Ivanti ha publicado actualizaciones de seguridad para abordar dos fallas de seguridad que afectan a Ivanti Endpoint Manager Mobile (EPMM) y fueron explotadas en un ataque de día cero. Uno de ellos fue agregado al Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).
Las vulnerabilidades de gravedad crítica son:
CVE-2026-1281 (puntuación CVSS: 9,8): inyección de código que permite a los atacantes realizar una ejecución remota de código no autenticado. CVE-2026-1340 (puntuación CVSS: 9,8): inyección de código que permite a los atacantes realizar una ejecución remota de código no autenticado.
Estos afectan a las siguientes versiones:
EPMM 12.5.0.0 y anteriores, 12.6.0.0 y anteriores, y 12.7.0.0 y anteriores (fijado en RPM 12.x.0.x) EPMM 12.5.1.0 y anteriores y 12.6.1.0 y anteriores (fijado en RPM 12.x.1.x)
Sin embargo, tenga en cuenta que los parches de RPM no persisten entre las actualizaciones de versión y deben volver a aplicarse si actualiza su dispositivo a una nueva versión. Se espera que esta vulnerabilidad se solucione permanentemente en la versión 12.8.0.0 de EPMM, lanzada más adelante en el primer trimestre de 2026.
«En el momento de la divulgación, reconocemos que el número de clientes cuyas soluciones han sido explotadas es extremadamente limitado», dijo Ivanti en su aviso, añadiendo que falta información suficiente sobre las tácticas del actor de amenazas para proporcionar indicadores atómicos probados y confiables.
La compañía señaló que CVE-2026-1281 y CVE-2026-1340 afectan la distribución interna de aplicaciones y la funcionalidad de configuración de transferencia de archivos de Android. Estas deficiencias no afectan a otros productos como Ivanti Neurons para MDM, Ivanti Endpoint Manager (EPM) o Ivanti Sentry.
Ivanti dijo en su análisis técnico que normalmente se observan dos formas de persistencia basadas en ataques anteriores dirigidos a vulnerabilidades más antiguas en EPMM. Esto incluye implementar un shell web y un shell inverso para configurar la persistencia en el dispositivo comprometido.
«La explotación exitosa del dispositivo EPMM podría resultar en la ejecución de código arbitrario en el dispositivo», señaló Ivanti. «Además del movimiento lateral hacia el entorno conectado, EPMM también contiene información confidencial sobre los dispositivos que gestiona el dispositivo».
Se recomienda a los usuarios que revisen los registros de acceso de Apache en ‘/var/log/httpd/https-access_log’ y busquen signos de intentos de explotación o éxitos utilizando el patrón de expresión regular (regex) a continuación.
^(?!127\.0\.0\.1:\d+ .*$).*?\/mifs\/c\/(aft|app)store\/fob\/.*?404
«El uso legítimo de estas funciones dará como resultado que se registre un código de respuesta HTTP 200 en los registros de acceso de Apache, mientras que una explotación exitosa o intentada dará como resultado un código de respuesta HTTP 404», explica.
Además, se solicita a los clientes que revisen lo siguiente para buscar evidencia de cambios de configuración no autorizados:
Administradores EPMM para administradores nuevos o modificados recientemente Configuraciones de autenticación, incluidas configuraciones de SSO y LDAP Nuevas aplicaciones push para dispositivos móviles Cambios de configuración para aplicaciones enviadas a dispositivos (incluidas aplicaciones internas) Políticas nuevas o modificadas recientemente Cambios en la configuración de red (incluidas configuraciones de red o VPN enviadas a dispositivos móviles)
Además, si se detectan indicadores de compromiso, Ivanti recomienda a los usuarios restaurar el dispositivo EPMM a partir de una copia de seguridad en buen estado o crear un EPMM de reemplazo antes de migrar datos al dispositivo. Después de realizar los pasos, es importante realizar los siguientes cambios para proteger su entorno.
Restablecer la contraseña de la cuenta EPMM local Realizar una búsqueda Restablecer la contraseña de la cuenta de servicio LDAP y/o KDC Revocar y reemplazar el certificado público utilizado para EPMM Restablecer la contraseña de otras cuentas de servicio internas o externas configuradas en la solución EPMM
Debido a este desarrollo, CISA agregó CVE-2026-1281 al Catálogo KEV y requirió que las agencias del Poder Ejecutivo Civil Federal (FCEB) aplicaran la actualización antes del 1 de febrero de 2026.
Source link
