Il 29 gennaio 2026 Ivanti ha confermato lo sfruttamento attivo di due vulnerabilità zero-day nel suo prodotto Endpoint Manager Mobile (EPMM). Nel giro di poche ore la notizia è diventata una crisi di sicurezza per l’intera Europa: la Commissione Europea, il Garante per la protezione dei dati dei Paesi Bassi e il Consiglio della magistratura olandese hanno tutti dichiarato di essere stati colpiti. Con un punteggio CVSS di 9,8 su 10 e oltre 600 indirizzi IP impegnati nello sfruttamento, l’attacco Ivanti del 2026 si è imposto come il caso di sicurezza informatica più rilevante dell’anno per le istituzioni europee.
Questa analisi ricostruisce la cronologia dei fatti, dettaglia le due falle CVE-2026-1281 e CVE-2026-1340, misura l’impatto su mercato e regolamentazione, raccoglie le voci degli esperti e indica cinque previsioni per il resto del 2026. Tutti i dati provengono da fonti pubblicate tra gennaio e febbraio 2026, tra cui CERT-EU, Shadowserver, Tenable e Rapid7.
Attacco Ivanti 2026: la cronologia dei fatti
La sequenza si è sviluppata con una rapidità che ha sorpreso anche i team di risposta più preparati. Lo sfruttamento delle due vulnerabilità era già in corso quando Ivanti ha reso pubblica la scoperta, una dinamica tipica degli attacchi zero-day, dove gli aggressori agiscono prima che esista una patch.
Il 29 gennaio 2026 Ivanti ha pubblicato l’avviso di sicurezza e ha rilasciato patch temporanee in formato RPM, definendo l’incidente come riferito a “un numero molto limitato di clienti”. Lo stesso giorno la CISA statunitense ha inserito CVE-2026-1281 nel catalogo Known Exploited Vulnerabilities (KEV), fissando al 1 febbraio 2026 il termine per la bonifica da parte delle agenzie federali. Il 30 gennaio il CERT-EU ha rilevato l’intrusione nell’infrastruttura della Commissione Europea. Nei giorni successivi i ricercatori di Shadowserver hanno tracciato la crescita delle istanze compromesse, mentre Rapid7 registrava un picco di 525 tentativi di sfruttamento il 5 febbraio.
| Data | Evento |
|---|---|
| 29 gennaio 2026 | Ivanti pubblica l’avviso e rilascia patch RPM temporanee; CISA aggiunge CVE-2026-1281 al catalogo KEV |
| 30 gennaio 2026 | Il CERT-EU rileva l’attacco all’infrastruttura della Commissione Europea |
| 1 febbraio 2026 | Scade il termine CISA per la bonifica nelle agenzie federali USA |
| Inizio febbraio 2026 | I Paesi Bassi confermano gli accessi ai sistemi del Garante privacy e del Consiglio della magistratura |
| 5 febbraio 2026 | Rapid7 misura il picco di 525 tentativi di sfruttamento in 24 ore |
| 9 febbraio 2026 | Help Net Security e Cybersecurity Dive documentano la portata della campagna |
Le due vulnerabilità zero-day: CVE-2026-1281 e CVE-2026-1340
Al centro dell’incidente ci sono due falle critiche in Ivanti Endpoint Manager Mobile, la piattaforma che le organizzazioni usano per gestire flotte di dispositivi mobili aziendali. Entrambe portano un punteggio CVSS di 9,8 su 10, il livello che gli analisti riservano alle vulnerabilità capaci di causare danni massimi con il minimo sforzo da parte dell’attaccante.
Secondo l’analisi di Tenable, le due vulnerabilità consentono l’esecuzione di codice remoto senza autenticazione. In pratica un aggressore può ottenere il controllo del server EPMM senza possedere credenziali valide, sfruttando soltanto l’esposizione del servizio su internet. È la combinazione peggiore possibile: gravità massima, nessuna barriera di autenticazione e sfruttamento già osservato in produzione.
| Identificativo | Prodotto | CVSS | Tipo | Catalogo KEV |
|---|---|---|---|---|
| CVE-2026-1281 | Ivanti EPMM | 9,8 | Esecuzione codice remoto non autenticata | Aggiunta il 29 gennaio 2026 |
| CVE-2026-1340 | Ivanti EPMM | 9,8 | Esecuzione codice remoto non autenticata | Inclusione nel KEV non confermata dalle fonti consultate |
Ivanti ha indicato che la correzione definitiva sarebbe arrivata con la versione 12.8.0.0 del prodotto entro il primo trimestre del 2026. Fino a quel momento le patch RPM temporanee restavano l’unica difesa ufficiale, una soluzione che richiede applicazione manuale e lascia margini di errore nelle infrastrutture complesse.
