Cisa segnala vulnerabilità sfruttate in SolarWinds Ivanti e Workspace One UEM

La Cisa inserisce tre nuove vulnerabilità nel catalogo Known Exploited Vulnerabilities (KEV), segnalando che difetti presenti nei software SolarWinds Web Help Desk, Ivanti Endpoint Manager e Workspace One UEM sono attualmente sfruttati in attacchi reali. L’agenzia statunitense per la sicurezza informatica ha ordinato alle agenzie federali di applicare patch urgenti entro marzo 2026 per ridurre il rischio di compromissione. Le vulnerabilità individuate includono un server-side request forgery in Workspace One UEM, una grave vulnerabilità di deserializzazione di dati non fidati in SolarWinds Web Help Desk e un bypass di autenticazione in Ivanti Endpoint Manager che può portare al furto di credenziali. Secondo Cisa questi difetti rappresentano vettori frequentemente utilizzati da cybercriminali e gruppi ransomware. Le organizzazioni federali rientranti nel perimetro Federal Civilian Executive Branch (FCEB) devono correggere il bug SolarWinds entro il 12 marzo 2026 e applicare le patch per Ivanti e Omnissa entro il 23 marzo 2026.

Cisa aggiorna il catalogo Known Exploited Vulnerabilities

Il catalogo Known Exploited Vulnerabilities rappresenta uno dei principali strumenti utilizzati da Cisa per segnalare vulnerabilità che risultano già sfruttate in attacchi reali. Quando un difetto entra nella lista KEV, le agenzie federali sono obbligate a correggerlo entro tempi stabiliti dalla direttiva Binding Operational Directive 22-01. L’obiettivo del catalogo è ridurre rapidamente la superficie di attacco delle infrastrutture governative e migliorare la resilienza delle reti federali. Tuttavia le indicazioni di Cisa vengono spesso seguite anche da aziende private, che utilizzano il KEV come riferimento per stabilire priorità di patching. L’inserimento di vulnerabilità in prodotti diffusi come SolarWinds, Ivanti e Workspace One UEM evidenzia la crescente attenzione verso software utilizzati per la gestione di infrastrutture IT e dispositivi aziendali.

Vulnerabilità SSRF in Workspace One UEM sfruttata dal 2025

Una delle vulnerabilità segnalate è CVE-2021-22054, un difetto di tipo server-side request forgery (SSRF) che interessa Workspace One UEM, piattaforma di gestione dispositivi precedentemente sviluppata da VMware e ora gestita da Omnissa. Il difetto ha un punteggio CVSS 7.5 e consente a un attaccante con accesso alla rete di inviare richieste non autenticate al sistema UEM, ottenendo informazioni sensibili. Non sono richiesti privilegi elevati né interazioni dell’utente. Secondo i ricercatori di GreyNoise, la vulnerabilità è sfruttata attivamente almeno dal marzo 2025 all’interno di campagne coordinate che utilizzano tecniche SSRF per raccogliere dati da sistemi enterprise esposti su internet. Poiché Workspace One UEM viene utilizzato per gestire flotte di dispositivi aziendali, una compromissione può avere impatti significativi sulla sicurezza dell’intera infrastruttura.

SolarWinds Web Help Desk vulnerabile a esecuzione remota di comandi

La seconda vulnerabilità segnalata da Cisa è CVE-2025-26399, un grave difetto di deserializzazione di dati non fidati nel componente AjaxProxy di SolarWinds Web Help Desk. La vulnerabilità ha un punteggio CVSS 9.8, classificandosi come criticità estremamente elevata. Un attaccante remoto può sfruttarla per eseguire comandi arbitrari sul sistema host, ottenendo potenzialmente accesso completo al server. Le società di sicurezza Microsoft e Huntress hanno osservato attacchi attivi che sfruttano questa vulnerabilità, collegando parte delle attività al gruppo ransomware Warlock. In questi casi il bug viene utilizzato come punto di ingresso iniziale nelle reti aziendali. I sistemi Web Help Desk sono spesso integrati nei processi di supporto IT e gestione ticket, rendendoli un bersaglio particolarmente interessante per gli attaccanti che cercano accesso alle infrastrutture interne.

