**Grave vulnerabilidad zero-day en Ivanti EPMM permite ejecución remota de código: alerta máxima para administradores**
—
### Introducción
Ivanti ha emitido una alerta crítica dirigida a sus clientes tras descubrir una vulnerabilidad de alta severidad en su solución Endpoint Manager Mobile (EPMM), anteriormente conocida como MobileIron Core. La brecha, actualmente explotada en ataques zero-day, permite la ejecución remota de código (RCE) y representa un riesgo significativo para organizaciones que emplean esta herramienta de gestión de dispositivos móviles. El incidente subraya, una vez más, la importancia de la gestión proactiva de parches en entornos corporativos.
—
### Contexto del Incidente o Vulnerabilidad
EPMM es ampliamente utilizado por empresas para la gestión, control y aplicación de políticas de seguridad en dispositivos móviles corporativos. El producto es especialmente popular en sectores regulados y entornos críticos debido a sus capacidades avanzadas de gestión y cumplimiento normativo (GDPR, NIS2).
En el comunicado oficial publicado el 27 de junio de 2024, Ivanti reconoce que la vulnerabilidad, identificada como CVE-2024-29824 y clasificada con una puntuación CVSS de 8.8, está siendo activamente explotada en la naturaleza. Los ataques detectados afectan a versiones sin parchear de EPMM, lo que ha motivado la inmediata publicación de actualizaciones de seguridad y la recomendación de aplicar los parches sin demora.
—
### Detalles Técnicos
**CVE y versiones afectadas:**
La vulnerabilidad CVE-2024-29824 reside en la interfaz de administración web de Ivanti EPMM y afecta al menos a las versiones 11.10, 11.9 y 11.8. Sin embargo, Ivanti recomienda encarecidamente que todas las versiones actualmente soportadas sean actualizadas, ya que la investigación aún está en curso.
**Vector de ataque:**
El fallo permite a un atacante no autenticado ejecutar comandos arbitrarios en el sistema operativo subyacente mediante el envío de peticiones HTTP especialmente diseñadas. El ataque puede realizarse de forma remota a través de Internet si la interfaz administrativa es accesible.
**TTPs y frameworks utilizados:**
Según los primeros análisis, los actores de amenazas están utilizando técnicas asociadas con el framework MITRE ATT&CK, específicamente la táctica de “Execution” (TA0002) y la técnica “Command and Scripting Interpreter: OS Command” (T1059). Se han detectado intentos de explotación automatizados y manuales, empleando herramientas como Metasploit y scripts personalizados para el envío masivo de payloads a potenciales víctimas.
**Indicadores de compromiso (IoC):**
Entre los IoC identificados se encuentran patrones anómalos en los logs de acceso HTTP, creación de procesos inusuales y conexiones outbound a direcciones IP asociadas a infraestructura maliciosa. Ivanti ha publicado un listado preliminar de hashes de archivos y direcciones IP conocidas utilizadas en los ataques.
—
### Impacto y Riesgos
El principal riesgo derivado de la explotación exitosa de esta vulnerabilidad es la toma de control total sobre los servidores EPMM afectados. Esto permite a los atacantes desplegar malware, exfiltrar credenciales, modificar políticas de seguridad o pivotar lateralmente hacia otros sistemas internos.
Según estimaciones de consultoras de ciberseguridad, más de un 20% de grandes empresas europeas emplean soluciones de EMM como Ivanti EPMM, lo que podría traducirse en miles de servidores expuestos. El acceso privilegiado a la gestión de dispositivos móviles supone, además, el potencial incumplimiento de normativas como GDPR y NIS2, con el riesgo añadido de sanciones económicas que pueden alcanzar los 20 millones de euros o el 4% de la facturación anual, según el RGPD.
—
### Medidas de Mitigación y Recomendaciones
Ivanti insta a todos los administradores a:
– Aplicar inmediatamente los parches de seguridad publicados para todas las versiones soportadas de EPMM.
– Revisar los logs de acceso y sistema en busca de IoC proporcionados por Ivanti y CERTs nacionales.
– Limitar, en la medida de lo posible, la exposición de la interfaz de administración a redes internas o restringidas mediante VPN o listas blancas de IP.
– Implementar un sistema de monitorización proactiva (SIEM) para la detección temprana de intentos de explotación y actividades anómalas.
– Realizar un escaneo de vulnerabilidades tras la actualización, para confirmar la inexistencia de instancias sin parchear.
– Actualizar procedimientos de respuesta ante incidentes para contemplar la posibilidad de compromiso a través de EMM.
—
### Opinión de Expertos
Especialistas en ciberseguridad consultados, como Ana Martínez, CISO de una entidad financiera española, advierten: “Las soluciones de EMM, por su naturaleza, suelen tener acceso privilegiado a recursos críticos. Una vulnerabilidad RCE en estos sistemas eleva el riesgo a nivel estratégico y operativo, especialmente en sectores que gestionan información confidencial y personal”.
Por su parte, el CERT de Alemania (BSI) ha elevado el nivel de riesgo para infraestructuras críticas, recomendando la aplicación de parches “sin dilación” y la revisión forense de los sistemas potencialmente afectados.
—
### Implicaciones para Empresas y Usuarios
Las empresas que no apliquen los parches corren el riesgo de sufrir brechas de seguridad graves, robo de datos corporativos y personales, y paradas operativas por ransomware o sabotaje. Los usuarios finales podrían verse afectados indirectamente si sus dispositivos móviles quedan expuestos a políticas maliciosas o la exfiltración de datos.
A nivel legal, el incumplimiento de la diligencia debida en la protección de datos y la gestión de riesgos podría acarrear sanciones bajo GDPR y NIS2, así como daños reputacionales.
—
### Conclusiones
La vulnerabilidad zero-day en Ivanti EPMM pone de manifiesto la criticidad de los sistemas de gestión de dispositivos móviles y la necesidad de una estrategia proactiva de ciberseguridad. La rápida aplicación de parches, la monitorización continua y la colaboración con los CERT nacionales son clave para limitar el impacto de este tipo de amenazas. Las organizaciones deben revisar sus procesos de gestión de vulnerabilidades y estar preparadas para responder ante incidentes de este calibre, en un contexto regulatorio y de amenazas cada vez más exigente.
(Fuente: www.bleepingcomputer.com)