Ivanti ha recentemente rilasciato aggiornamenti di sicurezza fondamentali per risolvere due vulnerabilità rilevate nel software Endpoint Manager Mobile (EPMM), oggetto di attacchi mirati che sfruttavano queste falle per ottenere l’esecuzione di codice da remoto. Le due vulnerabilità sono state identificate come CVE-2025-4427, con un punteggio CVSS di 5.3, e CVE-2025-4428, con punteggio di 7.2. La prima riguarda una debolezza nell’autenticazione che permette agli attaccanti di accedere a risorse protette senza le credenziali adeguate, mentre la seconda consente l’esecuzione arbitraria di codice sul sistema target.

La combinazione di queste due vulnerabilità permette a un attaccante di eseguire comandi su dispositivi vulnerabili senza bisogno di autenticazione, aumentando così il rischio di compromissione per le aziende che utilizzano versioni obsolete di EPMM. Le versioni impattate sono 11.12.0.4 e precedenti, 12.3.0.1 e precedenti, 12.4.0.1 e precedenti e 12.5.0.0 e precedenti. Ivanti ha già fornito patch specifiche per ogni release coinvolta, invitando gli amministratori IT a procedere con l’aggiornamento verso le versioni corrette.

Le vulnerabilità sono legate a due librerie open source integrate nel prodotto, anche se Ivanti non ha rivelato i nomi specifici delle librerie coinvolte. Al momento non è noto se anche altri software che utilizzano queste librerie siano vulnerabili. L’azienda ha sottolineato che l’impatto è limitato esclusivamente alle installazioni on-premise di EPMM e che i servizi cloud come Ivanti Neurons per MDM non sono affetti.

Ivanti ha specificato che solo un numero molto ristretto di clienti è stato effettivamente colpito dagli attacchi e che, per ridurre il rischio, è consigliabile filtrare l’accesso alle API tramite firewall applicativi o le funzionalità ACL integrate. Intanto, la società continua a investigare sulle attività malevole collegate e non ha ancora identificato indicatori di compromissione affidabili.

A complicare ulteriormente la situazione, il team di watchTowr Labs ha pubblicato un proof-of-concept che dimostra come sia possibile concatenare le due vulnerabilità per ottenere una completa esecuzione di codice da remoto senza autenticazione, semplicemente inviando una richiesta HTTP opportunamente realizzata.

Questo nuovo caso si inserisce in una lunga serie di zero-day che hanno coinvolto dispositivi Ivanti negli ultimi anni, rendendo ancora più urgente per le organizzazioni l’adozione delle patch e degli aggiornamenti di sicurezza per prevenire intrusioni e proteggere l’integrità della propria infrastruttura IT.