{"id":54,"date":"2026-06-11T04:25:03","date_gmt":"2026-06-11T04:25:03","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/11\/attacco-ivanti-2026\/"},"modified":"2026-06-11T04:25:03","modified_gmt":"2026-06-11T04:25:03","slug":"attacco-ivanti-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/11\/attacco-ivanti-2026\/","title":{"rendered":"Attacco Ivanti: 600 IP, CVSS 9.8, UE Colpita [2026]"},"content":{"rendered":"\n

Il 29 gennaio 2026 Ivanti ha confermato lo sfruttamento attivo di due vulnerabilit\u00e0 zero-day nel suo prodotto Endpoint Manager Mobile (EPMM). Nel giro di poche ore la notizia \u00e8 diventata una crisi di sicurezza per l’intera Europa: la Commissione Europea<\/strong>, il Garante per la protezione dei dati dei Paesi Bassi e il Consiglio della magistratura olandese hanno tutti dichiarato di essere stati colpiti. Con un punteggio CVSS di 9,8 su 10 e oltre 600 indirizzi IP<\/strong> impegnati nello sfruttamento, l’attacco Ivanti del 2026 si \u00e8 imposto come il caso di sicurezza informatica pi\u00f9 rilevante dell’anno per le istituzioni europee.<\/p>\n\n\n\n

Questa analisi ricostruisce la cronologia dei fatti, dettaglia le due falle CVE-2026-1281 e CVE-2026-1340, misura l’impatto su mercato e regolamentazione, raccoglie le voci degli esperti e indica cinque previsioni per il resto del 2026. Tutti i dati provengono da fonti pubblicate tra gennaio e febbraio 2026, tra cui CERT-EU, Shadowserver, Tenable e Rapid7.<\/p>\n\n\n\n

Attacco Ivanti 2026: la cronologia dei fatti<\/h2>\n\n\n\n

La sequenza si \u00e8 sviluppata con una rapidit\u00e0 che ha sorpreso anche i team di risposta pi\u00f9 preparati. Lo sfruttamento delle due vulnerabilit\u00e0 era gi\u00e0 in corso quando Ivanti ha reso pubblica la scoperta, una dinamica tipica degli attacchi zero-day, dove gli aggressori agiscono prima che esista una patch.<\/p>\n\n\n\n

Il 29 gennaio 2026 Ivanti ha pubblicato l’avviso di sicurezza e ha rilasciato patch temporanee in formato RPM, definendo l’incidente come riferito a “un numero molto limitato di clienti”. Lo stesso giorno la CISA<\/strong> statunitense ha inserito CVE-2026-1281 nel catalogo Known Exploited Vulnerabilities (KEV), fissando al 1 febbraio 2026 il termine per la bonifica da parte delle agenzie federali. Il 30 gennaio il CERT-EU ha rilevato l’intrusione nell’infrastruttura della Commissione Europea. Nei giorni successivi i ricercatori di Shadowserver hanno tracciato la crescita delle istanze compromesse, mentre Rapid7 registrava un picco di 525 tentativi di sfruttamento il 5 febbraio.<\/p>\n\n\n\n

Data<\/th>Evento<\/th><\/tr><\/thead>
29 gennaio 2026<\/td>Ivanti pubblica l’avviso e rilascia patch RPM temporanee; CISA aggiunge CVE-2026-1281 al catalogo KEV<\/td><\/tr>
30 gennaio 2026<\/td>Il CERT-EU rileva l’attacco all’infrastruttura della Commissione Europea<\/td><\/tr>
1 febbraio 2026<\/td>Scade il termine CISA per la bonifica nelle agenzie federali USA<\/td><\/tr>
Inizio febbraio 2026<\/td>I Paesi Bassi confermano gli accessi ai sistemi del Garante privacy e del Consiglio della magistratura<\/td><\/tr>
5 febbraio 2026<\/td>Rapid7 misura il picco di 525 tentativi di sfruttamento in 24 ore<\/td><\/tr>
9 febbraio 2026<\/td>Help Net Security e Cybersecurity Dive documentano la portata della campagna<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Le due vulnerabilit\u00e0 zero-day: CVE-2026-1281 e CVE-2026-1340<\/h2>\n\n\n\n

Al centro dell’incidente ci sono due falle critiche in Ivanti Endpoint Manager Mobile, la piattaforma che le organizzazioni usano per gestire flotte di dispositivi mobili aziendali. Entrambe portano un punteggio CVSS di 9,8 su 10, il livello che gli analisti riservano alle vulnerabilit\u00e0 capaci di causare danni massimi con il minimo sforzo da parte dell’attaccante.<\/p>\n\n\n\n

