AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Hackers combinan vulnerabilidades en Ivanti EPMM para robar credenciales y desplegar malware

admin

Introducción

La reciente cadena de ataques dirigida contra Ivanti Endpoint Manager Mobile (EPMM) ha puesto de manifiesto la creciente sofisticación de las amenazas dirigidas a infraestructuras críticas de movilidad empresarial. La Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) ha publicado un análisis exhaustivo sobre la explotación activa de dos vulnerabilidades encadenadas en Ivanti EPMM, utilizadas para la exfiltración de información sensible, el volcado de credenciales y la ejecución de código malicioso. Este incidente subraya la urgencia de una gestión de vulnerabilidades proactiva y la necesidad de reforzar las medidas de defensa en profundidad en entornos móviles corporativos.

Contexto del Incidente

A principios de 2024, múltiples organizaciones reportaron intrusiones que afectaban a sus instancias de Ivanti EPMM, un sistema ampliamente utilizado para la gestión y administración de dispositivos móviles en empresas de todos los sectores. Los atacantes, presuntamente actores de amenazas avanzadas (APT), aprovecharon dos vulnerabilidades de día cero (CVE-2023-35078 y CVE-2023-35081) de manera encadenada, permitiendo el acceso no autorizado y escalado de privilegios. Según CISA, estos incidentes no solo afectaron a empresas privadas sino también a agencias gubernamentales, lo que incrementa el nivel de criticidad de la amenaza.

Detalles Técnicos

Las vulnerabilidades explotadas, CVE-2023-35078 (autenticación insuficiente en la API de configuración) y CVE-2023-35081 (path traversal y escritura arbitraria de archivos), permiten a un atacante remoto eludir mecanismos de autenticación y tomar control del sistema afectado. El vector de ataque se inicia mediante el acceso a la API REST sin autenticación, seguido de la escritura de archivos maliciosos en el sistema mediante path traversal.

Los atacantes emplearon TTPs alineados con técnicas MITRE ATT&CK como T1190 (Exploitation of Public-Facing Application), T1003 (Credential Dumping) y T1059 (Command and Scripting Interpreter). El análisis forense realizado por CISA identificó el uso de scripts personalizados y herramientas típicas de post-explotación, así como la presencia de malware que permitía la persistencia, la exfiltración de información y la ejecución remota de comandos arbitrarios. Se han detectado indicadores de compromiso (IoC) tales como hashes de archivos, rutas de archivos sospechosas y direcciones IP maliciosas asociadas a infraestructura de C2.

Entre los artefactos identificados se encuentran scripts de PowerShell y binarios ofuscados, además de evidencias de despliegue de frameworks como Cobalt Strike para movimientos laterales y persistencia. Según los reportes, algunos exploits ya han sido integrados en frameworks como Metasploit, incrementando el riesgo de explotación masiva.

Impacto y Riesgos

La explotación exitosa de estas vulnerabilidades permite a los atacantes obtener acceso privilegiado al entorno de gestión de dispositivos móviles, con capacidad para recolectar información del sistema, capturar credenciales almacenadas, desplegar malware adicional y modificar políticas de seguridad a su favor. El alcance de la amenaza es significativo: según estimaciones independientes, más del 20% de los despliegues de Ivanti EPMM a nivel global estaban potencialmente expuestos en el momento de la publicación del primer aviso.

El impacto puede ir desde la interrupción de operaciones críticas hasta el compromiso total de la red interna, incluyendo la posible violación de datos personales sujetos a la legislación GDPR y NIS2. El coste económico de una intrusión exitosa puede superar los 500.000 euros por incidente, considerando tanto los costes directos de remediación como las posibles sanciones regulatorias.

Medidas de Mitigación y Recomendaciones

Ivanti ha publicado parches para ambas vulnerabilidades y recomienda encarecidamente su aplicación inmediata. Para los equipos de seguridad, se recomienda:

– Actualizar todas las instancias de Ivanti EPMM a la última versión disponible, verificando la aplicación correcta de los parches para CVE-2023-35078 y CVE-2023-35081.
– Monitorizar los logs de acceso a la API y buscar patrones anómalos o no autorizados.
– Implementar reglas de detección específicas en EDR/SIEM basadas en los IoC publicados por CISA.
– Segmentar la red para limitar el acceso entre sistemas de gestión de movilidad y recursos críticos.
– Revisar y fortalecer las políticas de autenticación, incluyendo el uso de MFA y la restricción del acceso a la consola de administración.
– Realizar auditorías periódicas de credenciales y rotarlas en caso de sospecha de exposición.

Opinión de Expertos

Expertos en ciberseguridad consultados por SecurityWeek y CISA coinciden en destacar la peligrosidad de las vulnerabilidades encadenadas, especialmente en sistemas que tradicionalmente se consideran de alta confianza. «El vector de ataque demuestra una clara tendencia hacia la explotación de plataformas de gestión centralizadas, cuya seguridad se asume erróneamente», afirma un analista de amenazas de Mandiant. Desde el punto de vista legal, consultores de cumplimiento advierten sobre la obligación de notificación bajo GDPR y la inminente entrada en vigor de NIS2, que endurece los requisitos de gestión de incidentes y resiliencia.

Implicaciones para Empresas y Usuarios

Las organizaciones deben reevaluar su estrategia de gestión de dispositivos móviles y priorizar la seguridad de las plataformas MDM/EMM como activos críticos. Se recomienda la inclusión de estas soluciones en los ejercicios de pentesting y Red Team, así como la formación específica de los administradores y usuarios sobre los riesgos asociados. La tendencia a la integración con servicios en la nube y la movilidad híbrida incrementa la superficie de ataque, por lo que la vigilancia continua y la actualización proactiva son esenciales para mitigar futuros ataques.

Conclusiones

El incidente de Ivanti EPMM evidencia la necesidad de una vigilancia constante en el ecosistema de gestión de movilidad empresarial. La explotación de vulnerabilidades encadenadas, junto a la rápida disponibilidad de exploits públicos, expone a las organizaciones a riesgos críticos de seguridad, cumplimiento y continuidad operativa. La respuesta rápida, la aplicación de parches y la colaboración con organismos como CISA son clave para fortalecer la postura defensiva frente a amenazas cada vez más sofisticadas.

(Fuente: www.securityweek.com)