La Commissione Europea colpita: nove ore per contenere
La Commissione Europea ha dichiarato di aver trovato prove di un attacco informatico contro la sua infrastruttura centrale per la gestione dei dispositivi mobili. Il CERT-EU, la squadra di risposta agli incidenti delle istituzioni europee, ha rilevato l’intrusione il 30 gennaio 2026 e l’ha contenuta entro nove ore.
La Commissione ha precisato che nessun dispositivo mobile è stato compromesso. Secondo quanto riportato da Cybersecurity Dive, l’attacco del 30 gennaio potrebbe però aver esposto i nomi e i numeri di telefono mobile di alcuni membri del personale. La distinzione è importante: l’attaccante ha raggiunto il sistema di gestione, non i singoli telefoni, ma anche i metadati di contatto del personale di un’istituzione europea hanno valore per operazioni di spionaggio o di ingegneria sociale mirata.
Il contenimento in nove ore rappresenta un risultato operativo notevole se confrontato con i tempi medi del settore. Numerosi rapporti di settore collocano il tempo medio di identificazione e contenimento delle violazioni su scala di mesi, non di ore. La velocità del CERT-EU suggerisce che il monitoraggio centralizzato dell’infrastruttura EPMM ha funzionato, anche se non ha impedito l’accesso iniziale.
Paesi Bassi: Garante privacy e magistratura tra le vittime
L’Autorità olandese per la protezione dei dati e il Consiglio per la magistratura hanno confermato di essere stati colpiti da attacchi collegati alle zero-day di Ivanti EPMM, secondo una comunicazione inviata al parlamento dei Paesi Bassi. Che il garante nazionale della privacy figuri tra le vittime di una violazione aggiunge un livello di ironia istituzionale impossibile da ignorare.
Nel caso olandese sono stati consultati dati di natura lavorativa, tra cui nomi, indirizzi email e numeri di telefono. Il NCSC-NL, il centro nazionale olandese per la sicurezza informatica, ha lanciato un avvertimento netto: anche le organizzazioni che hanno applicato rapidamente le patch dovrebbero presumere che una compromissione possa essere avvenuta prima dell’aggiornamento e dovrebbero quindi indagare i propri sistemi. È il principio dell'”assume breach”, la postura difensiva che parte dal presupposto di essere già stati violati.
La portata globale: 600 IP e centinaia di istanze esposte
Oltre alle istituzioni europee di alto profilo, la campagna ha avuto una dimensione di massa. I ricercatori hanno misurato la diffusione dello sfruttamento con telemetria indipendente, fornendo numeri che raccontano un’operazione su scala industriale.
Shadowserver ha riferito di 86 istanze compromesse lunedì pomeriggio, numero salito a 92 in un rapporto successivo, con l’aspettativa di un’ulteriore crescita. La stessa organizzazione ha contato quasi 1.300 istanze Ivanti EPMM ancora esposte su internet, pur senza poter stabilire quante fossero vulnerabili o già compromesse. Defused ha rilevato oltre 600 indirizzi IP distinti impegnati nello sfruttamento, con attività che spaziavano dal fingerprinting alle reverse shell fino alle webshell. Rapid7 ha registrato un picco di 525 tentativi di sfruttamento il 5 febbraio, sceso a circa 200 tentativi nelle 24 ore successive.
| Indicatore | Valore | Fonte |
|---|---|---|
| Istanze compromesse (primo conteggio) | 86 | Shadowserver |
| Istanze compromesse (conteggio successivo) | 92 | Shadowserver |
| Istanze EPMM ancora esposte su internet | ~1.300 | Shadowserver |
| Indirizzi IP che sfruttano la falla | oltre 600 | Defused |
| Picco tentativi di sfruttamento in 24 ore | 525 (5 febbraio) | Rapid7 |
| Punteggio CVSS delle due falle | 9,8 / 10 | Tenable |
I settori colpiti nella campagna più ampia comprendevano sanità, telecomunicazioni, aviazione, amministrazioni comunali, finanza e difesa. È un elenco che attraversa quasi ogni infrastruttura critica e che spiega perché l’incidente abbia attirato l’attenzione dei regolatori su entrambe le sponde dell’Atlantico.
