AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

13 vulnerabilidades críticas sin parchear en Ivanti Endpoint Manager exponen a empresas a ejecución remota de código

admin

Introducción

El panorama de ciberseguridad empresarial enfrenta una nueva amenaza significativa tras la divulgación pública de 13 vulnerabilidades no parcheadas en Ivanti Endpoint Manager (EPM). Estas fallas, reveladas por Zero Day Initiative (ZDI), permiten la ejecución remota de código y la escalada de privilegios, exponiendo a organizaciones de todo el mundo a riesgos severos de compromiso. La decisión de ZDI de publicar los detalles técnicos responde a la falta de respuesta y solución por parte de Ivanti, lo que sitúa a los equipos de seguridad ante el reto de proteger infraestructuras críticas sin parches oficiales disponibles.

Contexto del Incidente

Ivanti Endpoint Manager es una plataforma ampliamente utilizada para la gestión de dispositivos, despliegue de software y control de políticas de seguridad en entornos empresariales. Según cifras del mercado, más de 40.000 organizaciones a nivel global emplean EPM para administrar flotas de endpoints en redes corporativas y remotas. La exposición de vulnerabilidades sin parchear en este producto aumenta el riesgo de ataques dirigidos, especialmente en sectores regulados bajo normativas como GDPR y NIS2, donde la protección de datos y la continuidad de negocio son prioritarias.

Detalles Técnicos

Las 13 vulnerabilidades afectan a múltiples versiones de Ivanti Endpoint Manager, principalmente desde la 2021.1 hasta la 2023.1. Aunque Ivanti no ha asignado CVEs oficiales, ZDI ha catalogado estas fallas bajo sus propios identificadores. Las vulnerabilidades permiten, a través de diversos vectores, que un atacante remoto no autenticado ejecute código arbitrario en el servidor con privilegios elevados, o bien eleve sus permisos locales tras un acceso inicial.

Entre los vectores de ataque identificados destacan:

– Desbordamientos de búfer explotables a través de peticiones maliciosas a servicios de administración.
– Inyección de comandos en módulos de despliegue de software.
– Fallos de validación de entradas en APIs expuestas en el puerto 443 del servidor EPM.
– Condiciones de carrera y gestión inadecuada de privilegios en procesos secundarios.

ZDI ha publicado pruebas de concepto (PoC) en su portal, y ya se observa la integración de algunos de estos exploits en frameworks como Metasploit y Cobalt Strike. El mapeo en MITRE ATT&CK sugiere técnicas T1203 (Exploitation for Client Execution), T1068 (Exploitation for Privilege Escalation) y T1190 (Exploit Public-Facing Application). Los indicadores de compromiso (IoC) incluyen logs anómalos en los servicios HTTP/S y creación de procesos no autorizados en los endpoints gestionados.

Impacto y Riesgos

El impacto potencial de estas vulnerabilidades es crítico. Cualquier atacante con acceso a la red corporativa, o incluso desde Internet si el EPM está expuesto, puede obtener control total sobre la infraestructura de endpoints. Esto posibilita desde el despliegue de ransomware y malware persistente, hasta la exfiltración masiva de datos, afectando la integridad, confidencialidad y disponibilidad de los sistemas.

Se estima que hasta un 60% de las instalaciones de Ivanti EPM aún operan en versiones afectadas, debido a la complejidad de los procesos de actualización en grandes entornos. Además, la ausencia de parches oficiales incrementa la urgencia de adoptar medidas defensivas alternativas.

Medidas de Mitigación y Recomendaciones

Ante la ausencia de parches, se recomienda:

– Restringir el acceso a los puertos y servicios de EPM únicamente a redes internas y administradores autorizados.
– Monitorizar logs del servidor EPM en busca de actividad inusual o intentos de explotación.
– Implementar segmentación de red y controles de acceso estrictos alrededor de los servidores EPM.
– Desactivar temporalmente funcionalidades no críticas del software hasta la publicación de un parche.
– Utilizar soluciones EDR y SIEM para detectar comportamientos anómalos relacionados con los vectores descritos.
– Revisar regularmente los comunicados de Ivanti y ZDI para aplicar mitigaciones oficiales en cuanto estén disponibles.

Opinión de Expertos

Especialistas del sector han criticado la falta de transparencia y rapidez de Ivanti en la gestión de estas vulnerabilidades, subrayando la importancia de la divulgación coordinada y la colaboración con la comunidad de ciberseguridad. “La exposición pública de estos fallos sin parches disponibles plantea un riesgo sistémico, sobre todo en sectores críticos”, afirma Javier Olivares, CISO de una entidad financiera española, quien recomienda priorizar la monitorización y el aislamiento de los sistemas afectados.

Implicaciones para Empresas y Usuarios

Las organizaciones que utilizan Ivanti EPM deben actuar con máxima diligencia, no solo para protegerse frente a ataques inmediatos, sino también para cumplir con exigencias regulatorias de GDPR, NIS2 y normativas sectoriales. Las brechas derivadas de estas vulnerabilidades pueden conllevar sanciones económicas severas, pérdida de reputación y, en el peor de los casos, la interrupción total de operaciones. Es imprescindible documentar todas las medidas adoptadas para demostrar la debida diligencia ante posibles auditorías o investigaciones posteriores.

Conclusiones

La publicación de 13 vulnerabilidades críticas sin parchear en Ivanti Endpoint Manager representa una amenaza inmediata para la seguridad de miles de organizaciones. La falta de respuesta ágil por parte del fabricante y la rápida explotación de estos fallos por actores maliciosos subrayan la necesidad de fortalecer los procesos de gestión de vulnerabilidades y respuesta ante incidentes. Los equipos de seguridad deben implementar medidas compensatorias sin demora y exigir mayor responsabilidad y transparencia a los proveedores de software empresarial.

(Fuente: www.securityweek.com)