Vulnerabilidades de día cero en Ivanti EPMM (CVE-2026-1281, CVE-2026-1340)

Ivanti ha revelado y parcheado dos vulnerabilidades de seguridad críticas que afectan a Ivanti Endpoint Manager Mobile (EPMM) y que han sido explotadas activamente en ataques de día cero. Los fallos, rastreados como CVE-2026-1281 y CVE-2026-1340, permiten la ejecución remota de código sin autenticación y tienen una puntuación CVSS de 9,8, lo que los sitúa entre las clases de vulnerabilidades más graves. Una de las vulnerabilidades se ha añadido al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA, lo que aumenta significativamente la urgencia de su corrección, especialmente en los entornos federales de Estados Unidos.

Estas vulnerabilidades permiten a los atacantes poner en peligro los dispositivos EPMM expuestos sin credenciales válidas, lo que potencialmente otorga un control total sobre los sistemas que gestionan y almacenan datos confidenciales de configuración de dispositivos móviles y de la empresa.

Resumen de vulnerabilidades

CVE-2026-1281 y CVE-2026-1340 son vulnerabilidades de inyección de código en Ivanti EPMM que permiten a los atacantes ejecutar comandos arbitrarios de forma remota y sin autenticación. Los problemas se derivan de un manejo inadecuado de las entradas en las funciones de distribución de aplicaciones internas y configuración de transferencia de archivos de Android de EPMM. Una explotación exitosa resulta en la ejecución directa de código en el propio dispositivo, creando un escenario de alto riesgo dado el papel privilegiado de EPMM dentro de los entornos empresariales.

Las vulnerabilidades afectan a múltiples versiones soportadas de Ivanti EPMM, incluyendo las versiones 12.5.x, 12.6.x y 12.7.x. Ivanti ha publicado parches provisionales basados en RPM para las versiones afectadas; sin embargo, estos parches no persisten a través de actualizaciones de versión y deben volver a aplicarse si se actualiza el dispositivo. Se espera una solución permanente con el lanzamiento de la versión 12.8.0.0 de EPMM, prevista para finales del primer trimestre de 2026.

Es importante destacar que Ivanti ha declarado que ningún otro producto Ivanti se ve afectado por estas vulnerabilidades, incluyendo Ivanti Neurons para MDM, Ivanti Endpoint Manager (EPM) e Ivanti Sentry.

Riesgo de Explotación y Post-Compromiso

Ivanti ha confirmado que un número limitado de clientes fueron activamente explotados antes de la divulgación pública, aunque la compañía señaló que actualmente carece de suficiente visibilidad de las herramientas y la infraestructura de los actores de amenazas para publicar indicadores atómicos fiables de compromiso. Basándose en ataques históricos contra vulnerabilidades anteriores de EPMM, Ivanti evalúa que los atacantes suelen establecer la persistencia a través de shells web o shells inversos desplegados directamente en el dispositivo comprometido.

Una vez comprometido un sistema EPMM, los atacantes adquieren la capacidad de ejecutar código arbitrario, acceder a datos confidenciales relacionados con los dispositivos gestionados y, potencialmente, pivotar lateralmente en entornos empresariales conectados. Dado que los dispositivos EPMM a menudo se encuentran en la intersección de la identidad, la gestión de dispositivos y el acceso a la red, un ataque exitoso puede tener implicaciones de seguridad en cascada mucho más allá del propio dispositivo.

Orientación para la detección

Dada la falta de indicadores detallados, la detección se basa actualmente en el análisis de registros y la revisión de la configuración. Ivanti aconseja a los clientes que inspeccionen los registros de acceso de Apache ubicados en /var/log/httpd/https-access_log en busca de solicitudes sospechosas dirigidas a puntos finales vulnerables. Las solicitudes que devuelven respuestas HTTP 404, en lugar de las esperadas respuestas 200 asociadas con el uso legítimo, pueden indicar un intento de explotación o el éxito de la misma. Ivanti ha proporcionado una expresión regular para ayudar a identificar estas entradas y recomienda correlacionar los resultados con las marcas de tiempo y las direcciones IP de origen.

Además del análisis de registros, se recomienda a las organizaciones que revisen las cuentas administrativas de EPMM en busca de cambios no autorizados, que examinen las configuraciones de autenticación como LDAP y SSO, y que analicen las políticas de dispositivos recién creadas o modificadas y las aplicaciones enviadas. Los cambios inesperados en la configuración de red o VPN distribuidos a través de EPMM también deben tratarse como indicadores potenciales de compromiso.

Qué debe hacer

Las organizaciones que utilizan Ivanti EPMM deben tratar estas vulnerabilidades como un riesgo inmediato y de alta gravedad. La primera prioridad debe ser la aplicación de los parches RPM emitidos por Ivanti a todas las instancias EPMM afectadas, teniendo en cuenta que estos parches deben volver a aplicarse después de cualquier actualización de versión hasta que se despliegue EPMM 12.8.0.0. Los dispositivos EPMM orientados a Internet deben considerarse de alto riesgo y priorizarse en consecuencia.

Paralelamente a la aplicación de parches, los equipos deben llevar a cabo una revisión exhaustiva de los registros de acceso a Apache y de los ajustes de configuración de EPMM para identificar cualquier indicio de explotación. Dado que Ivanti no recomienda intentar limpiar manualmente un dispositivo comprometido, cualquier indicio de explotación exitosa debería desencadenar un proceso de recuperación completo. Esto implica restaurar el dispositivo a partir de una copia de seguridad en buen estado realizada antes del ataque o crear una nueva instancia de EPMM y migrar los datos limpios a ella.

Tras la recuperación, las organizaciones deben asumir la exposición de las credenciales y tomar medidas correctivas restableciendo todas las contraseñas de las cuentas locales de EPMM, rotando las credenciales de las cuentas de servicio LDAP y Kerberos, y revocando y sustituyendo cualquier certificado público utilizado por el dispositivo EPMM. Debe aplicarse un escrutinio adicional a los sistemas y servicios conectados en busca de signos de movimiento lateral, especialmente en entornos en los que EPMM se integra con controles de acceso de identidad o de red.

Por último, los equipos de seguridad deben actualizar sus manuales de gestión de vulnerabilidades y respuesta a incidentes para incluir explícitamente EPMM y dispositivos de infraestructura similares como objetivos de alto valor. La supervisión continua de la actividad saliente anómala de los sistemas EPMM y la validación proactiva de las copias de seguridad ayudarán a reducir el tiempo de permanencia y a limitar el impacto si se producen futuros intentos de explotación.

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente,póngase en contactopara averiguar cómo puede proteger su organización.