Secondo l’analisi di Tenable, le due vulnerabilit\u00e0 consentono l’esecuzione di codice remoto senza autenticazione. In pratica un aggressore pu\u00f2 ottenere il controllo del server EPMM senza possedere credenziali valide, sfruttando soltanto l’esposizione del servizio su internet. \u00c8 la combinazione peggiore possibile: gravit\u00e0 massima, nessuna barriera di autenticazione e sfruttamento gi\u00e0 osservato in produzione.<\/p>\n\n\n\n

Identificativo<\/th>Prodotto<\/th>CVSS<\/th>Tipo<\/th>Catalogo KEV<\/th><\/tr><\/thead>
CVE-2026-1281<\/td>Ivanti EPMM<\/td>9,8<\/td>Esecuzione codice remoto non autenticata<\/td>Aggiunta il 29 gennaio 2026<\/td><\/tr>
CVE-2026-1340<\/td>Ivanti EPMM<\/td>9,8<\/td>Esecuzione codice remoto non autenticata<\/td>Inclusione nel KEV non confermata dalle fonti consultate<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Ivanti ha indicato che la correzione definitiva sarebbe arrivata con la versione 12.8.0.0 del prodotto entro il primo trimestre del 2026. Fino a quel momento le patch RPM temporanee restavano l’unica difesa ufficiale, una soluzione che richiede applicazione manuale e lascia margini di errore nelle infrastrutture complesse.<\/p>\n\n\n\n

La Commissione Europea colpita: nove ore per contenere<\/h2>\n\n\n\n

La Commissione Europea ha dichiarato di aver trovato prove di un attacco informatico contro la sua infrastruttura centrale per la gestione dei dispositivi mobili. Il CERT-EU, la squadra di risposta agli incidenti delle istituzioni europee, ha rilevato l’intrusione il 30 gennaio 2026 e l’ha contenuta entro nove ore.<\/p>\n\n\n\n

La Commissione ha precisato che nessun dispositivo mobile \u00e8 stato compromesso. Secondo quanto riportato da Cybersecurity Dive, l’attacco del 30 gennaio potrebbe per\u00f2 aver esposto i nomi e i numeri di telefono mobile di alcuni membri del personale. La distinzione \u00e8 importante: l’attaccante ha raggiunto il sistema di gestione, non i singoli telefoni, ma anche i metadati di contatto del personale di un’istituzione europea hanno valore per operazioni di spionaggio o di ingegneria sociale mirata.<\/p>\n\n\n\n

Il contenimento in nove ore rappresenta un risultato operativo notevole se confrontato con i tempi medi del settore. Numerosi rapporti di settore collocano il tempo medio di identificazione e contenimento delle violazioni su scala di mesi, non di ore. La velocit\u00e0 del CERT-EU suggerisce che il monitoraggio centralizzato dell’infrastruttura EPMM ha funzionato, anche se non ha impedito l’accesso iniziale.<\/p>\n\n\n\n

Paesi Bassi: Garante privacy e magistratura tra le vittime<\/h2>\n\n\n\n

L’Autorit\u00e0 olandese per la protezione dei dati e il Consiglio per la magistratura hanno confermato di essere stati colpiti da attacchi collegati alle zero-day di Ivanti EPMM, secondo una comunicazione inviata al parlamento dei Paesi Bassi. Che il garante nazionale della privacy figuri tra le vittime di una violazione aggiunge un livello di ironia istituzionale impossibile da ignorare.<\/p>\n\n\n\n

Nel caso olandese sono stati consultati dati di natura lavorativa, tra cui nomi, indirizzi email e numeri di telefono. Il NCSC-NL, il centro nazionale olandese per la sicurezza informatica, ha lanciato un avvertimento netto: anche le organizzazioni che hanno applicato rapidamente le patch dovrebbero presumere che una compromissione possa essere avvenuta prima dell’aggiornamento e dovrebbero quindi indagare i propri sistemi. \u00c8 il principio dell'”assume breach”, la postura difensiva che parte dal presupposto di essere gi\u00e0 stati violati.<\/p>\n\n\n\n

