Ir al contenido principal

Nuevas vulnerabilidades críticas en Ivanti EPMM: ¿qué pasó y por qué te debería preocupar?

 

Imagen sobre las nuevas vulnerabilidades 

La Agencia de Seguridad en Infraestructura y Ciberseguridad de EE. UU. (CISA) acaba de emitir una alerta que no se puede ignorar para cualquier organización que utilice Ivanti Endpoint Manager Mobile (EPMM). Dos fallas ya parcheadas, identificadas como CVE-2025-4427 y CVE-2025-4428, han sido explotadas activamente para comprometer servidores, ejecutar código arbitrario y abrir puertas traseras muy peligrosas. A continuación, te explico cómo funcionan, quiénes podrían estar afectados, y qué medidas tomar de inmediato.

Detalles técnicos: las vulnerabilidades y cómo se explotaron

CVE-2025-4427 — Bypass de autenticación

  • Esta vulnerabilidad permite que un actor remoto omita los requisitos de autenticación en ciertos endpoints API protegidos de Ivanti EPMM (versión 12.5.0.0 y anteriores).

  • Con este bypass, se puede acceder a recursos protegidos sin credenciales válidas.

CVE-2025-4428 — Ejecución remota de código (RCE)

  • Esta otra vulnerabilidad permite ejecutar código arbitrario en el servidor mediante peticiones maliciosas API, aprovechando cómo se procesan ciertos parámetros

  • Se descubrió que los atacantes estaban usando inyecciones de “Expression Language” (EL) para lograr esto, combinando entradas codificadas, decodificaciones Base64, y ensamblado de clases Java dentro del servidor.

Cómo se usaron en ataque conjunto

  • Lo más peligroso es que estas dos vulnerabilidades se “encadenan”: primero se usa el bypass de autenticación de CVE-2025-4427 para lograr acceso inicial, y luego se aprovecha CVE-2025-4428 para ejecutar código malicioso en ese servidor comprometido.

  • Los ataques identificados usaron cargadores (“loaders”) y escuchas maliciosas (“malicious listeners”) instaladas en directorios temporales (/tmp) para lograr persistencia, interceptar peticiones HTTP específicas, procesar payloads codificados, y reconstruir clases que se ejecutan dinámicamente.

¿Quiénes están afectados?

  • Todas las organizaciones que operen versiones de Ivanti EPMM anteriores a las que ya incluyen los parches.

    Algunas versiones concretas señaladas como vulnerables incluyen:

    • 11.12.0.4 y anteriores

    • 12.3.0.1 y anteriores

    • 12.4.0.1 y anteriores

    • 12.5.0.0 y anteriores

  • Organizaciones que usan EPMM para gestión de dispositivos móviles, contenido o aplicaciones (MDM/MAM/MCM), especialmente si tienen servidores accesibles vía API desde redes externas.

Impacto real observado

  • Ya se ha documentado explotación in the wild de estas vulnerabilidades. No se trata solo de teoría: malware activo ha sido desplegado mediante estos vectores.

  • Algunos de los actos llevados a cabo tras explotar estas fallas incluyeron:

    • Recolección de información del sistema, listado de directorios raíz.

    • Descarga de archivos maliciosos, ejecución de scripts, creación de volcados (heapdumps).

    • Exfiltración de credenciales LDAP y otros datos sensibles.

Solución: cómo mitigar el riesgo

Dada la gravedad, estas son las acciones que se recomiendan inmediatamente:

  1. Actualizar Ivanti EPMM
    Instalar las versiones parcheadas tan pronto como sea posible. Las versiones fijas para cada línea vulnerable incluyen:

    • 11.12.0.5 para reemplazar 11.12.0.4 y anteriores

    • 12.3.0.2 vs 12.3.0.1 anteriores

    • 12.4.0.2 vs 12.4.0.1 anteriores

    • 12.5.0.1 vs 12.5.0.0 y anteriores

  2. Monitoreo proactivo

    • Revisar logs para detectar peticiones sospechosas a los endpoints API vulnerables, especialmente a rutas como /mifs/rs/api/v2/featureusage.

