continuo. La sua efficacia nel caso Ivanti dimostra che gli investimenti in capacità di risposta rapida producono risultati misurabili.
Il punto critico, però, è che la violazione è avvenuta. Un’istituzione come la Commissione Europea, che gestisce politiche economiche, trattati internazionali, comunicazioni diplomatiche e dati riservati su milioni di cittadini europei, utilizza un software MDM commerciale che ha mostrato, in sette anni consecutivi, vulnerabilità critiche sfruttabili da remoto. La domanda che molti esperti pongono non è solo “come contenere l’attacco” ma “perché questa architettura di rischio era accettabile”.
La risposta ufficiale delle istituzioni è stata misurata: nessuna attribuzione pubblica, comunicazione trasparente sui dati esposti e sui tempi di contenimento, aggiornamento dei sistemi. Questo approccio, pur corretto dal punto di vista della gestione della crisi comunicativa, non affronta le domande strutturali su come un singolo punto di vulnerabilità commerciale possa compromettere simultaneamente la sicurezza di istituzioni critiche in tre paesi europei diversi.
Un Pattern Sistemico: La Storia dei Zero-Day Ivanti
L’incidente del gennaio 2026 non è un evento isolato. Ivanti ha accumulato negli ultimi tre anni un catalogo di vulnerabilità critiche sfruttate come zero-day che configura un pattern preoccupante per qualsiasi responsabile della sicurezza IT che utilizzi prodotti dell’azienda.
Nel luglio 2023, CVE-2023-35078 aveva esposto Ivanti EPMM (allora ancora noto come MobileIron) a un bypass dell’autenticazione critico, classificato CVSS 10.0. La vulnerabilità era stata sfruttata per compromettere il sistema email di dodici ministeri governativi norvegesi, oltre a numerose organizzazioni nel settore privato in tutto il mondo. Era già allora una vulnerabilità nel sistema MDM, già allora la risposta era stata reattiva piuttosto che preventiva.
Nel gennaio 2024, la coppia CVE-2023-46805 e CVE-2024-21887, rispettivamente un bypass dell’autenticazione e una command injection in Ivanti Connect Secure, aveva colpito migliaia di organizzazioni globalmente prima che le patch fossero disponibili. I ricercatori avevano collegato alcuni di questi attacchi ad attori legati alla Cina, sebbene l’attribuzione rimanga complessa in questo tipo di campagne.
Nel gennaio 2025, CVE-2025-0282 aveva portato vulnerabilità di esecuzione remota del codice a Ivanti Connect Secure, con punteggio CVSS 9.0. Lo sfruttamento era iniziato già nel dicembre 2024, prima della divulgazione pubblica, ripetendo lo stesso schema zero-day.
Il Shadowserver Foundation ha commentato il pattern affermando che il numero di server compromessi era destinato ad aumentare, data la “portata massiccia della campagna”. Tre anni di vulnerabilità critiche in prodotti largamente adottati da governi e infrastrutture critiche configurano quello che gli esperti di sicurezza chiamano un “pattern di debito tecnico di sicurezza”: debolezze strutturali nel software che emergono ripetutamente in prodotti diversi della stessa azienda.
| CVE | CVSS | Prodotto Ivanti | Tipo di Vulnerabilità | Anno | Zero-Day? |
|---|---|---|---|---|---|
| CVE-2023-35078 | 10.0 | EPMM (MobileIron) | Authentication Bypass | 2023 | Sì |
| CVE-2023-46805 | 8.2 | Connect Secure | Authentication Bypass | 2024 | Sì |
| CVE-2024-21887 | 9.1 | Connect Secure | Command Injection | 2024 | Sì |
| CVE-2024-21893 | 8.2 | Connect Secure | Server-Side Request Forgery | 2024 | Sì |
| CVE-2025-0282 | 9.0 | Connect Secure | RCE (Stack Buffer Overflow) | 2025 | Sì |
| CVE-2026-1281 | 9.8 | EPMM | RCE Non Autenticato | 2026 | Sì |
| CVE-2026-1340 | 9.8 | EPMM | RCE Non Autenticato | 2026 | Sì |
Impatto sul Mercato Enterprise: La Crisi di Fiducia nei Prodotti MDM
L’incidente di gennaio 2026 ha aperto un dibattito significativo tra i responsabili della sicurezza IT delle grandi organizzazioni europee sul rischio sistemico associato all’adozione di soluzioni MDM commerciali centralizzate. Il paradosso è evidente: i software di gestione dei dispositivi mobili esistono per aumentare la sicurezza e il controllo sui dispositivi aziendali, ma la loro natura centralizzata e la loro connettività internet li rendono, se vulnerabili, punti di accesso privilegiati per attaccanti sofisticati.
