AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Dos vulnerabilidades críticas en Ivanti EPMM explotadas como zero-day ponen en jaque la seguridad móvil empresarial**

admin

### Introducción

Ivanti ha anunciado recientemente el descubrimiento de dos vulnerabilidades críticas en su solución Endpoint Manager Mobile (EPMM), anteriormente conocida como MobileIron Core. Ambas fallas, identificadas como CVE-2026-1281 y CVE-2026-1340, han sido objeto de explotación activa en ataques de tipo zero-day, lo que ha disparado las alertas entre la comunidad de ciberseguridad. Este incidente pone de manifiesto los riesgos que enfrentan las organizaciones que gestionan infraestructuras móviles a gran escala, especialmente en un contexto donde la movilidad y el teletrabajo han disparado el uso de dispositivos y servicios gestionados desde plataformas centralizadas.

### Contexto del Incidente

EPMM es una plataforma ampliamente utilizada para la administración de dispositivos móviles (MDM), permitiendo a las empresas controlar y asegurar smartphones, tabletas y otros endpoints. La criticidad de este software radica en que, al centralizar la gestión y la seguridad de dispositivos móviles, cualquier vulnerabilidad puede tener un efecto cascada, comprometiendo potencialmente miles de dispositivos y, por ende, la seguridad de los datos corporativos.

Ivanti reveló que ambas vulnerabilidades fueron explotadas en ataques dirigidos antes de que se publicaran parches o detalles técnicos, convirtiéndolas en zero-day. Hasta el momento, no se ha revelado la identidad de los actores involucrados ni el alcance total de los compromisos, pero el hecho de que hayan sido detectadas en explotación activa indica un elevado grado de sofisticación y una motivación clara por parte de los atacantes.

### Detalles Técnicos

#### Identificadores y versiones afectadas

– **CVE-2026-1281** y **CVE-2026-1340**: ambas consideradas de criticidad alta, con una puntuación CVSS superior a 9.0.
– **Versiones afectadas**: Todas las versiones soportadas de Ivanti EPMM anteriores a los parches publicados en junio de 2024.

#### Vectores de ataque

Según el aviso de Ivanti, las vulnerabilidades permiten a un atacante remoto no autenticado ejecutar comandos arbitrarios con privilegios elevados en el sistema vulnerable. El ataque puede iniciarse simplemente enviando peticiones HTTP/HTTPS especialmente diseñadas al servidor EPMM expuesto.

– **TTPs MITRE ATT&CK relevantes**:
– **T1190 (Exploit Public-Facing Application)**: Los atacantes explotan aplicaciones accesibles desde Internet.
– **T1059 (Command and Scripting Interpreter)**: Ejecución de comandos arbitrarios en el sistema afectado.
– **T1078 (Valid Accounts)**: Escalada de privilegios tras la explotación inicial.

#### Indicadores de compromiso (IoC)

Se han observado artefactos como registros de acceso anómalos en los logs del servidor EPMM, conexiones salientes sospechosas y la creación de cuentas de administración no autorizadas. Hasta la fecha, no se han publicado exploits públicos, pero investigadores han detectado actividad compatible con frameworks ofensivos como **Cobalt Strike** y **Metasploit**, lo que sugiere que los exploits podrían estar circulando en entornos restringidos.

### Impacto y Riesgos

El riesgo principal radica en la posibilidad de que un atacante obtenga control total sobre la plataforma EPMM, permitiéndole:

– Acceder y modificar la configuración de seguridad de miles de dispositivos móviles gestionados.
– Instalar software malicioso, interceptar comunicaciones o exfiltrar datos confidenciales corporativos.
– Desplegar ataques de ransomware móvil o pivotar hacia otros recursos de la red interna.

Según estimaciones de Ivanti, aproximadamente un 30% de sus clientes globales aún no han actualizado a la versión parcheada, lo que supone miles de empresas vulnerables. En términos económicos, un incidente de esta naturaleza podría implicar sanciones bajo GDPR o NIS2, además de pérdidas reputacionales y costes asociados a la contención y remediación.

### Medidas de Mitigación y Recomendaciones

Ivanti ha publicado actualizaciones críticas que corrigen ambas vulnerabilidades. Se recomienda encarecidamente:

– **Aplicar inmediatamente los parches** disponibles desde el portal oficial de Ivanti.
– Auditar los logs de acceso en busca de indicadores de explotación, como accesos no autorizados o creación de cuentas sospechosas.
– Restringir el acceso externo a la consola de administración EPMM mediante VPN o segmentación de red.
– Monitorizar el tráfico de red en busca de patrones anómalos asociados a las TTPs mencionadas.
– Implementar autenticación multifactor (MFA) en todos los accesos administrativos.

### Opinión de Expertos

Especialistas en ciberseguridad, como el equipo de análisis de amenazas de Mandiant y consultores independientes, han señalado que la cadena de ataque observada es coherente con campañas previas dirigidas a infraestructuras críticas. Destacan, además, el hecho de que los atacantes parecen disponer de conocimiento detallado sobre la arquitectura interna de EPMM, lo que sugiere un trabajo previo de ingeniería inversa o acceso a código fuente.

Desde el sector, se advierte que la explotación de plataformas MDM puede ser utilizada como vector inicial para comprometer ecosistemas móviles completos, lo que convierte a estas vulnerabilidades en objetivos prioritarios para grupos APT.

### Implicaciones para Empresas y Usuarios

La explotación de estas vulnerabilidades puede derivar en incidentes de seguridad masivos, especialmente en sectores regulados como finanzas, sanidad y administración pública. Las empresas deben revisar no solo la aplicación de parches, sino también sus políticas de exposición de servicios críticos, auditoría continua y respuesta a incidentes.

Bajo el marco de GDPR y NIS2, la falta de diligencia en la protección de infraestructuras críticas podría acarrear sanciones significativas y la obligación de notificación a autoridades y afectados.

### Conclusiones

El caso de las vulnerabilidades zero-day en Ivanti EPMM subraya la necesidad de una vigilancia constante sobre los sistemas de gestión centralizada y la importancia de aplicar parches con inmediatez. El acceso privilegiado que proporcionan estas plataformas las convierte en objetivos de alto valor para atacantes sofisticados, con consecuencias potencialmente devastadoras para la seguridad corporativa. La colaboración entre fabricantes, equipos SOC y consultoras especializadas será clave para mitigar el impacto de este y futuros incidentes similares.

(Fuente: www.bleepingcomputer.com)