AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Un actor de amenazas domina la explotación activa de fallos críticos en Ivanti EPMM

admin

Introducción

La reciente oleada de ataques dirigidos a Ivanti Endpoint Manager Mobile (EPMM), anteriormente conocido como MobileIron Core, ha encendido las alarmas en la comunidad de ciberseguridad. Dos vulnerabilidades críticas, identificadas como CVE-2026-21962 y CVE-2026-24061, están siendo explotadas activamente, y los análisis de threat intelligence señalan a un único actor de amenazas como el principal responsable de la mayoría de los ataques observados. Este artículo analiza en profundidad el contexto, los detalles técnicos y las implicaciones de estos incidentes, así como las recomendaciones para mitigar el riesgo en entornos empresariales.

Contexto del Incidente o Vulnerabilidad

Ivanti EPMM es una solución ampliamente desplegada en entornos empresariales para la gestión de dispositivos móviles y la protección de endpoints. Su presencia en el mercado, especialmente en sectores críticos como administración pública, sanidad y finanzas, la convierte en un objetivo prioritario para actores maliciosos.

Durante las últimas semanas, los sistemas de monitorización de amenazas han detectado una escalada significativa en la explotación de dos vulnerabilidades recientemente publicadas. Según los informes, la explotación activa comenzó poco tiempo después de la divulgación de los fallos, lo que sugiere que los atacantes ya estaban preparados o pudieron desarrollar exploits funcionales con gran celeridad. El hecho de que un solo actor de amenazas concentre la mayoría de las intrusiones subraya la sofisticación y los recursos invertidos en estas campañas.

Detalles Técnicos

Las dos vulnerabilidades críticas, CVE-2026-21962 y CVE-2026-24061, afectan a múltiples versiones de Ivanti EPMM, especialmente aquellas no actualizadas a los últimos parches de seguridad.

– **CVE-2026-21962**: Se trata de una vulnerabilidad de ejecución remota de comandos (RCE) sin autenticación, atribuida a una validación insuficiente de las entradas proporcionadas por el usuario en la interfaz web administrativa. Permite a un atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con privilegios elevados.
– **CVE-2026-24061**: Esta vulnerabilidad corresponde a un fallo de escalada de privilegios que, explotado junto con la anterior, posibilita a un atacante tomar el control completo del sistema afectado.

Ambas vulnerabilidades han sido catalogadas con una puntuación CVSS de 9,8, dada la posibilidad de explotación remota, el bajo requerimiento de privilegios previos y el alto impacto en la confidencialidad, integridad y disponibilidad de los sistemas afectados.

Los vectores de ataque identificados incluyen el envío de peticiones HTTP especialmente manipuladas a endpoints específicos de la API de Ivanti EPMM. Según la taxonomía MITRE ATT&CK, las TTPs asociadas corresponden a las técnicas T1190 (Exploitation of Remote Services) y T1059 (Command and Scripting Interpreter).

Los principales Indicadores de Compromiso (IoCs) detectados hasta ahora incluyen:

– Direcciones IP de origen asociadas a infraestructura maliciosa previamente utilizada en campañas APT.
– Peticiones HTTP POST/GET con payloads sospechosos en rutas administrativas.
– Creación de cuentas de usuario no autorizadas y modificaciones de archivos de configuración críticos.

Se han documentado pruebas de concepto (PoC) y módulos de explotación en frameworks como Metasploit y Cobalt Strike, facilitando la automatización de los ataques.

Impacto y Riesgos

El impacto de estas vulnerabilidades es crítico. La explotación exitosa permite a un atacante:

– Ejecución remota de código con privilegios de sistema.
– Acceso a información sensible gestionada por EPMM, incluyendo credenciales, políticas de seguridad y datos de dispositivos móviles corporativos.
– Despliegue de malware o ransomware en la red interna a través de la plataforma comprometida.

Según estimaciones, al menos un 30% de las instalaciones de EPMM a nivel mundial continúan siendo vulnerables, especialmente en entornos donde los ciclos de actualización son lentos o dependen de integradores externos. El potencial de daño abarca desde la interrupción operativa hasta la posible violación de normativas como GDPR y NIS2, con sanciones económicas que pueden superar los 20 millones de euros en caso de filtración de datos personales.

Medidas de Mitigación y Recomendaciones

Ivanti ha publicado parches de seguridad que corrigen ambos fallos. Se recomienda encarecidamente:

– Aplicar inmediatamente las actualizaciones de seguridad proporcionadas para todas las versiones afectadas de EPMM.
– Auditar los sistemas en busca de IoCs asociados a estas vulnerabilidades.
– Restringir el acceso a la interfaz administrativa de EPMM mediante control de acceso a nivel de red (ACLs, VPN, segmentación).
– Implementar monitorización avanzada para detectar patrones anómalos de acceso y ejecución de comandos.
– Revisar y reforzar políticas de gestión de credenciales y autenticación multifactor.

Opinión de Expertos

Analistas de ciberseguridad consultados advierten que la rapidez y coordinación de los ataques sugieren “una organización con experiencia previa en la explotación de soluciones MDM y acceso a recursos avanzados para el desarrollo de exploits”. Recomiendan que los equipos de respuesta a incidentes prioricen la revisión de sistemas Ivanti EPMM y refuercen los mecanismos de detección de movimientos laterales vinculados a la explotación inicial.

Implicaciones para Empresas y Usuarios

Las organizaciones que dependen de Ivanti EPMM deben considerar la revisión exhaustiva de sus infraestructuras móviles y la actualización proactiva como parte de su estrategia de ciberhigiene. El riesgo de filtración masiva de datos corporativos y personales, así como el potencial para ser vectores de ataque a través de dispositivos móviles, eleva la criticidad de la respuesta.

Además, la explotación de estos fallos puede tener implicaciones legales directas, especialmente en sectores regulados por GDPR y NIS2, donde la notificación y la gestión diligente de incidentes de seguridad son obligatorias.

Conclusiones

La explotación activa de las vulnerabilidades CVE-2026-21962 y CVE-2026-24061 en Ivanti EPMM pone de manifiesto la importancia de una gestión proactiva de vulnerabilidades y la necesidad de colaboración entre fabricantes, equipos de seguridad y usuarios finales. La pronta aplicación de medidas correctoras y la monitorización continua son esenciales para mitigar el riesgo frente a actores de amenazas cada vez más coordinados y sofisticados.

(Fuente: www.bleepingcomputer.com)