La portata globale: 600 IP e centinaia di istanze esposte<\/h2>\n\n\n\n

Oltre alle istituzioni europee di alto profilo, la campagna ha avuto una dimensione di massa. I ricercatori hanno misurato la diffusione dello sfruttamento con telemetria indipendente, fornendo numeri che raccontano un’operazione su scala industriale.<\/p>\n\n\n\n

Shadowserver ha riferito di 86 istanze compromesse luned\u00ec pomeriggio, numero salito a 92 in un rapporto successivo, con l’aspettativa di un’ulteriore crescita. La stessa organizzazione ha contato quasi 1.300 istanze Ivanti EPMM ancora esposte su internet, pur senza poter stabilire quante fossero vulnerabili o gi\u00e0 compromesse. Defused ha rilevato oltre 600 indirizzi IP distinti impegnati nello sfruttamento, con attivit\u00e0 che spaziavano dal fingerprinting alle reverse shell fino alle webshell. Rapid7 ha registrato un picco di 525 tentativi di sfruttamento il 5 febbraio, sceso a circa 200 tentativi nelle 24 ore successive.<\/p>\n\n\n\n

Indicatore<\/th>Valore<\/th>Fonte<\/th><\/tr><\/thead>
Istanze compromesse (primo conteggio)<\/td>86<\/td>Shadowserver<\/td><\/tr>
Istanze compromesse (conteggio successivo)<\/td>92<\/td>Shadowserver<\/td><\/tr>
Istanze EPMM ancora esposte su internet<\/td>~1.300<\/td>Shadowserver<\/td><\/tr>
Indirizzi IP che sfruttano la falla<\/td>oltre 600<\/td>Defused<\/td><\/tr>
Picco tentativi di sfruttamento in 24 ore<\/td>525 (5 febbraio)<\/td>Rapid7<\/td><\/tr>
Punteggio CVSS delle due falle<\/td>9,8 \/ 10<\/td>Tenable<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

I settori colpiti nella campagna pi\u00f9 ampia comprendevano sanit\u00e0, telecomunicazioni, aviazione, amministrazioni comunali, finanza e difesa. \u00c8 un elenco che attraversa quasi ogni infrastruttura critica e che spiega perch\u00e9 l’incidente abbia attirato l’attenzione dei regolatori su entrambe le sponde dell’Atlantico.<\/p>\n\n\n\n

Chi c’\u00e8 dietro: il sospetto attore China-nexus UNC5221<\/h2>\n\n\n\n

Le segnalazioni hanno collegato l’attivit\u00e0 a un sospetto attore con base in Cina. Analisi successive hanno indicato UNC5221<\/strong> come l’attore pi\u00f9 probabile nella campagna pi\u00f9 ampia contro organizzazioni in Europa, Nord America e regione Asia-Pacifico. Il nome non \u00e8 nuovo per chi segue le minacce contro Ivanti.<\/p>\n\n\n\n

UNC5221 \u00e8 lo stesso identificativo associato dalle societ\u00e0 di intelligence allo sfruttamento delle zero-day di Ivanti Connect Secure all’inizio del 2024. La ricomparsa dello stesso cluster di attivit\u00e0 contro un prodotto Ivanti due anni dopo segnala una specializzazione persistente: questo gruppo conosce l’ecosistema dei prodotti per l’accesso remoto e la gestione dei dispositivi, e vi torna con regolarit\u00e0. Per i difensori europei il messaggio \u00e8 chiaro: i dispositivi perimetrali e le piattaforme di gestione mobile restano un bersaglio strategico per lo spionaggio statale.<\/p>\n\n\n\n

L’attribuzione resta una valutazione probabilistica, non una certezza giudiziaria. Le analisi parlano di sospetto attore China-nexus, e i ricercatori hanno osservato anche attivit\u00e0 compatibile con broker di accesso iniziale, ossia operatori che rivendono gli accessi compromessi ad altri gruppi. La catena di sfruttamento pu\u00f2 quindi coinvolgere pi\u00f9 mani.<\/p>\n\n\n\n

Le voci degli esperti<\/h2>\n\n\n\n

La dimensione dell’operazione emerge con chiarezza dalle dichiarazioni dei ricercatori che l’hanno tracciata in tempo reale. Simo Kohonen<\/strong>, amministratore delegato di Defused, ha dichiarato: “Abbiamo rilevato oltre 600 indirizzi IP individuali che sfruttano la vulnerabilit\u00e0”, descrivendo un’attivit\u00e0 che andava dal fingerprinting alle reverse shell fino al deposito di webshell sui server colpiti.<\/p>\n\n\n\n

