AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Urgencia máxima: CISA ordena a las agencias federales blindar Ivanti EPMM ante vulnerabilidad crítica explotada activamente**

admin

### 1. Introducción

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una directiva de emergencia exigiendo a todas las agencias federales que refuercen en un plazo máximo de cuatro días la seguridad de sus sistemas Ivanti Endpoint Manager Mobile (EPMM), tras la detección de una vulnerabilidad crítica que está siendo explotada activamente desde enero de 2024. El mandato pone de manifiesto la gravedad de la amenaza y la rapidez con la que los actores maliciosos están aprovechando esta debilidad en el software ampliamente implementado en entornos corporativos y gubernamentales.

### 2. Contexto del Incidente o Vulnerabilidad

El incidente llega en un momento de creciente presión sobre los organismos gubernamentales para reforzar sus defensas ante la proliferación de ataques dirigidos a infraestructuras críticas. Ivanti EPMM, anteriormente conocido como MobileIron Core, es una solución de gestión unificada de dispositivos móviles utilizada para administrar y proteger terminales iOS y Android en redes empresariales de alta criticidad.

Desde principios de 2024, múltiples fuentes de inteligencia han alertado sobre el uso de exploits dirigidos a una vulnerabilidad de ejecución remota de código (RCE) en EPMM, permitiendo a atacantes acceder, controlar o manipular dispositivos gestionados sin autenticación previa. La CISA ha añadido la vulnerabilidad al catálogo de vulnerabilidades explotadas conocidas (KEV), lo que implica una amenaza real y activa para organismos federales y potencialmente para organizaciones privadas a nivel global.

### 3. Detalles Técnicos

La vulnerabilidad, identificada como **CVE-2024-24919**, afecta a versiones de Ivanti EPMM anteriores a la 11.10.0.2, 11.9.1.1 y 11.8.1.1. Esta falla permite a un atacante no autenticado ejecutar comandos arbitrarios en el sistema vulnerable a través de la interfaz de administración web, empleando vectores de ataque que incluyen peticiones HTTP especialmente diseñadas para evadir controles de autenticación y autorización.

#### Vectores de ataque y TTPs (MITRE ATT&CK):

– **T1036 – Masquerading:** Los atacantes emplean técnicas de camuflaje para disfrazar el tráfico malicioso como legítimo.
– **T1190 – Exploit Public-Facing Application:** El acceso inicial se obtiene explotando la interfaz pública de administración de EPMM.
– **T1059 – Command and Scripting Interpreter:** Tras la explotación, el atacante puede ejecutar scripts o comandos en el sistema comprometido.

#### IoCs y explotación conocida:

– **Dominios y direcciones IP:** Se han detectado IPs asociadas a infraestructura de Cobalt Strike y proxies anónimos utilizados por actores APT.
– **Exploits públicos:** Herramientas y módulos para Metasploit se han observado circulando en foros underground, lo que facilita la automatización de ataques.
– **Indicadores en logs:** Peticiones HTTP anómalas a rutas como `/mifs/aad/api/fetch` o `/v1/api/`, con payloads sospechosos, son señales de explotación.

### 4. Impacto y Riesgos

La explotación de CVE-2024-24919 puede permitir a los atacantes:

– Tomar control completo de dispositivos gestionados.
– Acceder a información confidencial, credenciales y datos personales.
– Desplegar malware, ransomware o establecer persistencia en la infraestructura.
– Pivotar hacia otros sistemas internos, facilitando movimientos laterales.

Según estimaciones de la propia CISA, más del 60% de las agencias gubernamentales estadounidenses utilizan versiones vulnerables de Ivanti EPMM, mientras que en el sector privado la implantación alcanza a grandes bancos, hospitales y compañías del Fortune 500. El potencial impacto económico, en caso de explotación masiva, podría superar los 100 millones de dólares en costes directos e indirectos, considerando la interrupción de servicios, gestión de incidentes y cumplimiento normativo (GDPR, NIS2).

### 5. Medidas de Mitigación y Recomendaciones

CISA ha ordenado las siguientes acciones inmediatas:

– **Aplicación de parches:** Actualizar Ivanti EPMM a versiones 11.10.0.2, 11.9.1.1 o 11.8.1.1, o superiores, sin demora.
– **Monitorización avanzada:** Revisar logs de acceso, identificar patrones anómalos y aplicar reglas de detección específicas en SIEM y EDR.
– **Restricción de acceso:** Limitar la exposición de la consola de administración a direcciones IP confiables mediante firewall y VPN.
– **Despliegue de controles compensatorios:** Implementar autenticación multifactor (MFA) y segmentación de red.
– **Desconexión de sistemas afectados:** En caso de detección de actividad sospechosa, aislar inmediatamente los sistemas para evitar la propagación.

### 6. Opinión de Expertos

Especialistas del sector, como Juan Garrido (pentester y consultor en S21sec), subrayan que “la aparición de exploits públicos y la facilidad de explotación hacen de esta vulnerabilidad un objetivo prioritario para grupos de ransomware y APTs, especialmente aquellos con interés en espionaje industrial o sabotaje”. Por su parte, la European Union Agency for Cybersecurity (ENISA) ha emitido alertas similares, destacando la importancia de la actualización inmediata y la revisión forense de los sistemas potencialmente comprometidos.

### 7. Implicaciones para Empresas y Usuarios

Las organizaciones deben considerar este incidente como un aviso crítico de la creciente sofisticación y rapidez con la que los atacantes explotan vulnerabilidades conocidas. La gestión diligente del ciclo de vida de los parches, el despliegue de controles de acceso y la monitorización proactiva son elementos clave para reducir la superficie de ataque. A nivel usuario, el compromiso de dispositivos móviles puede derivar en fugas de datos personales y empresariales, afectando no solo a la reputación sino también al cumplimiento de regulaciones como GDPR y NIS2, con sanciones económicas considerables.

### 8. Conclusiones

La reacción urgente de la CISA ante la vulnerabilidad crítica en Ivanti EPMM debe servir como recordatorio para todo el sector de la necesidad de mantener una vigilancia constante y una respuesta ágil ante amenazas emergentes. La rápida explotación por parte de actores maliciosos, sumada a la disponibilidad de exploits públicos, requiere una coordinación efectiva entre equipos de seguridad, proveedores y organismos reguladores para mitigar los riesgos y proteger la infraestructura crítica.

(Fuente: www.bleepingcomputer.com)