Ivanti tiene desplegado actualizaciones de seguridad para corregir dos fallos de seguridad que afectan a Ivanti Endpoint Manager Mobile (EPMM) y que se han aprovechado en ataques de día cero, uno de los cuales ha sido adicional de la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos ( CISA ) a su catálogo de vulnerabilidades explotadas conocidas (KEV).

Las vulnerabilidades de gravedad crítica se enumeran a continuación:

  • CVE-2026-1281 (Puntuación CVSS: 9,8): una inyección de código que permite a los atacantes ejecutar código de forma remota sin autenticar
  • CVE-2026-1340 (Puntuación CVSS: 9,8): una inyección de código que permite a los atacantes ejecutar código de forma remota sin autenticar

Afectan a las siguientes versiones -

  • EPMM 12.5.0.0 y anteriores, 12.6.0.0 y anteriores y 12.7.0.0 y anteriores (corregido en RPM 12.x.0.x)
  • EPMM 12.5.1.0 y anteriores y 12.6.1.0 y anteriores (corregido en RPM 12.x.1.x)

Sin embargo, cabe señalar que el parche RPM no sobrevive a una actualización de versión y debe volver a aplicarse si el dispositivo se actualiza a una nueva versión. Las vulnerabilidades se solucionarán permanentemente en la versión 12.8.0.0 de EPMM, que se publicará más adelante, en el primer trimestre de 2026.

«Somos conscientes de un número muy limitado de clientes cuya solución ha sido explotada en el momento de la divulgación», dijo Ivanti en un aviso, añadiendo que no tiene suficiente información sobre las tácticas de los actores de amenazas para proporcionar indicadores atómicos comprobados y confiables».

La compañía señaló que el CVE-2026-1281 y el CVE-2026-1340 afectan a la distribución interna de aplicaciones y a las funciones de configuración de transferencia de archivos de Android. Estas deficiencias no afectan a otros productos, como Ivanti Neurons for MDM, Ivanti Endpoint Manager (EPM) o Ivanti Sentry.

En un análisis técnico, Ivanti dijo Por lo general, ha visto dos formas de persistencia basadas en ataques anteriores dirigidos a vulnerabilidades más antiguas en EPMM. Esto incluye el despliegue de webshells y shells inversos para configurar la persistencia en los dispositivos comprometidos.

«La explotación exitosa del dispositivo EPMM permitirá la ejecución de código arbitrario en el dispositivo», señaló Ivanti. «Además del movimiento lateral hacia el entorno conectado, el EPMM también contiene información confidencial sobre los dispositivos gestionados por el dispositivo».

Se recomienda a los usuarios que consulten el registro de acceso de Apache en «/var/log/httpd/https-access_log» para buscar señales de intento o explotación exitosa utilizando el siguiente patrón de expresión regular (regex): 

^ (?! 127\ .0\ .0\ .1:\ d+
.*$) .*? \ /mifs\ /c\/(aft|app) store\ /fob\ /.*? 404

«El uso legítimo de estas capacidades generará 200 códigos de respuesta HTTP en el registro de acceso de Apache, mientras que el éxito o el intento de explotación generarán 404 códigos de respuesta HTTP», explicó.

Además, se solicita a los clientes que revisen lo siguiente para buscar cualquier evidencia de cambios de configuración no autorizados:

  • Administradores de EPMM para administradores nuevos o cambiados recientemente
  • Configuración de autenticación, incluida la configuración de SSO y LDAP
  • Nuevas aplicaciones push para dispositivos móviles
  • Cambios en la configuración de las aplicaciones que envía a los dispositivos, incluidas las aplicaciones internas
  • Políticas nuevas o modificadas recientemente
  • Cambios en la configuración de la red, incluida cualquier configuración de red o configuración de VPN que inserte en los dispositivos móviles

En caso de que se detecten señales de riesgo, Ivanti también insta a los usuarios a restaurar el dispositivo EPMM a partir de una copia de seguridad que se sepa que es correcta o a crear un EPMM de reemplazo y, a continuación, a migrar los datos al dispositivo. Una vez realizados los pasos, es fundamental realizar los siguientes cambios para proteger el entorno:

  • Restablecer la contraseña de cualquier cuenta local de EPMM
  • Restablecer la contraseña de las cuentas de servicio LDAP y/o KDC que realizan búsquedas
  • Revocar y reemplazar el certificado público utilizado para su EPMM
  • Restablezca la contraseña de cualquier otra cuenta de servicio interna o externa configurada con la solución EPMM

Este desarrollo ha llevado a la CISA a añadir el CVE-2026-1281 al catálogo KEV, lo que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las actualizaciones antes del 1 de febrero de 2026.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.