Análisis técnico del malware utilizado en ataques contra Ivanti EPMM tras vulnerabilidades críticas

Introducción

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) ha publicado un reciente análisis detallado sobre el malware detectado en campañas activas que explotan vulnerabilidades críticas en Ivanti Endpoint Manager Mobile (EPMM). Este informe aporta información clave sobre los artefactos maliciosos, vectores de ataque y tácticas empleadas, lo que resulta esencial para los profesionales de ciberseguridad en un contexto de amenazas cada vez más sofisticadas contra soluciones de gestión de dispositivos móviles empresariales.

Contexto del Incidente o Vulnerabilidad

Durante el primer semestre de 2024, múltiples actores de amenazas han aprovechado vulnerabilidades críticas en Ivanti EPMM, una plataforma ampliamente utilizada para la gestión y protección de dispositivos móviles en entornos corporativos. Entre las vulnerabilidades más destacadas figuran CVE-2023-35078 y CVE-2023-35081, ambas de severidad crítica (CVSS 9.8), que permiten la ejecución remota de código sin autenticación previa. Estas brechas han sido explotadas en ataques dirigidos a sectores clave, incluyendo administración pública, energía, finanzas y salud.

Las campañas observadas han tenido como objetivo inicial el acceso persistente a la infraestructura de las organizaciones afectadas, permitiendo el despliegue de payloads adicionales y la exfiltración de datos sensibles. La rápida explotación de estas vulnerabilidades subraya la necesidad de una respuesta ágil y coordinada por parte de los equipos de seguridad.

Detalles Técnicos

Las vulnerabilidades CVE-2023-35078 y CVE-2023-35081 afectan a versiones de Ivanti EPMM anteriores a la 11.10.0.2. El vector de ataque principal consiste en el envío de peticiones HTTP maliciosas que permiten ejecutar comandos arbitrarios en el servidor EPMM. Una vez comprometido el sistema, los atacantes emplean herramientas y malware personalizados, así como frameworks conocidos como Metasploit y Cobalt Strike, para avanzar lateralmente y mantener la persistencia.

Entre los artefactos maliciosos identificados por CISA se encuentran:

– Web shells personalizados desplegados en entornos Linux, permitiendo la ejecución remota de comandos y la carga/descarga de archivos.
– Backdoors codificados en Python y Bash, utilizados para establecer canales de comunicación cifrados con servidores C2 (Comando y Control).
– Herramientas de reconocimiento y exfiltración, incluyendo scripts que recopilan información de configuración, credenciales y tokens de acceso.

En términos de TTP (Tácticas, Técnicas y Procedimientos), los atacantes han empleado técnicas alineadas con el framework MITRE ATT&CK, tales como:

– Initial Access: Exploitation of Public-Facing Application (T1190)
– Persistence: Web Shell (T1505.003)
– Command and Control: Application Layer Protocol (T1071)
– Credential Access: OS Credential Dumping (T1003)

Los indicadores de compromiso (IoC) incluyen hashes de archivos, direcciones IP de C2 y patrones de tráfico HTTP anómalo.

Impacto y Riesgos

Las consecuencias de la explotación de estas vulnerabilidades son significativas. Según datos de CISA y otras fuentes del sector, en torno al 17% de las organizaciones que emplean Ivanti EPMM a nivel global podrían estar potencialmente expuestas si no han aplicado los parches correspondientes. El impacto va desde la interrupción operativa hasta la filtración de información confidencial y el compromiso total de la red interna.

En el caso de entidades sujetas a la GDPR o la inminente Directiva NIS2, la materialización de estos riesgos puede conllevar sanciones económicas considerables, además de daños reputacionales y pérdida de confianza por parte de clientes y partners.

Medidas de Mitigación y Recomendaciones

CISA recomienda encarecidamente la actualización inmediata a la versión 11.10.0.2 o superior de Ivanti EPMM. Además, se insta a los responsables de seguridad a:

– Realizar auditorías forenses para identificar posibles compromisos previos.
– Monitorizar logs de acceso y tráfico de red en busca de IoC asociados a los TTP descritos.
– Implementar segmentación de red y limitar la exposición de interfaces EPMM a internet.
– Desplegar reglas de detección específicas en EDR y SIEM para los artefactos identificados.
– Revisar políticas de gestión de credenciales y fortalecer los controles de autenticación.

Opinión de Expertos

Varios analistas SOC y consultores de ciberseguridad coinciden en que el caso Ivanti EPMM ejemplifica la urgencia de mantener procesos de gestión de vulnerabilidades y respuesta a incidentes alineados con las mejores prácticas del sector. «La explotación de vulnerabilidades en soluciones de gestión de dispositivos móviles representa una amenaza crítica, especialmente en entornos híbridos y con teletrabajo», señala Javier Martín, CISO de una firma del IBEX 35.

Implicaciones para Empresas y Usuarios

Para las organizaciones, este incidente es un recordatorio de que las soluciones de gestión de endpoints no están exentas de riesgos y pueden convertirse en un vector de ataque con alto potencial disruptivo. Los responsables de TI y seguridad deben reforzar la monitorización continua y establecer procedimientos de respuesta específicos para plataformas EMM/MDM.

Desde la perspectiva de los usuarios, es crucial comprender que la seguridad de los dispositivos móviles empresariales depende tanto de la robustez de las plataformas como de la rapidez en la aplicación de actualizaciones y buenas prácticas operativas.

Conclusiones

El análisis publicado por CISA sobre el malware asociado a la explotación de Ivanti EPMM ofrece una visión precisa de la evolución de las amenazas y subraya la necesidad de una aproximación proactiva en la gestión de vulnerabilidades críticas. La colaboración entre fabricantes, CERTs y equipos de ciberseguridad es esencial para reducir la superficie de ataque y anticipar posibles escenarios de compromiso.

(Fuente: www.bleepingcomputer.com)