Más del 80% de la actividad de explotación dirigida a vulnerabilidades críticas en Ivanti Endpoint Manager Mobile se rastreó hasta una única dirección IP escondida detrás de una infraestructura de alojamiento a prueba de balas. según un informe publicado el martes por GreyNoise.
Los investigadores advierten que varios de los indicadores de compromiso más compartidos vinculados a la actual campaña de amenazas no indican ninguna actividad vinculada a Ivanti EPMM. La preocupación es que los equipos de seguridad puedan estar buscando información incorrecta, ya que los IoC actuales indican que se busca Oracle WebLogic, según los investigadores de GreyNoise.
Los investigadores de GreyNoise dijeron que la explotación de Ivanti representó solo el 9% de la actividad que vieron en esa única IP. Oracle WebLogic representó 2.902 sesiones frente a 346 de Ivanti.
«Un analista que observe esa infraestructura vería un tráfico abrumador de Oracle, y el componente Ivanti podría fácilmente pasarse por alto», dijo Noah Stone, jefe de contenido de GreyNoise, a Cybersecurity Dive.
A finales del mes pasado, Ivanti reveló vulnerabilidades críticas de inyección de código rastreadas en CVE-2026-1281 y CVE-2026-1340. Las fallas afectan la versión local de Ivanti EPMM y podrían permitir a un atacante lograr la ejecución remota de código.
Los investigadores de GreyNoise detectaron por primera vez actividad de amenazas dirigida a CVE-2026-1281 el 1 de febrero y registraron 417 sesiones de explotación hasta el 9 de febrero desde ocho IP de origen únicas. Una IP, registrada a nombre de Prospero OOO, generó el 83% de las sesiones. La IP fue geolocalizada en San Petersburgo, Rusia, según GreyNoise.
La actividad de amenazas se ha acelerado en los últimos días, y los datos de GreyNoise muestran 269 sesiones el domingo, un fuerte aumento con respecto al promedio diario anterior de 21. Investigadores de la Fundación Shadowserver informaron el martes de un aumento en la actividad de amenazas. Se observaron más de 28.000 IP de origen en datos de Shadowserver, con más de 20.000 vistos desde redes estadounidenses.
Ivanti dijo que sus recomendaciones siguen siendo las mismas. Los clientes que no hayan aplicado el parche deben hacerlo inmediatamente y luego revisar sus dispositivos para detectar signos previos de explotación.
«Aplicar el parche es la forma más eficaz de prevenir la explotación, independientemente de cómo cambien los IOC con el tiempo, especialmente una vez que un POC está disponible», dijo un portavoz de Ivanti a Cybersecurity Dive por correo electrónico. “El parche no requiere tiempo de inactividad y solo tarda unos segundos en aplicarse.
Como se informó anteriormente, el Autoridad Holandesa de Protección de Datos y el Consejo Judicial fueron violados debido a la explotación de Ivanti EPMM. La Comisión Europea también estaba investigando un ataque vinculado a Ivanti IPMM.
Una investigación relacionada con el incidente de EC mostró una posible filtración de datos, incluidos nombres y números de ciertos miembros del personal, según una fuente familiarizada con la investigación. Se tomaron medidas adicionales para mitigar las vulnerabilidades y se están tomando medidas adicionales para reducir el riesgo general.
Nota del editor: agrega comentarios de GreyNoise e Ivanti.
Fuente