AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Grave vulnerabilidad en Ivanti Endpoint Manager permite ejecución remota de código**

admin

### 1. Introducción

La multinacional estadounidense Ivanti ha emitido una alerta crítica dirigida a sus clientes tras el descubrimiento de una vulnerabilidad de ejecución remota de código (RCE) en su solución de gestión unificada de endpoints, Ivanti Endpoint Manager (EPM). La brecha, cuya explotación permitiría a un atacante tomar el control total de los sistemas afectados, subraya una vez más la importancia de la gestión proactiva de vulnerabilidades en infraestructuras TI empresariales.

### 2. Contexto del Incidente o Vulnerabilidad

Ivanti Endpoint Manager es una herramienta ampliamente utilizada para la administración, actualización y monitorización centralizada de dispositivos en redes corporativas. El fallo de seguridad ha sido identificado en las versiones actuales del producto, y la propia Ivanti ha solicitado a sus clientes la aplicación inmediata de los parches de seguridad liberados, advirtiendo del riesgo elevado que implica la exposición de sistemas vulnerables, especialmente en entornos que gestionan miles de endpoints críticos.

Este incidente se produce en un contexto de aumento de ataques dirigidos contra plataformas de gestión TI, como ya se evidenció en brechas recientes contra soluciones similares de otros fabricantes. La criticidad reside en que estos sistemas suelen operar con altos privilegios y acceso transversal a la red, convirtiéndose en objetivos prioritarios para actores maliciosos.

### 3. Detalles Técnicos

La vulnerabilidad, identificada como **CVE-2024-29824**, reside en el componente central de Ivanti Endpoint Manager encargado de la gestión remota de dispositivos. El fallo permite a un atacante remoto, no autenticado, ejecutar comandos arbitrarios en el sistema afectado bajo el contexto de privilegios elevados.

**Vectores de ataque:**
El atacante puede explotar la vulnerabilidad mediante la manipulación de peticiones HTTP especialmente diseñadas dirigidas al servidor EPM. Según el análisis preliminar, no se requiere autenticación previa ni interacción del usuario, lo que facilita la explotación automatizada.

**TTPs asociadas (MITRE ATT&CK):**
– **Initial Access:** Exploitation of Remote Services (T1210)
– **Execution:** Command and Scripting Interpreter (T1059)
– **Privilege Escalation:** Exploitation for Privilege Escalation (T1068)
– **Persistence:** Valid Accounts (T1078)

**Indicadores de Compromiso (IoC):**
– Tráfico HTTP anómalo hacia puertos asociados a EPM.
– Creación de procesos sospechosos en el host afectado.
– Modificación de archivos de configuración del producto.

**Exploits conocidos:**
Aunque al cierre de este artículo no hay exploits públicos integrados en frameworks como Metasploit o Cobalt Strike, la facilidad del vector de ataque hace prever una pronta disponibilidad de herramientas automatizadas en foros clandestinos y repositorios de exploit.

**Versiones afectadas:**
Según Ivanti, el rango de versiones vulnerables incluye todas las ediciones de EPM hasta la **2023.1 SU3**. Las versiones anteriores a este parche deben considerarse críticas y expuestas.

### 4. Impacto y Riesgos

La explotación de CVE-2024-29824 podría permitir a atacantes obtener control total sobre los servidores EPM, posibilitando desde la distribución de malware a endpoints gestionados hasta la exfiltración de credenciales, escalada lateral y sabotaje operativo.

**Riesgos destacados:**
– **Compromiso de la infraestructura TI:** Acceso privilegiado a todo el parque de dispositivos gestionados.
– **Interrupción del negocio:** Potencial para ataques de ransomware o sabotaje masivo.
– **Exposición de datos personales y corporativos:** Riesgo de incumplimiento de GDPR y NIS2.
– **Afección a la cadena de suministro:** Uso de EPM comprometido como vector para atacar a terceros.

### 5. Medidas de Mitigación y Recomendaciones

Ivanti ha publicado parches de seguridad para mitigar el riesgo. Se recomienda a los responsables de ciberseguridad implementar las siguientes acciones:

– **Aplicar inmediatamente los parches proporcionados por Ivanti** en todos los servidores EPM.
– **Monitorizar los logs** de acceso y actividad en los sistemas EPM en busca de IoCs.
– **Restringir el acceso** a la interfaz de administración de EPM mediante listas blancas y segmentación de red.
– **Desplegar reglas de detección específicas** en SIEM y EDR para identificar patrones de explotación.
– **Realizar un análisis forense** en los sistemas que no hayan sido parcheados de inmediato.

### 6. Opinión de Expertos

Especialistas en ciberseguridad como Jake Williams (ex-NSA) y consultoras como Mandiant subrayan que las plataformas de gestión de endpoints son objetivos prioritarios para campañas de ransomware y APTs debido a su posición privilegiada en la red. El rápido ciclo de weaponization observado en vulnerabilidades similares refuerza la urgencia de parchear antes de que surjan exploits públicos. Además, advierten que la tendencia de los actores de amenazas es automatizar la explotación, lo que podría disparar los intentos de ataque en cuestión de horas tras la publicación de los detalles técnicos.

### 7. Implicaciones para Empresas y Usuarios

Para las organizaciones, la gestión de vulnerabilidades en soluciones como Ivanti EPM implica riesgos estratégicos: una explotación exitosa puede suponer desde la paralización total de operaciones hasta cuantiosas sanciones regulatorias (por ejemplo, multas de hasta el 4% de la facturación anual global bajo GDPR). Según estudios de Ponemon Institute, el 75% de las infracciones recientes involucraron la explotación de vulnerabilidades no parcheadas en software de gestión TI. Los usuarios finales, aunque no directamente impactados, pueden ver comprometida la integridad y disponibilidad de sus dispositivos por la administración remota de un sistema comprometido.

### 8. Conclusiones

La vulnerabilidad crítica en Ivanti Endpoint Manager representa una amenaza significativa para la seguridad de infraestructuras empresariales. Dada la naturaleza del fallo, la facilidad de explotación y el alto impacto potencial, la respuesta debe ser inmediata y prioritaria. La gestión proactiva de parches, la monitorización continua y la aplicación de controles de acceso son esenciales para mitigar el riesgo y prevenir ataques de gran escala que puedan desencadenar graves consecuencias legales y operativas.

(Fuente: www.bleepingcomputer.com)