Chi c’è dietro: il sospetto attore China-nexus UNC5221
Le segnalazioni hanno collegato l’attività a un sospetto attore con base in Cina. Analisi successive hanno indicato UNC5221 come l’attore più probabile nella campagna più ampia contro organizzazioni in Europa, Nord America e regione Asia-Pacifico. Il nome non è nuovo per chi segue le minacce contro Ivanti.
UNC5221 è lo stesso identificativo associato dalle società di intelligence allo sfruttamento delle zero-day di Ivanti Connect Secure all’inizio del 2024. La ricomparsa dello stesso cluster di attività contro un prodotto Ivanti due anni dopo segnala una specializzazione persistente: questo gruppo conosce l’ecosistema dei prodotti per l’accesso remoto e la gestione dei dispositivi, e vi torna con regolarità. Per i difensori europei il messaggio è chiaro: i dispositivi perimetrali e le piattaforme di gestione mobile restano un bersaglio strategico per lo spionaggio statale.
L’attribuzione resta una valutazione probabilistica, non una certezza giudiziaria. Le analisi parlano di sospetto attore China-nexus, e i ricercatori hanno osservato anche attività compatibile con broker di accesso iniziale, ossia operatori che rivendono gli accessi compromessi ad altri gruppi. La catena di sfruttamento può quindi coinvolgere più mani.
Le voci degli esperti
La dimensione dell’operazione emerge con chiarezza dalle dichiarazioni dei ricercatori che l’hanno tracciata in tempo reale. Simo Kohonen, amministratore delegato di Defused, ha dichiarato: “Abbiamo rilevato oltre 600 indirizzi IP individuali che sfruttano la vulnerabilità”, descrivendo un’attività che andava dal fingerprinting alle reverse shell fino al deposito di webshell sui server colpiti.
Piotr Kijewski, amministratore delegato di Shadowserver, ha definito “massiccia” la scala della campagna nelle dichiarazioni riportate da CyberScoop e Cybersecurity Dive. La parola, scelta da un’organizzazione che misura quotidianamente la superficie di attacco globale, pesa più di qualsiasi aggettivo di marketing.
Ivanti, da parte sua, ha comunicato di “collaborare strettamente con i nostri clienti, oltre che con partner governativi e di sicurezza fidati”, dichiarandosi “impegnata alla trasparenza” nella gestione dell’incidente. Sul fronte istituzionale, il NCSC-NL ha invitato le organizzazioni a presumere la compromissione anche dopo l’applicazione delle patch, mentre la Commissione Europea ha sottolineato il contenimento in nove ore e l’assenza di dispositivi mobili compromessi. Le posizioni convergono su un punto: la patch da sola non chiude l’incidente.
Impatto sul mercato e sul settore della cybersecurity
Per Ivanti l’incidente arriva in un momento delicato. L’azienda ha attraversato negli ultimi due anni una serie ripetuta di vulnerabilità critiche nei prodotti per l’accesso remoto e la gestione dei dispositivi, al punto che il suo nome è diventato per molti CISO sinonimo di rischio sul perimetro. Le fonti consultate non forniscono una cifra verificata sull’impatto finanziario diretto o sulla capitalizzazione, e qualsiasi numero in tal senso resterebbe una speculazione. Quello che si può affermare è che il costo reputazionale di un terzo grande ciclo di zero-day in poco più di due anni è significativo.
L’effetto si estende oltre Ivanti. Ogni grande violazione di un prodotto di sicurezza alimenta la domanda di architetture zero-trust, di segmentazione di rete e di riduzione della superficie esposta. Le piattaforme di gestione mobile, storicamente collocate sul perimetro per necessità operativa, diventano candidate alla migrazione verso modelli di accesso mediato. Per i fornitori concorrenti nel mercato della gestione unificata degli endpoint, l’incidente è al tempo stesso un monito e un’opportunità commerciale.
Sul piano assicurativo, gli attacchi a catena che colpiscono un singolo prodotto presente in migliaia di organizzazioni preoccupano i sottoscrittori di polizze cyber. Un evento che compromette decine di istanze e ne espone oltre mille rientra nello scenario di accumulo di rischio che il settore assicurativo monitora con crescente attenzione.
Contesto storico: da MOVEit 2023 ai precedenti Ivanti del 2024
L’attacco Ivanti del 2026 non è un evento isolato, ma l’ultimo capitolo di una tendenza che definisce la sicurezza degli ultimi anni: lo sfruttamento di massa di vulnerabilità in prodotti enterprise esposti su internet. Il confronto con i due precedenti più rilevanti chiarisce la posta in gioco.