Il mercato globale delle soluzioni Enterprise Mobility Management (EMM), di cui EPMM fa parte, valeva circa 6,4 miliardi di dollari nel 2025. I principali fornitori, oltre a Ivanti, includono Microsoft (Intune), VMware (Workspace ONE), Jamf e Google (Android Enterprise Management). La differenza cruciale tra questi prodotti riguarda l’architettura di deployment: alcune soluzioni operano prevalentemente in cloud con superfici di attacco locali ridotte, mentre Ivanti EPMM è spesso distribuito on-premises o in configurazioni ibride che richiedono esposizione su internet.
L’analisi dei ricercatori di Rapid7 ha sottolineato come le vulnerabilità Ivanti EPMM del 2023 (CVE-2023-35078) avessero già dimostrato il rischio di questo modello architetturale. La ripetizione dello stesso schema nel 2026 suggerisce che le misure correttive adottate nel frattempo non hanno eliminato le debolezze strutturali nel prodotto. Per i CISO e i responsabili IT delle organizzazioni governative europee, questo crea un problema concreto di vendor risk management: come gestire la dipendenza da un fornitore con un track record di vulnerabilità critiche ripetute, quando la migrazione a soluzioni alternative richiede mesi o anni di progettazione?
Alcune organizzazioni europee hanno già avviato valutazioni di migrazione verso soluzioni cloud-native come Microsoft Intune, che presenta un profilo di rischio diverso grazie all’architettura SaaS in cui la responsabilità della sicurezza dell’infrastruttura è condivisa con Microsoft. La scelta non è priva di implicazioni: spostare dati sensibili su infrastrutture cloud di provider extra-europei solleva questioni di sovranità digitale che molte istituzioni pubbliche non possono ignorare, specialmente alla luce delle normative europee sulla localizzazione dei dati.
NIS2, Cyber Resilience Act e le Implicazioni Regolatorie
L’incidente Ivanti EPMM si inserisce in un momento particolarmente delicato per la cybersecurity governance europea. La Direttiva NIS2, entrata in vigore nel 2023 con obblighi di implementazione nazionali progressivi, richiede alle organizzazioni classificate come “entità essenziali” o “entità importanti” di adottare misure di gestione del rischio informatico proporzionate, notificare gli incidenti significativi entro 24 ore e rispondere a incidenti gravi entro 72 ore.
La Commissione Europea ha contenuto l’incidente in nove ore, rispettando ampiamente questi requisiti temporali. Il punto critico, però, è la valutazione dell’adeguatezza delle misure preventive. NIS2 richiede non solo reattività agli incidenti ma proattività nella gestione del rischio. Un’istituzione che utilizza un prodotto con una storia documentata di vulnerabilità critiche sfruttate come zero-day ha difficoltà a dimostrare di aver adottato misure di rischio proporzionate, un requisito chiave della direttiva.
Il Cyber Resilience Act (CRA), regolamento europeo entrato progressivamente in vigore dal 2024 al 2027, introduce invece obblighi direttamente sui produttori di software come Ivanti. Il CRA richiede che i prodotti con elementi digitali siano progettati con principi di security-by-design, che le vulnerabilità vengano gestite proattivamente e che gli aggiornamenti di sicurezza siano disponibili per tutta la vita utile del prodotto. Un pattern di sette vulnerabilità critiche in tre anni, tutte sfruttate come zero-day, potrebbe attirare l’attenzione dei regolatori europei nel valutare la conformità di Ivanti al CRA.
Per le organizzazioni colpite nell’incidente, il GDPR introduce un ulteriore strato di complessità. La divulgazione dell’Autorità per la Protezione dei Dati olandese di aver subito una violazione che espone i dati personali dei propri dipendenti è, per l’ente che dovrebbe supervisionare la protezione dei dati in Olanda, una situazione di imbarazzo istituzionale significativo. Non è la prima volta che autorità di regolazione subiscono violazioni dei dati che avrebbero il compito di prevenire in altri: un promemoria che la cybersecurity è un problema tecnico prima che un problema di compliance.
