Ivanti EPMM bajo ataque: CISA revela nuevas familias de malware tras explotación de vulnerabilidades

Introducción

El pasado jueves, la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) publicó información detallada sobre la detección de dos nuevas familias de malware en la red de una organización no identificada. El acceso inicial de los actores de amenaza se produjo tras la explotación de vulnerabilidades críticas en Ivanti Endpoint Manager Mobile (EPMM), una solución ampliamente desplegada en entornos corporativos para la gestión de dispositivos móviles. El hallazgo subraya la sofisticación de los ataques dirigidos a infraestructuras críticas y la necesidad de una respuesta ágil y coordinada por parte de los equipos de ciberseguridad.

Contexto del Incidente o Vulnerabilidad

Ivanti EPMM, anteriormente conocido como MobileIron Core, es una plataforma utilizada para el control y la administración de dispositivos móviles en grandes organizaciones. Durante el primer semestre de 2024, Ivanti reconoció múltiples vulnerabilidades de severidad crítica (algunas con CVSS ≥ 9.0), incluidas CVE-2023-35078 y CVE-2023-35081, que permiten la ejecución remota de código (RCE) y escalada de privilegios. Diversos informes han documentado la explotación activa de estas vulnerabilidades por parte de grupos APT y actores motivados financieramente, aprovechando la exposición de servicios EPMM a Internet.

Detalles Técnicos

CISA identificó dos conjuntos diferenciados de malware, cada uno con su propio cargador (“loader”) y un “listener” malicioso que posibilitaba la ejecución arbitraria de código en los servidores comprometidos. Los artefactos detectados incluyen binarios personalizados de tipo dropper y shellcode inyectado en memoria, diseñados para evadir soluciones EDR y antimalware tradicionales.

– CVEs implicadas: CVE-2023-35078 (RCE no autenticada a través de la API de configuración); CVE-2023-35081 (escalada de privilegios mediante manipulación de ficheros).
– Vectores de ataque: Peticiones HTTP(S) especialmente manipuladas a endpoints de administración expuestos; explotación de APIs REST no autenticadas; uso de credenciales obtenidas y movimientos laterales posteriores.
– TTPs según MITRE ATT&CK: T1190 (Exploitation of Public-Facing Application), T1059 (Command and Scripting Interpreter), T1105 (Ingress Tool Transfer), T1055 (Process Injection).
– Indicadores de compromiso (IoC): Hashes SHA256 de los cargadores y listeners, rutas de instalación inusuales, conexiones de red salientes a C2 encubiertos bajo tráfico HTTPS legítimo. Se detectaron además persistencias mediante tareas programadas y modificación de archivos de configuración propios de EPMM.

Al menos uno de los conjuntos utiliza técnicas de living-off-the-land, ejecutando scripts PowerShell y binaries legítimos del sistema para dificultar la detección. Se han documentado variantes empaquetadas con UPX y cifrado personalizado en las cadenas de comunicación.

Impacto y Riesgos

El compromiso de Ivanti EPMM expone a las organizaciones a una amplia gama de amenazas, incluyendo:

– Despliegue de ransomware a través de dispositivos móviles gestionados.
– Robo de credenciales corporativas y datos sensibles almacenados en dispositivos.
– Movimientos laterales hacia otras partes de la infraestructura interna.
– Pérdida de integridad en el canal de administración de dispositivos y potencial violación de la confidencialidad, disponibilidad y trazabilidad exigidas por GDPR y NIS2.

Según datos de CISA y otros CSIRTs, se estima que hasta un 12% de las instancias globales de EPMM podrían haber estado expuestas antes de la publicación de los parches, afectando a sectores críticos como sanidad, finanzas y administración pública.

Medidas de Mitigación y Recomendaciones

CISA recomienda las siguientes acciones inmediatas:

– Aplicar urgentemente los parches de seguridad de Ivanti EPMM (versiones posteriores a la 11.11.0.0).
– Revisar exhaustivamente los logs de acceso y administración de EPMM, buscando patrones anómalos y los IoC publicados.
– Segmentar y restringir el acceso a la consola de administración de EPMM, evitando su exposición a Internet.
– Implementar MFA robusto y rotación de credenciales asociadas a EPMM.
– Realizar un análisis forense de los servidores comprometidos y monitorizar comunicaciones salientes sospechosas.

Las mejores prácticas también recomiendan incluir reglas YARA actualizadas y scripts de detección específicos en los SIEM y EDR.

Opinión de Expertos

Expertos del sector, como Jake Williams (ex-NSA y fundador de Rendition Infosec), subrayan que “la explotación de soluciones MDM es especialmente crítica, ya que estos sistemas tienen permisos elevados sobre miles de endpoints”. Por su parte, la consultora S21sec advierte que la sofisticación modular del malware detectado sugiere la posible implicación de actores APT, lo que aumenta el riesgo de ataques persistentes y dirigidos.

Implicaciones para Empresas y Usuarios

La explotación de vulnerabilidades en Ivanti EPMM pone en entredicho la seguridad de la gestión centralizada de dispositivos, un pilar fundamental en los entornos de trabajo híbrido y remoto. Las empresas afectadas no solo enfrentan riesgos operativos y económicos (el coste medio de un incidente de este tipo supera los 2,6 millones de euros, según IBM), sino también posibles sanciones regulatorias bajo GDPR y NIS2 por la exposición de datos personales y servicios esenciales.

Conclusiones

La alerta de CISA pone de manifiesto la urgencia de reforzar la seguridad en soluciones de gestión de dispositivos móviles e intensificar la monitorización de actividad sospechosa tras la aplicación de parches. Las amenazas descritas evidencian la evolución del cibercrimen hacia ataques más dirigidos y persistentes sobre infraestructuras críticas. Los equipos de ciberseguridad deben priorizar la respuesta proactiva y la actualización continua de sus capacidades defensivas para mitigar el impacto de estas campañas.

(Fuente: feeds.feedburner.com)