Le vulnerabilità in Ivanti Endpoint Manager Mobile (EPMM) e il bug ShadowLeak in strumenti AI mettono sotto pressione privacy, continuità operativa e sicurezza delle infrastrutture. L’allerta di CISA su malware che sfrutta CVE-2025-4427 e CVE-2025-4428 descrive una catena che unisce bypass di autenticazione ed esecuzione di codice remoto, con iniezioni di listener dentro Apache Tomcat per persistenza e code execution. In parallelo, OpenAI corregge ShadowLeak in Deep Research, dove prompt nascosti hanno consentito l’esfiltrazioni da integrazioni come Gmail e GitHub senza interazione utente. Il 18 settembre 2025 restano centrali nove advisories ICS per vendor come Westermo, Schneider Electric, Hitachi Energy, Cognex e Mitsubishi Electric, che confermano la convergenza di rischio tra IT e OT. I team di sicurezza trattano gli MDM come High-Value Asset, accelerano patch, rafforzano monitoring su /mifs/rs/api/v2/ e applicano controlli granulari sui tool AI con accesso a dati personali e segreti aziendali.
Cosa leggere
Catena di attacco su Ivanti EPMM: bypass e RCE concatenati
Gli attori sfruttano CVE-2025-4427 per superare i controlli di autenticazione sulle API di Ivanti EPMM. La superficie esposta consente di invocare funzioni che in condizioni normali richiedono token e ruoli autorizzati. La seconda vulnerabilità, CVE-2025-4428, introduce la remote code execution e permette di eseguire comandi arbitrari costruendo richieste mirate. La combinazione produce un accesso profondo, che va oltre la semplice lettura di risorse e abilita la scrittura su disco, l’upload di componenti e l’innesto di backdoor. Le intrusioni osservate a partire dal 15 maggio 2025 mostrano come la disponibilità di una proof-of-concept pubblica trasformi in poche ore una nota tecnica in una catena di attacco riproducibile.
Il flusso tipico prevede una prima fase di ricognizione tramite chiamate a /mifs/rs/api/v2/ per ottenere impronte sull’ambiente, cartelle accessibili, variabili e versioni. Gli operatori sfruttano quindi la capacità di inviare payload codificati che, una volta decodificati sul server, depositano artefatti temporanei in /tmp. La mancanza di barriere applicative tra API di gestione ed esecuzione permette di passare rapidamente dall’enumeration alla manipolazione dell’application server. La ricetta si chiude con la registrazione di componenti che intercettano il traffico e riattivano la catena a richiesta.
Due set di malware con listener Tomcat: come funzionano
Le compromissioni documentano due set di file malevoli. Il primo si basa su un web-install.jar che include ReflectUtil.class e un listener denominato SecurityHandlerWanListener. Il loader usa reflection per manipolare classi e caricare il listener all’interno del ciclo di Apache Tomcat. Il listener intercetta richieste HTTP con pattern specifici, decodifica il payload, decifra i contenuti e genera classi dinamiche che eseguono codice arbitrario nel contesto dell’applicazione. Questo approccio riduce l’attrito operativo, perché sfrutta il normale modello di estensione del server e maschera le attività dentro il tracciato logico del servizio. Il secondo set impiega un differente web-install.jar con WebAndroidAppInstaller.class. Il componente legge un parametro password, lo decifra con una chiave hard-coded e usa il risultato per definire una nuova classe, che viene compilata o caricata al volo. L’output dell’esecuzione torna al chiamante cifrato, così il canale di controllo resta meno visibile in strumenti di ispezione superficiale. Entrambi i set sostengono persistenza applicativa, poiché vivono dentro Tomcat e sopravvivono ai riavvii del processo applicativo. La rimozione richiede conoscenza del grafo delle classi caricate e della configurazione di caricamento, altrimenti i frammenti restano agganciati a percorsi poco ovvi.
Perché un MDM compromesso vale quanto un domain controller
Un MDM come Ivanti EPMM governa policy, certificati, profili e app di interi parchi dispositivi. Un host compromesso non espone soltanto le impostazioni del management plane. La posizione consente di propagare profili malevoli verso gli endpoint, raccolta di token e segreti usati dalle app, mappatura delle reti interne attraverso le configurazioni distribuite e recupero di credenziali LDAP dal backend. Gli operatori sfruttano queste capacità per orchestrare movimenti laterali, ingannare i controlli basati sull’identità e costruire una presenza persistente senza colpire direttamente i sistemi più difesi. La compromissione di un MDM si traduce quindi in un moltiplicatore di rischio, paragonabile a quello di un domain controller, con la differenza che gli artefatti passano sotto la copertura di attività quotidiane legittime.
