Ivanti EPMM enfrenta vulnerabilidades críticas de ejecución remota
Publicado el
Actualización de seguridad de Ivanti EPMM
Ivanti ha publicado actualizaciones de seguridad para abordar dos vulnerabilidades críticas en su software Endpoint Manager Mobile (EPMM) que están siendo explotadas en ataques de zero-day. La Agencia de Ciberseguridad e Infraestructura de EE.UU. (CISA) ha incluido uno de estos fallos en su catálogo de Conocidas Vulnerabilidades Explotadas (KEV).
### Detalles de las vulnerabilidades
Las vulnerabilidades son las siguientes: - CVE-2026-1281 (puntuación CVSS: 9.8): Permite la ejecución remota de código no autenticada mediante inyección de código. - CVE-2026-1340 (puntuación CVSS: 9.8): También permite la ejecución remota de código no autenticada por inyección de código.
Estas fallas afectan a las versiones de EPMM 12.5.0.0 y anteriores, 12.6.0.0 y anteriores, así como 12.7.0.0 y anteriores, y se corregirán en la versión 12.8.0.0, que se espera que se lance en el primer trimestre de 2026.
### Contexto del riesgo
Ivanti ha indicado que es consciente de un número muy limitado de clientes cuyas soluciones han sido comprometidas al momento de la divulgación. No obstante, la compañía no dispone de suficiente información sobre las tácticas de los actores de la amenaza para proporcionar indicadores confiables.
Las vulnerabilidades afectan las características de Distribución de Aplicaciones In-House y de Transferencia de Archivos Android. Es importante destacar que no afectan a otros productos de Ivanti, como Ivanti Neurons for MDM, Ivanti Endpoint Manager (EPM) o Ivanti Sentry.
### Métodos de explotación
La compañía ha observado que, en ataques anteriores a vulnerabilidades más antiguas en EPMM, se han utilizado técnicas de persistencia como el despliegue de web shells y reverse shells. La explotación exitosa de EPMM permite la ejecución arbitraria de código en el dispositivo, lo que podría facilitar el movimiento lateral dentro de la red conectada, además de acceder a información sensible sobre los dispositivos gestionados.
### Recomendaciones para los usuarios
Se aconseja a los usuarios que revisen los registros de acceso de Apache en "/var/log/httpd/https-access_log" en busca de signos de explotación. Un patrón de expresión regular útil es: `^(?!127\.0\.0\.1:\d+ .*$).*?\/mifs\/c\/(aft|app)store\/fob\/.*?404`
El uso legítimo de estas capacidades generará códigos de respuesta HTTP 200, mientras que una explotación exitosa o intentos fallidos provocarán códigos 404.
Además, los administradores de EPMM deben revisar cambios en la configuración, como nuevos administradores, configuraciones de autenticación, aplicaciones móviles recién añadidas y políticas modificadas.
En caso de detectar signos de compromiso, Ivanti recomienda restaurar el dispositivo EPMM desde una copia de seguridad conocida y realizar cambios críticos para asegurar el entorno, incluyendo: - Restablecimiento de contraseñas de cuentas locales y de servicio. - Revocación y reemplazo de certificados públicos utilizados por EPMM.
### Implicaciones para las organizaciones
Dado que los ataques han explotado estas vulnerabilidades como zero-days, las organizaciones que actualmente expongan instancias vulnerables a Internet deben considerar que han sido comprometidas y deberían implementar inmediatamente procesos de respuesta a incidentes.
CISA ha requerido que las agencias del Federal Civilian Executive Branch (FCEB) apliquen las actualizaciones antes del 1 de febrero de 2026.
### Conclusión
Aunque Ivanti ha proporcionado parches, la empresa advierte que aplicar solo estas actualizaciones no es suficiente. Las organizaciones deben tomar medidas proactivas para proteger su infraestructura y datos frente a potenciales ataques.