Nel 2023 la campagna contro il software di trasferimento file MOVEit, attribuita al gruppo ransomware Cl0p, colpì migliaia di organizzazioni e i dati personali di decine di milioni di individui, diventando il caso simbolo dello sfruttamento di un singolo prodotto come grimaldello verso un’intera catena di fornitura. All’inizio del 2024, le zero-day in Ivanti Connect Secure furono sfruttate da UNC5221, lo stesso cluster sospettato nel 2026, in una campagna che mise in allarme le agenzie governative di mezzo mondo e portò la CISA a emettere direttive d’emergenza.
| Incidente | Anno | Prodotto | Attore | Tratto distintivo |
|---|---|---|---|---|
| MOVEit Transfer | 2023 | Progress MOVEit | Cl0p (ransomware) | Sfruttamento di massa della supply chain |
| Ivanti Connect Secure | 2024 | Ivanti Connect Secure | UNC5221 (China-nexus) | Direttive d’emergenza CISA |
| Ivanti EPMM | 2026 | Ivanti EPMM | UNC5221 sospetto (China-nexus) | Istituzioni UE tra le vittime |
Il filo conduttore è la persistenza dell’attaccante e la centralità dei prodotti perimetrali. Gli stessi strumenti che le organizzazioni adottano per proteggere e gestire l’accesso remoto si trasformano nel punto di ingresso preferito quando contengono una falla non autenticata. La lezione del 2023 si ripete nel 2026 con vittime diverse ma con lo stesso copione.
NIS2 e il quadro normativo europeo
L’incidente arriva mentre l’Unione Europea consolida il suo quadro di sicurezza più severo di sempre. La direttiva NIS2, ossia la Direttiva (UE) 2022/2555, ha ampliato in modo sostanziale il perimetro delle organizzazioni soggette a obblighi di sicurezza informatica e di notifica degli incidenti, con termine di recepimento fissato al 17 ottobre 2024 per gli Stati membri.
Per l’Italia il recepimento è avvenuto con il decreto legislativo 138/2024, che affida all’Agenzia per la Cybersicurezza Nazionale (ACN) un ruolo centrale nella vigilanza e nella raccolta delle notifiche. Le organizzazioni che ricadono nei settori essenziali e importanti devono ora segnalare gli incidenti significativi entro tempistiche stringenti, con una notifica preliminare attesa nell’arco di 24 ore dalla consapevolezza dell’evento. Un attacco come quello a Ivanti EPMM, se colpisce un soggetto rientrante nell’ambito NIS2, fa scattare immediatamente questi obblighi.
A livello europeo, nel gennaio 2026 la Commissione ha proposto un nuovo Cybersecurity Act per rafforzare ulteriormente la resilienza e le capacità dell’Unione. Il fatto che la stessa Commissione figuri tra le vittime di questa campagna conferisce all’iniziativa una concretezza difficile da ignorare nelle aule di Bruxelles.
Come proteggersi: cosa devono fare le organizzazioni
La risposta tecnica a una zero-day sfruttata attivamente segue priorità precise. Applicare la correzione è il primo passo, ma non l’ultimo, perché l’accesso può precedere la patch.
Patch e aggiornamento immediato
Le organizzazioni che usano Ivanti EPMM devono applicare le patch RPM temporanee rilasciate il 29 gennaio 2026 e pianificare l’aggiornamento alla versione 12.8.0.0 con la correzione definitiva. La verifica deve estendersi a tutte le istanze, comprese quelle dimenticate o non inventariate, perché basta un server esposto per compromettere l’intera infrastruttura.
Caccia alle minacce e assunzione di compromissione
Seguendo l’indicazione del NCSC-NL, ogni organizzazione che ha esposto EPMM su internet dovrebbe presumere una possibile compromissione precedente alla patch e avviare un’attività di threat hunting. Gli indicatori da cercare includono webshell, reverse shell e connessioni in uscita anomale verso infrastrutture di comando e controllo. Le credenziali e i token presenti sul sistema vanno considerati potenzialmente esposti e ruotati.
Riduzione della superficie esposta
La misura strutturale è limitare l’esposizione diretta su internet delle piattaforme di gestione, collocandole dietro accesso mediato e segmentando la rete. Un’architettura che non espone il pannello di gestione al traffico pubblico riduce drasticamente la finestra di sfruttabilità delle prossime zero-day.
Cinque previsioni per il resto del 2026
Sulla base della traiettoria di questa campagna e dei precedenti storici, ecco cinque sviluppi probabili nei mesi che seguono.
