Ivanti ha implementado actualizaciones de seguridad para abordar dos fallas de seguridad que afectan a Ivanti Endpoint Manager Mobile (EPMM) y que han sido explotadas en ataques de día cero, uno de los cuales ha sido agregado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a su catálogo de vulnerabilidades explotadas conocidas (KEV).
Las vulnerabilidades de gravedad crítica se enumeran a continuación:
- CVE-2026-1281 (Puntuación CVSS: 9,8): una inyección de código que permite a los atacantes lograr la ejecución remota de código no autenticado.
- CVE-2026-1340 (Puntuación CVSS: 9,8): una inyección de código que permite a los atacantes lograr la ejecución remota de código no autenticado.
Afectan a las siguientes versiones:
- EPMM 12.5.0.0 y anteriores, 12.6.0.0 y anteriores, y 12.7.0.0 y anteriores (corregido en RPM 12.x.0.x)
- EPMM 12.5.1.0 y anteriores y 12.6.1.0 y anteriores (corregido en RPM 12.x.1.x)
Sin embargo, cabe señalar que el parche RPM no sobrevive a una actualización de versión y debe volver a aplicarse si el dispositivo se actualiza a una nueva versión. Las vulnerabilidades se solucionarán permanentemente en la versión 12.8.0.0 de EPMM, que se lanzará más adelante en el primer trimestre de 2026.
«Somos conscientes de un número muy limitado de clientes cuya solución ha sido explotada en el momento de la divulgación», dijo Ivanti en un aviso, añadiendo que no tiene suficiente información sobre las tácticas de los actores de amenazas para proporcionar «indicadores atómicos confiables».
La compañía señaló que CVE-2026-1281 y CVE-2026-1340 afectan las funciones de distribución interna de aplicaciones y configuración de transferencia de archivos de Android. Estas deficiencias no afectan a otros productos, incluidos Ivanti Neurons para MDM, Ivanti Endpoint Manager (EPM) o Ivanti Sentry.
En un análisis técnico, Ivanti dijo que normalmente ha visto dos formas de persistencia basadas en ataques anteriores dirigidos a vulnerabilidades más antiguas en EPMM. Esto incluye la implementación de shells web y shells inversos para configurar la persistencia en los dispositivos comprometidos.
«La explotación exitosa del dispositivo EPMM permitirá la ejecución de código arbitrario en el dispositivo», señaló Ivanti. «Además del movimiento lateral hacia el entorno conectado, EPMM también contiene información confidencial sobre los dispositivos gestionados por el dispositivo».
Se recomienda a los usuarios que consulten el registro de acceso de Apache en «/var/log/httpd/https-access_log» para buscar signos de intento o explotación exitosa utilizando el siguiente patrón de expresión regular (regex):
^(?!127.0.0.1:d+
.*$).*?/mifs/c/(aft|app)store/fob/.*?404
«El uso legítimo de estas capacidades dará como resultado 200 códigos de respuesta HTTP en el registro de acceso de Apache, mientras que una explotación exitosa o intentada causará 404 códigos de respuesta HTTP», explicó.
Además, se solicita a los clientes que revisen lo siguiente para buscar evidencia de cambios de configuración no autorizados:
- Administradores de EPMM para administradores nuevos o modificados recientemente
- Configuración de autenticación, incluidas las configuraciones de SSO y LDAP
- Nuevas aplicaciones push para dispositivos móviles
- Cambios de configuración en las aplicaciones que envía a los dispositivos, incluidas las aplicaciones internas
- Políticas nuevas o recientemente modificadas
- Cambios en la configuración de red, incluida cualquier configuración de red o configuración de VPN que envíe a dispositivos móviles
En caso de que se detecten signos de compromiso, Ivanti también insta a los usuarios a restaurar el dispositivo EPMM a partir de una copia de seguridad en buen estado o crear un EPMM de reemplazo y luego migrar los datos al dispositivo. Una vez realizados los pasos, es esencial realizar los siguientes cambios para proteger el entorno:
- Restablecer la contraseña de cualquier cuenta EPMM local
- Restablecer la contraseña de las cuentas de servicio LDAP y/o KDC que realizan búsquedas
- Revocar y reemplazar el certificado público utilizado para su EPMM
- Restablezca la contraseña de cualquier otra cuenta de servicio interna o externa configurada con la solución EPMM
El desarrollo ha llevado a CISA a agregar CVE-2026-1281 al catálogo KEV, lo que requiere que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las actualizaciones antes del 1 de febrero de 2026.
Actualizar
En un informe publicado el 30 de enero de 2026, los investigadores de watchTowr Labs dijeron que realizaron ingeniería inversa en los parches, señalando que las correcciones de RPM modifican la configuración HTTPd de Apache para reemplazar dos scripts de shell Bash («/mi/bin/map-appstore-url» y «/mi/bin/map-aft-store-url») con clases Java recientemente introducidas.
Como resultado, dijo la compañía de ciberseguridad, la vulnerabilidad debe ser explotable a través de HTTP, lo que en última instancia conduce a una solicitud HTTP GET especialmente diseñada que podría usarse para lograrlo.
GET /mifs/c/appstore/fob/3/5/sha256:kid=1,st=theValue%20%20,et=1337133713,
h=gPath%5B%60sleep%205%60%5D/e2327851-1e09-4463-9b5a-b524bc71fc07.ipa
Esto se debe al hecho de que el script Bash «/mi/bin/map-appstore-url» permite a los usuarios recuperar aplicaciones móviles de la tienda de aplicaciones aprobada por Ivanti EPMM en función de ciertos parámetros, que incluyen:
- El índice de una cadena salt de «/mi/files/appstore-salt.txt» (niño)
- Hora de inicio de la operación de descarga (st)
- Hora de finalización de la operación de descarga (et)
- hash SHA256 (h), y
- El archivo de la tienda de aplicaciones que se va a recuperar («e2327851-1e09-4463-9b5a-b524bc71fc07»)
En otras palabras, enviar una solicitud HTTP al punto final «/mifs/c/appstore/fob/3/
«Si bien Ivanti dispone de parches, aplicar parches no será suficiente: los actores de amenazas han estado explotando estas vulnerabilidades como de día cero, y las organizaciones que, en el momento de la revelación, exponen instancias vulnerables a Internet deben considerarlas comprometidas, derribar la infraestructura e instigar procesos de respuesta a incidentes», dijo el CEO de watchTowr, Benjamin Harris.