Ivanti Endpoint Manager vulnerabile a bypass di autenticazione

La terza vulnerabilità aggiunta al catalogo KEV è CVE-2026-1603, che colpisce Ivanti Endpoint Manager (EPM). Il difetto consente un bypass dell’autenticazione tramite percorsi alternativi, permettendo a un attaccante remoto non autenticato di accedere a informazioni sensibili e sottrarre credenziali memorizzate nel sistema. La vulnerabilità ha un punteggio CVSS 8.6 e richiede una complessità di attacco relativamente bassa. Ivanti ha rilasciato una patch nel pacchetto EPM 2024 SU5, pubblicato circa un mese prima dell’avviso Cisa.

Nonostante la disponibilità dell’aggiornamento, i ricercatori di Shadowserver hanno identificato oltre 700 istanze di Ivanti Endpoint Manager esposte su internet, la maggior parte situate in Nord America. Questa esposizione aumenta il rischio di compromissione su larga scala.

Endpoint management e help desk software tra i bersagli principali

Le vulnerabilità segnalate da Cisa colpiscono software utilizzati per attività cruciali di gestione IT, tra cui help desk, endpoint management e mobile device management. Strumenti come Ivanti Endpoint Manager e Workspace One UEM sono utilizzati per amministrare dispositivi Windows, macOS, Linux, Chrome OS e IoT, mentre SolarWinds Web Help Desk è impiegato per gestire richieste di supporto tecnico e operazioni di assistenza IT. La compromissione di questi sistemi può consentire agli attaccanti di ottenere accesso privilegiato alla rete aziendale, distribuire malware o sottrarre credenziali amministrative. Il caso SolarWinds è particolarmente sensibile perché l’azienda è stata già al centro del celebre attacco supply chain del 2020, che ha colpito numerose agenzie governative statunitensi.

Agenzie federali obbligate a patch urgenti

Le agenzie appartenenti al Federal Civilian Executive Branch devono applicare le patch entro le scadenze stabilite da Cisa. Per la vulnerabilità SolarWinds Web Help Desk la deadline è fissata al 12 marzo 2026, mentre per Ivanti Endpoint Manager e Workspace One UEM il termine è il 23 marzo 2026.

• CVE-2021-22054 Omnissa Workspace ONE Server-Side Request Forgery
• CVE-2025-26399 SolarWinds Web Help Desk Deserialization of Untrusted Data Vulnerability
• CVE-2026-1603 Ivanti Endpoint Manager (EPM) Authentication Bypass Vulnerability

La direttiva BOD 22-01 obbliga le organizzazioni federali a mitigare rapidamente le vulnerabilità inserite nel catalogo KEV. Sebbene le aziende private non siano soggette a queste scadenze, molti operatori del settore adottano lo stesso approccio per ridurre i rischi. Il rapido aggiornamento dei sistemi è considerato una delle misure più efficaci per prevenire compromissioni.

Crescono gli exploit contro software enterprise

Negli ultimi anni numerose vulnerabilità nei prodotti Ivanti, SolarWinds e altre piattaforme enterprise sono state sfruttate da gruppi criminali e attori sponsorizzati da stati. Nel 2024, Cisa aveva già segnalato diverse vulnerabilità critiche nei prodotti Ivanti, tra cui CVE-2024-13159, CVE-2024-13160 e CVE-2024-13161, tutte sfruttate in attacchi reali. Altre campagne hanno preso di mira software di gestione IT e soluzioni di accesso remoto. Secondo gli esperti di sicurezza, questi strumenti rappresentano obiettivi ideali perché permettono agli attaccanti di ottenere accesso privilegiato all’infrastruttura aziendale con un singolo exploit.

Raccomandazioni per organizzazioni e amministratori IT

Cisa raccomanda alle organizzazioni di applicare immediatamente le patch disponibili e verificare eventuali segni di compromissione nei sistemi interessati. Tra le misure suggerite figurano il monitoraggio continuo dei log, la riduzione dei privilegi amministrativi non necessari e la disattivazione di servizi esposti pubblicamente quando non indispensabili. Gli amministratori dovrebbero inoltre controllare eventuali accessi da indirizzi IP sospetti e implementare sistemi di rilevamento delle intrusioni per individuare attività anomale. La crescente frequenza di attacchi contro software enterprise dimostra quanto sia importante mantenere aggiornati gli strumenti di gestione IT e applicare rapidamente le patch di sicurezza.