- Ulteriori vittime confermate. Con quasi 1.300 istanze esposte e l’avvertimento “assume breach” del NCSC-NL, è probabile che altre organizzazioni europee annuncino di essere state colpite nel corso del 2026.
- Pressione normativa accelerata. Il coinvolgimento diretto della Commissione Europea rafforzerà l’iter del nuovo Cybersecurity Act proposto a gennaio 2026 e l’applicazione concreta di NIS2 negli Stati membri.
- Ritorno di UNC5221 su prodotti perimetrali. Lo stesso cluster ha colpito Ivanti nel 2024 e nel 2026; la specializzazione persistente rende plausibili nuove campagne contro prodotti per l’accesso remoto e la gestione dei dispositivi.
- Migrazione verso lo zero-trust. L’incidente accelererà l’adozione di architetture ad accesso mediato per le piattaforme di gestione, riducendo l’esposizione diretta su internet come standard di fatto.
- Maggiore attenzione assicurativa. Gli eventi che colpiscono un singolo prodotto diffuso in migliaia di organizzazioni spingeranno gli assicuratori cyber a rivedere le clausole sull’accumulo di rischio e sui prodotti perimetrali.
Domande frequenti sull’attacco Ivanti del 2026
Quali vulnerabilità sono state sfruttate nell’attacco Ivanti?
Le due falle sono CVE-2026-1281 e CVE-2026-1340, entrambe in Ivanti Endpoint Manager Mobile (EPMM) con punteggio CVSS di 9,8 su 10. Permettono l’esecuzione di codice remoto senza autenticazione e sono state divulgate il 29 gennaio 2026 dopo essere già state sfruttate in produzione.
La Commissione Europea è stata davvero violata?
La Commissione Europea ha confermato un attacco contro la sua infrastruttura centrale di gestione dei dispositivi mobili, rilevato dal CERT-EU il 30 gennaio 2026 e contenuto entro nove ore. Ha dichiarato che nessun dispositivo mobile è stato compromesso, pur ammettendo la possibile esposizione di nomi e numeri di telefono di alcuni dipendenti.
Chi è responsabile dell’attacco?
Le analisi indicano come attore più probabile UNC5221, un sospetto gruppo China-nexus già collegato allo sfruttamento delle zero-day di Ivanti Connect Secure nel 2024. L’attribuzione resta una valutazione probabilistica e i ricercatori hanno osservato anche attività compatibile con broker di accesso iniziale.
Quante organizzazioni sono state colpite?
Shadowserver ha contato fino a 92 istanze compromesse e quasi 1.300 ancora esposte su internet. Defused ha rilevato oltre 600 indirizzi IP impegnati nello sfruttamento. I settori colpiti includono sanità, telecomunicazioni, aviazione, amministrazioni comunali, finanza e difesa.
Cosa devono fare le aziende che usano Ivanti EPMM?
Applicare subito le patch RPM temporanee del 29 gennaio 2026, pianificare l’aggiornamento alla versione 12.8.0.0, presumere una possibile compromissione precedente alla patch, avviare attività di threat hunting alla ricerca di webshell e connessioni anomale, e ruotare credenziali e token presenti sui sistemi esposti.
Quali obblighi NIS2 scattano per le organizzazioni italiane?
Le organizzazioni italiane rientranti nell’ambito di NIS2, recepita con il decreto legislativo 138/2024, devono notificare gli incidenti significativi all’Agenzia per la Cybersicurezza Nazionale, con una notifica preliminare attesa entro 24 ore dalla consapevolezza dell’evento. Un attacco che compromette un sistema EPMM rilevante fa scattare immediatamente questi obblighi.
Related Coverage
- Jaguar Land Rover Cyber Attack: l’impatto da 1,9 miliardi di sterline
- Cyberattacchi in Germania: +124% nell’area DACH nel 2026
- Data breach: come avvengono e come proteggersi
- HTTPS e TLS spiegati: cosa significa davvero il lucchetto
- Crittografia post-quantistica: il 50% del web è ora protetto
- Attacchi di phishing: come riconoscerli ed evitarli
- Guida pratica alla sicurezza online
Fonti e approfondimenti
- Tenable: analisi di CVE-2026-1281 e CVE-2026-1340
- Help Net Security: la Commissione Europea e le falle Ivanti EPMM
- CyberScoop: le zero-day Ivanti e le istituzioni europee
- The Record: UE e governo olandese annunciano le violazioni
- CERT-EU: pubblicazione di threat intelligence CB26-02
- Commissione Europea: la direttiva NIS2