Bug ShadowLeak negli agent AI: esfiltrazione silente dai tool
La correzione di ShadowLeak in OpenAI Deep Research evidenzia il lato oscuro dei tool AI integrati con Gmail e GitHub. Gli attaccanti hanno dimostrato che prompt nascosti nei contenuti web o in documenti collegati possono guidare il modello verso azioni non previste, come l’estrazione di email, allegati o segreti dai repository. L’assenza di interazione dell’utente durante certe fasi automatizzate rende l’evento subdolo, perché l’azione malevola si confonde con l’attività di raccolta dati legittima del tool. Il rischio principale riguarda privacy, segretezza industriale e compliance, poiché i dati esfiltrati possono contenere PII, IP aziendale e token sfruttabili per ulteriori accessi. La finestra temporale tra responsible disclosure e fix regge il confronto con le migliori pratiche, ma l’episodio mostra che i guardrail di prompt injection devono evolvere. La mitigazione non si esaurisce nella patch del fornitore. Le aziende devono adeguare i controlli di accesso dei connettori, limitare gli scope OAuth, applicare policy di redazione che riducono la superficie dei prompt, e introdurre monitoring degli output per segnali di richiesta anomala di dati personali o segreti. Gli ambienti che ospitano modelli agentici devono inoltre isolare i segreti in vault esterni, con token effimeri e revoche rapide, così da ridurre l’impatto in caso di deviazione comportamentale.
Vettori di prompt injection e superficie OAuth
Gli agenti AI che combinano navigazione web, posta elettronica e repository di codice espongono un perimetro ampliato. La prompt injection avviene quando un contenuto esterno include istruzioni destinate al modello e queste istruzioni superano i vincoli del contesto operativo. La mitigazione efficace richiede sanitizzazione dei contenuti prima che entrino nel contesto del modello, policy di contenimento che separano i dati personali dai dati pubblici, e verifiche di coerenza sugli step dell’agente. La superficie OAuth aggiunge un secondo livello di rischio: scope troppo ampi su Gmail o GitHub consentono al tool di leggere più dati del necessario. Gli amministratori impongono principio del minimo privilegio, limiti di rate e just-in-time access per ridurre l’impatto in caso di abuso.
ICS sotto pressione: nove advisories e convergenza IT/OT
Gli avvisi ICS pubblicati in contemporanea alle analisi su Ivanti consolidano il quadro di un 2025 in cui IT e OT condividono piani di minaccia. Vendor come Westermo, Schneider Electric, Hitachi Energy, Cognex e Mitsubishi Electric rilasciano aggiornamenti e mitigazioni per componenti di rete industriale, RTU, suite gestionali e firmware di visione.
- ICSA-25-261-01 Westermo Network Technologies WeOS 5
- ICSA-25-261-02 Westermo Network Technologies WeOS 5
- ICSA-25-261-03 Schneider Electric Saitel DR & Saitel DP Remote Terminal Unit
- ICSA-25-261-04 Hitachi Energy Asset Suite
- ICSA-25-261-05 Hitachi Energy Service Suite
- ICSA-25-261-06 Cognex In-Sight Explorer and In-Sight Camera Firmware
- ICSA-25-261-07 Dover Fueling Solutions ProGauge MagLink LX4 Devices
- ICSA-25-191-10 End-of-Train and Head-of-Train Remote Linking Protocol (Update C)
- ICSA-24-030-02 Mitsubishi Electric FA Engineering Software Products (Update D)
L’adozione tempestiva in ambienti di produzione non è banale, perché la continuità del processo produttivo impone finestre di manutenzione ridotte. I team OT adottano staging separati, baselines di traffico e change control rigorosi. La convergenza dei due filoni si manifesta quando una breccia IT in un MDM produce identità e accessi che aprono la strada a movimenti laterali verso reti OT, con l’obiettivo di distrazione, deterioramento della qualità o riscatto.