Piotr Kijewski<\/strong>, amministratore delegato di Shadowserver, ha definito “massiccia” la scala della campagna nelle dichiarazioni riportate da CyberScoop e Cybersecurity Dive. La parola, scelta da un’organizzazione che misura quotidianamente la superficie di attacco globale, pesa pi\u00f9 di qualsiasi aggettivo di marketing.<\/p>\n\n\n\n

Ivanti, da parte sua, ha comunicato di “collaborare strettamente con i nostri clienti, oltre che con partner governativi e di sicurezza fidati”, dichiarandosi “impegnata alla trasparenza” nella gestione dell’incidente. Sul fronte istituzionale, il NCSC-NL ha invitato le organizzazioni a presumere la compromissione anche dopo l’applicazione delle patch, mentre la Commissione Europea ha sottolineato il contenimento in nove ore e l’assenza di dispositivi mobili compromessi. Le posizioni convergono su un punto: la patch da sola non chiude l’incidente.<\/p>\n\n\n\n

Impatto sul mercato e sul settore della cybersecurity<\/h2>\n\n\n\n

Per Ivanti l’incidente arriva in un momento delicato. L’azienda ha attraversato negli ultimi due anni una serie ripetuta di vulnerabilit\u00e0 critiche nei prodotti per l’accesso remoto e la gestione dei dispositivi, al punto che il suo nome \u00e8 diventato per molti CISO sinonimo di rischio sul perimetro. Le fonti consultate non forniscono una cifra verificata sull’impatto finanziario diretto o sulla capitalizzazione, e qualsiasi numero in tal senso resterebbe una speculazione. Quello che si pu\u00f2 affermare \u00e8 che il costo reputazionale di un terzo grande ciclo di zero-day in poco pi\u00f9 di due anni \u00e8 significativo.<\/p>\n\n\n\n

L’effetto si estende oltre Ivanti. Ogni grande violazione di un prodotto di sicurezza alimenta la domanda di architetture zero-trust, di segmentazione di rete e di riduzione della superficie esposta. Le piattaforme di gestione mobile, storicamente collocate sul perimetro per necessit\u00e0 operativa, diventano candidate alla migrazione verso modelli di accesso mediato. Per i fornitori concorrenti nel mercato della gestione unificata degli endpoint, l’incidente \u00e8 al tempo stesso un monito e un’opportunit\u00e0 commerciale.<\/p>\n\n\n\n

Sul piano assicurativo, gli attacchi a catena che colpiscono un singolo prodotto presente in migliaia di organizzazioni preoccupano i sottoscrittori di polizze cyber. Un evento che compromette decine di istanze e ne espone oltre mille rientra nello scenario di accumulo di rischio che il settore assicurativo monitora con crescente attenzione.<\/p>\n\n\n\n

Contesto storico: da MOVEit 2023 ai precedenti Ivanti del 2024<\/h2>\n\n\n\n

L’attacco Ivanti del 2026 non \u00e8 un evento isolato, ma l’ultimo capitolo di una tendenza che definisce la sicurezza degli ultimi anni: lo sfruttamento di massa di vulnerabilit\u00e0 in prodotti enterprise esposti su internet. Il confronto con i due precedenti pi\u00f9 rilevanti chiarisce la posta in gioco.<\/p>\n\n\n\n

Nel 2023 la campagna contro il software di trasferimento file MOVEit, attribuita al gruppo ransomware Cl0p, colp\u00ec migliaia di organizzazioni e i dati personali di decine di milioni di individui, diventando il caso simbolo dello sfruttamento di un singolo prodotto come grimaldello verso un’intera catena di fornitura. All’inizio del 2024, le zero-day in Ivanti Connect Secure furono sfruttate da UNC5221, lo stesso cluster sospettato nel 2026, in una campagna che mise in allarme le agenzie governative di mezzo mondo e port\u00f2 la CISA a emettere direttive d’emergenza.<\/p>\n\n\n\n