La CISA Aggiunge CVE-2026-1281 al Catalogo KEV
L’agenzia americana CISA (Cybersecurity and Infrastructure Security Agency) ha agito rapidamente aggiungendo CVE-2026-1281 al proprio catalogo delle vulnerabilità sfruttate note (KEV), il registro pubblico che obbliga le agenzie federali statunitensi a correggere le vulnerabilità elencate entro scadenze specifiche. L’inserimento nel KEV è un segnale forte per il settore privato e per le organizzazioni internazionali: significa che CISA considera lo sfruttamento attivo sufficientemente documentato e il rischio sufficientemente elevato da richiedere azione immediata.
Per le organizzazioni europee, il catalogo KEV rappresenta una risorsa preziosa indipendentemente dagli obblighi normativi statunitensi: la velocità con cui CISA valida e cataloga le vulnerabilità sfruttate ne fa un riferimento operativo per i team di sicurezza globali. Il fatto che CVE-2026-1281 sia stato incluso quasi immediatamente dopo la divulgazione conferma l’urgenza con cui la comunità della sicurezza ha valutato questo rischio.
ENISA, l’Agenzia dell’Unione Europea per la Cybersicurezza, ha il proprio framework di gestione delle vulnerabilità ma non dispone di un catalogo equivalente al KEV con la stessa velocità operativa. Molti esperti europei di sicurezza auspicano che ENISA sviluppi capacità simili, in modo che le organizzazioni dell’UE abbiano un punto di riferimento sovrano per la prioritizzazione dei remediation. L’incidente Ivanti rafforza questa argomentazione: la dipendenza da framework di prioritizzazione extra-europei crea una latenza che in scenari di zero-day può rivelarsi critica.
Cinque Previsioni per la Sicurezza Enterprise Post-Ivanti
L’incidente del gennaio 2026 ha accelerato tendenze già in atto nella cybersecurity europea. Ecco le previsioni più concrete per i prossimi 18-24 mesi:
1. Revisione dei contratti con Ivanti nelle istituzioni pubbliche europee. Almeno cinque governi nazionali nell’UE avvieranno procedure di gara per soluzioni MDM alternative entro la fine del 2026. La ripetizione del pattern zero-day renderà difficile per i responsabili degli acquisti pubblici giustificare la continuazione dei contratti senza garanzie contrattuali specifiche sulla sicurezza del prodotto.
2. Accelerazione dell’adozione di architetture Zero Trust per i dispositivi mobili. L’incidente ha mostrato i limiti di un modello MDM centralizzato che, se compromesso, offre accesso ad ampia visibilità sui dispositivi gestiti. Le architetture Zero Trust, che validano ogni accesso indipendentemente dalla posizione sulla rete, stanno diventando requisito de facto nelle istituzioni sensibili.
3. ENISA svilupperà un catalogo europeo di vulnerabilità sfruttate. L’incidente politicamente visibile della Commissione Europea darà ulteriore impulso alle discussioni su una risposta europea autonoma alla gestione delle vulnerabilità. Un catalogo KEV europeo, aggiornato in tempo reale con dati da CERT-EU e dalle autorità nazionali, è una possibilità concreta entro il 2027.
4. Il Cyber Resilience Act genererà le prime sanzioni contro vendor con pattern di vulnerabilità critiche. Le autorità di mercato europee avranno più strumenti legali per agire contro produttori che non soddisfano gli obblighi di security-by-design del CRA. Ivanti, con il suo storico di vulnerabilità, potrebbe essere tra i primi soggetti a un’indagine formale.
5. I tempi di risposta agli incidenti diventeranno un KPI regolatorio. Il dato di nove ore per CERT-EU diventerà un benchmark di riferimento. Le normative di NIS2 potrebbero evolvere verso requisiti di tempo di contenimento misurabili, non solo di notifica, spingendo le organizzazioni a investire in capacità di risposta automatizzata.
Copertura Correlata
Per approfondire il contesto degli attacchi alle istituzioni europee e le normative di cybersecurity:
- Commissione Europea Hackerata Due Volte: 350 GB Rubati da ShinyHunters [2026]
- Salt Typhoon Colpisce IBM Italia: Come un APT Cinese ha Colpito 80 Paesi [2026]
- Oracle WebLogic Zero-Day: CVSS 10.0, 140K Attacchi in 12 Giorni [2026]
- NIS2 vs DORA: Chi Deve Conformarsi e Sanzioni fino a €10M [2026]
- NIS2 Italia 2026: 12.000 Aziende e Sanzioni fino a €10M [2026]
- Cyber Resilience Act: Scadenze, Obblighi e Sanzioni fino a €15M [2026]
Domande Frequenti (FAQ)
Cos’è Ivanti EPMM e perché è usato dalle istituzioni governative?
