**CISA exige acción urgente ante vulnerabilidad crítica en Ivanti EPMM explotada como zero-day**
—
### 1. Introducción
La Agencia de Ciberseguridad y Seguridad de la Infraestructura de Estados Unidos (CISA) ha lanzado una alerta de máxima prioridad tras la detección de una vulnerabilidad crítica en Ivanti Endpoint Manager Mobile (EPMM), anteriormente conocido como MobileIron Core. La explotación activa de este zero-day ha obligado a CISA a dar a las agencias federales un plazo de tan solo cuatro días para proteger sus sistemas, evidenciando la gravedad y el alcance potencial del incidente.
—
### 2. Contexto del Incidente
Ivanti EPMM es una solución ampliamente desplegada en entornos corporativos y gubernamentales para la gestión, monitorización y control de dispositivos móviles. Durante las últimas semanas, varios equipos de respuesta a incidentes han reportado campañas de explotación activa dirigidas a esta plataforma, afectando tanto a entidades públicas como privadas.
El incidente se enmarca en un contexto de incremento de ataques a soluciones MDM (Mobile Device Management), cuyo compromiso puede derivar en el acceso total a la infraestructura móvil de una organización, permitiendo el movimiento lateral y la exfiltración de datos sensibles. En este caso, la vulnerabilidad identificada ha sido explotada en ataques dirigidos, con especial foco en organismos federales estadounidenses, aunque el alcance internacional es probable dada la popularidad del producto.
—
### 3. Detalles Técnicos
La vulnerabilidad, catalogada como CVE-2023-35078, presenta una calificación de severidad alta (CVSS 9.8) y permite la ejecución remota de código (RCE) sin autenticación previa. El vector de ataque principal consiste en el envío de solicitudes HTTP especialmente manipuladas a los endpoints de la API REST expuesta por Ivanti EPMM, permitiendo a atacantes externos ejecutar comandos arbitrarios con privilegios elevados.
#### Versiones afectadas
Las versiones vulnerables comprenden todas las releases de Ivanti EPMM hasta la 11.4 inclusive. Ivanti ha publicado parches para versiones 11.3 y 11.4, mientras que versiones más antiguas requieren actualización forzosa.
#### TTPs y herramientas asociadas
Según el marco MITRE ATT&CK, la explotación de CVE-2023-35078 se alinea con las siguientes técnicas:
– **T1190 (Exploitation of Remote Services)**: Compromiso de servicios expuestos.
– **T1133 (External Remote Services)**: Acceso remoto a través de servicios legítimos.
– **T1078 (Valid Accounts)**: Uso de credenciales obtenidas tras la explotación inicial.
Se han detectado indicadores de compromiso (IoC) como logs de acceso anómalos a la API, conexiones desde direcciones IP no habituales y presencia de shells inversos. Algunas campañas han utilizado frameworks como Cobalt Strike y Metasploit para el post-explotación y persistencia.
—
### 4. Impacto y Riesgos
La explotación de esta vulnerabilidad concede a los atacantes control total sobre la infraestructura móvil gestionada, permitiendo:
– Acceso y robo de datos corporativos y credenciales.
– Despliegue de malware o spyware en dispositivos móviles conectados.
– Movimiento lateral hacia otros activos críticos.
– Desactivación de políticas de seguridad y monitorización.
Según estimaciones independientes, más de 2.000 instancias de Ivanti EPMM expuestas a Internet podrían estar comprometidas. El impacto económico potencial es significativo, pudiendo superar los 20 millones de dólares en costes asociados a incidentes, sanciones regulatorias y recuperación.
—
### 5. Medidas de Mitigación y Recomendaciones
CISA ha ordenado la aplicación inmediata de los parches oficiales proporcionados por Ivanti antes de cuatro días desde la publicación de la alerta (según la Directiva de Remediación de Vulnerabilidades – BOD 22-01). Se recomienda a todas las organizaciones:
– **Actualizar a la última versión disponible** de Ivanti EPMM.
– **Restringir el acceso a la interfaz de administración** exclusivamente a redes internas o VPN.
– **Monitorizar logs** en busca de actividad sospechosa, especialmente accesos no autorizados a la API.
– **Realizar análisis forense** en instancias con signos de compromiso.
– **Implementar segmentación de red** para limitar el movimiento lateral.
– **Revisar integraciones con otros sistemas críticos** (Active Directory, correo, etc.).
—
### 6. Opinión de Expertos
Expertos en ciberseguridad, como Jake Williams (SANS Institute), advierten que “las soluciones MDM son objetivos de alto valor por su control sobre dispositivos móviles y acceso a información sensible. La falta de segmentación y de controles de acceso robustos agrava el riesgo ante vulnerabilidades como la de Ivanti”. Por otro lado, analistas de Mandiant han señalado la rapidez con la que actores avanzados han incorporado este exploit en campañas activas, subrayando la necesidad de aplicar parches de forma proactiva y no reactiva.
—
### 7. Implicaciones para Empresas y Usuarios
La explotación de CVE-2023-35078 pone de manifiesto la importancia de una gestión rigurosa de las soluciones MDM y la necesidad de controles adicionales, como el hardening continuo y la monitorización avanzada. Las empresas que no corrijan la vulnerabilidad podrían enfrentarse a sanciones bajo el RGPD o la directiva NIS2, especialmente si la brecha implica datos personales o servicios esenciales. Además, la confianza en la cadena de suministro tecnológica podría verse erosionada si los proveedores no ofrecen respuestas ágiles y transparentes.
—
### 8. Conclusiones
El reciente zero-day en Ivanti EPMM representa una amenaza crítica para organizaciones de todos los sectores, dada la sensibilidad de los dispositivos móviles gestionados y el potencial impacto operativo, económico y reputacional. La rápida respuesta exigida por CISA subraya la urgencia de aplicar parches, reforzar las buenas prácticas de seguridad y revisar la arquitectura de las soluciones MDM. Este incidente debe servir como recordatorio de la necesidad de anticipar la gestión de vulnerabilidades y de contar con planes de respuesta efectivos ante amenazas emergentes.
(Fuente: www.bleepingcomputer.com)