Incidente<\/th>Anno<\/th>Prodotto<\/th>Attore<\/th>Tratto distintivo<\/th><\/tr><\/thead>
MOVEit Transfer<\/td>2023<\/td>Progress MOVEit<\/td>Cl0p (ransomware)<\/td>Sfruttamento di massa della supply chain<\/td><\/tr>
Ivanti Connect Secure<\/td>2024<\/td>Ivanti Connect Secure<\/td>UNC5221 (China-nexus)<\/td>Direttive d’emergenza CISA<\/td><\/tr>
Ivanti EPMM<\/td>2026<\/td>Ivanti EPMM<\/td>UNC5221 sospetto (China-nexus)<\/td>Istituzioni UE tra le vittime<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Il filo conduttore \u00e8 la persistenza dell’attaccante e la centralit\u00e0 dei prodotti perimetrali. Gli stessi strumenti che le organizzazioni adottano per proteggere e gestire l’accesso remoto si trasformano nel punto di ingresso preferito quando contengono una falla non autenticata. La lezione del 2023 si ripete nel 2026 con vittime diverse ma con lo stesso copione.<\/p>\n\n\n\n

NIS2 e il quadro normativo europeo<\/h2>\n\n\n\n

L’incidente arriva mentre l’Unione Europea consolida il suo quadro di sicurezza pi\u00f9 severo di sempre. La direttiva NIS2, ossia la Direttiva (UE) 2022\/2555, ha ampliato in modo sostanziale il perimetro delle organizzazioni soggette a obblighi di sicurezza informatica e di notifica degli incidenti, con termine di recepimento fissato al 17 ottobre 2024 per gli Stati membri.<\/p>\n\n\n\n

Per l’Italia il recepimento \u00e8 avvenuto con il decreto legislativo 138\/2024, che affida all’Agenzia per la Cybersicurezza Nazionale (ACN) un ruolo centrale nella vigilanza e nella raccolta delle notifiche. Le organizzazioni che ricadono nei settori essenziali e importanti devono ora segnalare gli incidenti significativi entro tempistiche stringenti, con una notifica preliminare attesa nell’arco di 24 ore dalla consapevolezza dell’evento. Un attacco come quello a Ivanti EPMM, se colpisce un soggetto rientrante nell’ambito NIS2, fa scattare immediatamente questi obblighi.<\/p>\n\n\n\n

A livello europeo, nel gennaio 2026 la Commissione ha proposto un nuovo Cybersecurity Act per rafforzare ulteriormente la resilienza e le capacit\u00e0 dell’Unione. Il fatto che la stessa Commissione figuri tra le vittime di questa campagna conferisce all’iniziativa una concretezza difficile da ignorare nelle aule di Bruxelles.<\/p>\n\n\n\n

Come proteggersi: cosa devono fare le organizzazioni<\/h2>\n\n\n\n

La risposta tecnica a una zero-day sfruttata attivamente segue priorit\u00e0 precise. Applicare la correzione \u00e8 il primo passo, ma non l’ultimo, perch\u00e9 l’accesso pu\u00f2 precedere la patch.<\/p>\n\n\n\n

Patch e aggiornamento immediato<\/h3>\n\n\n\n

Le organizzazioni che usano Ivanti EPMM devono applicare le patch RPM temporanee rilasciate il 29 gennaio 2026 e pianificare l’aggiornamento alla versione 12.8.0.0 con la correzione definitiva. La verifica deve estendersi a tutte le istanze, comprese quelle dimenticate o non inventariate, perch\u00e9 basta un server esposto per compromettere l’intera infrastruttura.<\/p>\n\n\n\n

Caccia alle minacce e assunzione di compromissione<\/h3>\n\n\n\n

Seguendo l’indicazione del NCSC-NL, ogni organizzazione che ha esposto EPMM su internet dovrebbe presumere una possibile compromissione precedente alla patch e avviare un’attivit\u00e0 di threat hunting. Gli indicatori da cercare includono webshell, reverse shell e connessioni in uscita anomale verso infrastrutture di comando e controllo. Le credenziali e i token presenti sul sistema vanno considerati potenzialmente esposti e ruotati.<\/p>\n\n\n\n

Riduzione della superficie esposta<\/h3>\n\n\n\n

La misura strutturale \u00e8 limitare l’esposizione diretta su internet delle piattaforme di gestione, collocandole dietro accesso mediato e segmentando la rete. Un’architettura che non espone il pannello di gestione al traffico pubblico riduce drasticamente la finestra di sfruttabilit\u00e0 delle prossime zero-day.<\/p>\n\n\n\n

Cinque previsioni per il resto del 2026<\/h2>\n\n\n\n

Sulla base della traiettoria di questa campagna e dei precedenti storici, ecco cinque sviluppi probabili nei mesi che seguono.<\/p>\n\n\n\n