Ivanti Endpoint Manager Mobile (EPMM), precedentemente noto come MobileIron, è un software di Mobile Device Management (MDM) che consente alle organizzazioni di gestire centralmente smartphone e tablet aziendali. Le istituzioni governative lo utilizzano per distribuire policy di sicurezza, configurare email aziendali, installare applicazioni approvate e cancellare da remoto i dati in caso di smarrimento del dispositivo. La centralizzazione è la sua forza e, come dimostra l’incidente del 2026, anche il suo punto di rischio principale.
Cosa sono CVE-2026-1281 e CVE-2026-1340?
CVE-2026-1281 è una vulnerabilità di esecuzione remota del codice senza autenticazione (unauthenticated RCE) in Ivanti EPMM, con punteggio CVSS 9.8 su 10. CVE-2026-1340 è una vulnerabilità complementare, anch’essa CVSS 9.8, che consente agli attaccanti di consolidare l’accesso dopo lo sfruttamento della prima. Entrambe erano state sfruttate come zero-day prima della divulgazione pubblica del 29 gennaio 2026.
La Commissione Europea ha perso dati sensibili nell’attacco?
Secondo le comunicazioni ufficiali, i dati esposti riguardavano nomi, numeri di telefono cellulare e potenzialmente indirizzi email di lavoro del personale della Commissione. La Commissione ha specificato che nessun dispositivo mobile è stato direttamente compromesso. Il sistema MDM, però, è stato violato, il che ha permesso agli attaccanti di accedere alla piattaforma che gestisce i dispositivi del personale.
Come si è protetta la Commissione Europea durante l’attacco?
CERT-EU ha coordinato la risposta all’incidente, contenendo e neutralizzando la violazione entro nove ore dal rilevamento. Il sistema MDM è stato isolato, la vulnerabilità mitigata e i vettori di accesso degli attaccanti eliminati. Questa velocità di risposta riflette l’investimento della Commissione in capacità di incident response e nel coordinamento con CERT-EU.
Chi ha causato l’attacco? È stato attribuito a un gruppo specifico?
Nessun gruppo o attore statale è stato pubblicamente attribuito responsabile dell’attacco alla Commissione Europea. Attacchi precedenti su infrastrutture Ivanti erano stati collegati a gruppi con legami con la Cina, ma per gli incidenti del gennaio 2026 nessuna attribuzione pubblica è stata formalizzata dalle istituzioni europee o da ricercatori di sicurezza indipendenti.
Come posso verificare se la mia organizzazione usa Ivanti EPMM e se è vulnerabile?
Le organizzazioni che utilizzano Ivanti EPMM devono verificare immediatamente la versione installata e applicare l’aggiornamento temporaneo rilasciato il 29 gennaio 2026, oppure la versione definitiva EPMM 12.8.0.0 non appena disponibile. Shadowserver Foundation offre servizi di notifica gratuita per le organizzazioni che vogliono sapere se i propri sistemi esposti su internet mostrano segnali di compromissione. Per un’analisi completa della superficie di attacco, è consigliabile un penetration test specifico sui sistemi MDM e una revisione delle regole firewall che ne limitano l’esposizione a internet.
Questo attacco viola il GDPR? Ci sono sanzioni possibili?
Le organizzazioni europee che hanno subito la violazione e gestivano dati personali nel proprio sistema EPMM sono soggette agli obblighi di notifica del GDPR. La notifica all’autorità di controllo competente deve avvenire entro 72 ore dalla conoscenza della violazione. Le sanzioni dipendono dalla valutazione delle misure di sicurezza adottate: se un’organizzazione può dimostrare di aver adottato misure tecniche appropriate e aggiornato i sistemi in modo ragionevole, il rischio sanzionatorio si riduce significativamente. Il caso dell’AP olandese, autorità di controllo che ha subito una violazione, è particolarmente delicato da un punto di vista regolatoria.
Fonti: ENISA, CERT-EU, Tenable CVE-2026-1281, Rapid7 Vulnerability Database, Horizon3.ai Attack Research, Shadowserver Foundation, Palo Alto Networks Unit 42.
