La Agencia de Seguridad de Infraestructura y Ciberseguridad el miércoles Se agregó una falla crítica en Ivanti Endpoint Manager Mobile (EPMM) a su catálogo de vulnerabilidades explotadas conocidas.
La vulnerabilidad, rastreada como CVE-2026-1340surge de una inyección de código en Ivanti EPMM que permite a un atacante lograr la ejecución remota de código sin autenticación.
CISA fijó como fecha límite el 11 de abril para que las agencias del poder ejecutivo civil federal mitiguen sus entornos.
Ivanti reveló el problema por primera vez a finales de enero junto con CVE-2026-1281que es una vulnerabilidad de inyección de código similar y se agregó inmediatamente al catálogo de KEV. Ambos defectos tienen una puntuación de gravedad de 9,8. La compañía dijo que comenzó a ver explotación poco después de que se publicara una prueba de concepto.
Ivanti publicó un aviso de seguridad para las vulnerabilidades en ese momento, y dijo que estaba al tanto de un “número muy limitado” de clientes cuyos productos se vieron afectados.
«En el momento de la divulgación, Ivanti proporcionó un paquete RPM para proteger los entornos de los clientes, que no requiere tiempo de inactividad y solo tarda unos segundos en aplicarse», dijo un portavoz de Ivanti a Cybersecurity Dive.
Ivanti también proporcionó indicadores de compromiso, análisis técnico y un script de detección desarrollado junto con el Centro Nacional de Seguridad Cibernética de los Países Bajos.
El Comisión Europea y autoridades holandesas dijeron que estaban investigando incidentes relacionados con las vulnerabilidades en febrero.
Ivanti lanzó la versión 12.8 para EPMM el 18 de marzo, que resuelve las vulnerabilidades y proporciona funciones adicionales de refuerzo de seguridad, según un portavoz. La empresa recomienda que todos los usuarios apliquen la actualización.
Varios investigadores de seguridad contactados por Cybersecurity Dive dijeron que no han visto ningún cambio reciente en la actividad de amenazas que pueda explicar por qué la vulnerabilidad finalmente se agregó al catálogo KEV.
«Ha sido explotado repetidamente, literalmente, miles de veces desde que se reveló», dijo a Cybersecurity Dive Simo Kohonen, fundador y director ejecutivo de Defused.
CISA no proporcionó ningún detalle sobre el momento detrás del cambio de estatus, pero proporcionó un enlace a información general. orientación sobre por qué una vulnerabilidad se añade al catálogo KEV.
Fuente