  1. Ulteriori vittime confermate.<\/strong> Con quasi 1.300 istanze esposte e l’avvertimento “assume breach” del NCSC-NL, \u00e8 probabile che altre organizzazioni europee annuncino di essere state colpite nel corso del 2026.<\/li>
  2. Pressione normativa accelerata.<\/strong> Il coinvolgimento diretto della Commissione Europea rafforzer\u00e0 l’iter del nuovo Cybersecurity Act proposto a gennaio 2026 e l’applicazione concreta di NIS2 negli Stati membri.<\/li>
  3. Ritorno di UNC5221 su prodotti perimetrali.<\/strong> Lo stesso cluster ha colpito Ivanti nel 2024 e nel 2026; la specializzazione persistente rende plausibili nuove campagne contro prodotti per l’accesso remoto e la gestione dei dispositivi.<\/li>
  4. Migrazione verso lo zero-trust.<\/strong> L’incidente accelerer\u00e0 l’adozione di architetture ad accesso mediato per le piattaforme di gestione, riducendo l’esposizione diretta su internet come standard di fatto.<\/li>
  5. Maggiore attenzione assicurativa.<\/strong> Gli eventi che colpiscono un singolo prodotto diffuso in migliaia di organizzazioni spingeranno gli assicuratori cyber a rivedere le clausole sull’accumulo di rischio e sui prodotti perimetrali.<\/li><\/ol>\n\n\n\n

    Domande frequenti sull’attacco Ivanti del 2026<\/h2>\n\n\n\n

    Quali vulnerabilit\u00e0 sono state sfruttate nell’attacco Ivanti?<\/h3>\n\n\n\n

    Le due falle sono CVE-2026-1281 e CVE-2026-1340, entrambe in Ivanti Endpoint Manager Mobile (EPMM) con punteggio CVSS di 9,8 su 10. Permettono l’esecuzione di codice remoto senza autenticazione e sono state divulgate il 29 gennaio 2026 dopo essere gi\u00e0 state sfruttate in produzione.<\/p>\n\n\n\n

    La Commissione Europea \u00e8 stata davvero violata?<\/h3>\n\n\n\n

    La Commissione Europea ha confermato un attacco contro la sua infrastruttura centrale di gestione dei dispositivi mobili, rilevato dal CERT-EU il 30 gennaio 2026 e contenuto entro nove ore. Ha dichiarato che nessun dispositivo mobile \u00e8 stato compromesso, pur ammettendo la possibile esposizione di nomi e numeri di telefono di alcuni dipendenti.<\/p>\n\n\n\n

    Chi \u00e8 responsabile dell’attacco?<\/h3>\n\n\n\n

    Le analisi indicano come attore pi\u00f9 probabile UNC5221, un sospetto gruppo China-nexus gi\u00e0 collegato allo sfruttamento delle zero-day di Ivanti Connect Secure nel 2024. L’attribuzione resta una valutazione probabilistica e i ricercatori hanno osservato anche attivit\u00e0 compatibile con broker di accesso iniziale.<\/p>\n\n\n\n

    Quante organizzazioni sono state colpite?<\/h3>\n\n\n\n

    Shadowserver ha contato fino a 92 istanze compromesse e quasi 1.300 ancora esposte su internet. Defused ha rilevato oltre 600 indirizzi IP impegnati nello sfruttamento. I settori colpiti includono sanit\u00e0, telecomunicazioni, aviazione, amministrazioni comunali, finanza e difesa.<\/p>\n\n\n\n

    Cosa devono fare le aziende che usano Ivanti EPMM?<\/h3>\n\n\n\n

    Applicare subito le patch RPM temporanee del 29 gennaio 2026, pianificare l’aggiornamento alla versione 12.8.0.0, presumere una possibile compromissione precedente alla patch, avviare attivit\u00e0 di threat hunting alla ricerca di webshell e connessioni anomale, e ruotare credenziali e token presenti sui sistemi esposti.<\/p>\n\n\n\n

    Quali obblighi NIS2 scattano per le organizzazioni italiane?<\/h3>\n\n\n\n

    Le organizzazioni italiane rientranti nell’ambito di NIS2, recepita con il decreto legislativo 138\/2024, devono notificare gli incidenti significativi all’Agenzia per la Cybersicurezza Nazionale, con una notifica preliminare attesa entro 24 ore dalla consapevolezza dell’evento. Un attacco che compromette un sistema EPMM rilevante fa scattare immediatamente questi obblighi.<\/p>\n\n\n\n

    Related Coverage<\/h3>\n\n\n\n