Rilevazione e risposta: IOC, YARA e SIGMA con approccio comportamentale
Le regole YARA e SIGMA pubblicate per il caso Ivanti EPMM aiutano a intercettare artefatti e comportamenti. La rilevazione più efficace nasce però dall’osservazione del ciclo di vita di Tomcat e dalle sequenze di chiamate su /mifs/rs/api/v2/. Un grafico coerente mostra richieste ravvicinate con parametri coerenti a decodifica e caricamento di classi, seguite da heapdump imprevisti e da lettura di file di configurazione. La correlazione tra file events in /tmp, command-line dei processi java e richieste HTTP che ritornano risposte cifrate costruisce un caso d’uso robusto. In scenari AI, la detection osserva output che citano dati personali o riferimenti a prompt interni, segnali di un’ipotetica shadow interaction avviata da contenuti esterni.
Governance e compliance: GDPR, CCPA e supply chain
L’esfiltrazione tramite ShadowLeak espone aziende a rischi GDPR e CCPA, perché la tracciabilità dell’evento resta parziale e la dimostrazione di impatti concreti richiede un investimento forense non sempre sostenibile. Nei casi Ivanti, il recupero di heapdump e credenziali LDAP moltiplica la responsabilità sulla custodia dei dati e sulla protezione degli account. Le catene di fornitura rientrano nel perimetro, poiché MDM e tool AI spesso appartengono a vendor esterni. Le organizzazioni rivedono SLA e clausole per includere tempi di patch vincolanti, obblighi di telemetria condivisa e protocolli di responsible disclosure che accorciano le finestre di esposizione.
Architetture difensive unificate: zero-trust per MDM, AI e ICS
Il disegno architetturale che esce da questi casi assume una postura zero-trust. In MDM, gli amministratori isolano il management plane, impongono autenticazione forte, riducono le funzioni esposte su internet e consolidano il WAF sulle rotte critiche. In AI, le integrazioni verso Gmail e GitHub si assoggettano a token effimeri, scope minimi e controlli ex-ante sul contenuto che entra nel contesto del modello. In ICS, la tecnologia resta vincolata a cicli di patch più lenti, quindi la difesa privilegia segmentazione, inventario di asset e monitoraggio di deviazioni rispetto alla baseline. La coerenza dell’insieme si misura nella capacità di correlare eventi tra domini diversi, così che un’anomalia su EPMM possa alzare il livello di allerta su OT o restringere temporaneamente gli scope di un connettore AI.
Roadmap operativa nei prossimi trenta giorni
Le organizzazioni rivedono le versioni di Ivanti EPMM, applicano le patch di maggio 2025 e verificano gli IOC pubblicati, con particolare attenzione a /tmp/web-install.jar e alle classi anomale caricate in Tomcat. I team impostano controlli mirati sul body delle richieste HTTP verso /mifs/rs/api/v2/, registrano heapdump inattesi e verificano gli accessi ai segreti LDAP. In parallelo, i responsabili delle integrazioni AI impongono re-autorizzazioni ai connettori, restringono gli scope, abilitano alert sugli output che contengono PII e separano i dati sensibili in progetti dedicati. I team OT assorbono gli advisories ICS nel piano di manutenzione, testano i fix in ambienti isolati e aggiornano le regole di detection sulla base dei traffici ammessi. La governance codifica il tutto in policy e runbook, così la ripetizione dell’incidente incontra barriere più alte e tempi di containment più brevi.
Prevenire iniezioni runtime e leakage dai tool
L’episodio Ivanti EPMM dimostra come un authentication bypass combinato con una RCE trasformi un’API di gestione in un vettore di iniezione runtime. La scrittura chunked in /tmp, il caricamento dinamico di listener, la decodifica e cifratura di payload rendono la backdoor resiliente e poco appariscente. La difesa efficace richiede patch veloci, telemetria profonda sul processo java, correlazioni tra rete, file system e autenticazioni e una strategia di scansione che includa classi generate al volo. Sul fronte AI, ShadowLeak ricorda che gli agenti connessi a sistemi personali e aziendali devono subire igiene dei permessi, sanitizzazione dei contenuti e controlli in uscita per intercettare richieste di dati fuori policy. La convergenza IT/OT completa il quadro: gli advisories ICS non vivono in un universo parallelo, ma si integrano in un programma di resilienza che allinea management plane, motori AI e sistemi industriali alla stessa metrica: ridurre il dwell time, contenere l’impatto, preservare la fiducia.