    • Aplicar reglas de detección (por ejemplo, YARA, SIGMA) que capturen los patrones del malware ya identificados.

  3. Tratar EPMM como activo de alta prioridad
    Sistemas de administración de dispositivos móviles (MDM) como EPMM tienen privilegios elevados; exigen protección reforzada, segmentación de red, acceso restringido, y auditorías frecuentes.

  4. Aplicar controles de seguridad adicionales

    • Firewalls o WAFs (Web Application Firewalls) para filtrar peticiones maliciosas.

    • Validación estricto de inputs, sanitización de datos que entran, minimizar exposición de APIs hacia redes externas.

Reflexión: por qué este caso importa

Este incidente pone de relieve varios puntos críticos:

  • Que no basta con parchear: los proveedores deben avisar claramente, los usuarios deben aplicar esos parches, y los sistemas deben estar preparados para incidentes si los parches se demoran.

  • Que los atacantes a menudo aprovechan combinaciones de fallas (cadena de vulnerabilidades) para maximizar daños.

  • Que sistemas que parecen sólo administrativos (gestión de móviles, políticas, etc.) pueden convertirse en punto de pivote para ataques mayores.

Conclusión

Si tu organización usa Ivanti EPMM, no esperes: procura hoy mismo revisar la versión que estás usando. Si está en alguna de las líneas vulnerables, actualiza de inmediato a la versión parcheada correspondiente. Además, revisa los logs y busca indicadores de compromiso — incluso si no crees haber sido atacado, porque muchas brechas comienzan sin avisar. Comparte esta alerta con tu equipo de seguridad y operaciones, para asegurarte de que todos los aplicables estén al tanto del riesgo y actúen con rapidez.

Labels:
Location: Bogotá, Colombia

Comentarios

Publicar un comentario

Entradas Populares

Renombrar una columna en Oracle: Guía rápida y sencilla 💻

¡Hola a todos! En el mundo de las bases de datos, es común necesitar hacer ajustes en la estructura de las tablas, y una de las tareas más frecuentes es renombrar una columna. Ya sea por un error tipográfico, una mejora en la nomenclatura o un cambio en los requisitos, saber cómo hacerlo de manera eficiente es fundamental. Afortunadamente, Oracle facilita esta tarea con una sintaxis simple y directa. A continuación, te muestro cómo puedes renombrar una columna de una tabla en un solo paso. La sintaxis para renombrar una columna Para cambiar el nombre de una columna, utilizamos la sentencia ALTER TABLE . Esta es la forma más segura y recomendada de modificar la estructura de una tabla sin afectar los datos existentes. ALTER TABLE <nombre_de_la_tabla> RENAME COLUMN <nombre_antiguo_del_campo> TO <nuevo_nombre_del_campo>; COMMIT; Análisis de la sintaxis: ALTER TABLE <nombre_de_la_tabla> : Esta parte de la sentencia le indica a Oracle que vas a modificar la estructur...
2 comentarios
Continuar con el artículo

¿Tu PC no puede instalar la actualización KB5034441? No te preocupes, aquí tienes la solución y la explicación

Sabemos que iniciar el 2024 con problemas técnicos no es lo ideal. Si has intentado instalar la reciente actualización KB5034441 y te has encontrado con el frustrante error 0x80070643 , no estás solo. Este problema ha afectado a muchos usuarios y puede causar una gran confusión, especialmente cuando la descarga parece ir bien, pero la instalación se detiene en 0%. En este artículo, vamos a desglosar qué es lo que está causando este error, por qué no es tan grave como parece y qué pasos puedes seguir para manejarlo. Mensaje de Error Entendiendo el error 0x80070643 en la actualización KB5034441 La actualización KB5034441 está diseñada para reforzar la seguridad de tu entorno de recuperación de Windows (Windows Recovery Environment, WinRE), especialmente para aquellos que utilizan la función de cifrado de disco BitLocker. La intención es buena, pero la implementación ha revelado un problema para ciertos sistemas. El código de error 0x80070643 se traduce como ERROR_INSTALL_FAILURE , y e...
Publicar un comentario
Continuar con el artículo