Los equipos de seguridad están luchando el martes mientras dos vulnerabilidades críticas en Ivanti Endpoint Manager Mobile enfrentan intentos de explotación.
Ivanti emitió avisos el jueves por las fallas de inyección de códigoque afectan la versión local de Ivanti EPMM. Las vulnerabilidades, rastreadas como CVE-2026-1281 y CVE-2026-1340permite que un atacante logre la ejecución remota de código si se explota con éxito. Los defectos tienen una puntuación de gravedad de 9,8.
Ivanti dijo que tenía conocimiento de un «número muy limitado de clientes» que ya se habían enfrentado a actividades de explotación en el momento de la divulgación. según una publicación de blog de la empresa.
No se sabe de inmediato cuánto tiempo estuvieron siendo atacadas las vulnerabilidades. Stephen Fewer, investigador principal de seguridad de Rapid7, dijo que La evidencia disponible apunta a objetivos específicos.ataques deliberados por parte del actor de la amenaza y no una amenaza aleatoria u oportunista.
«Esto está en línea con un ataque altamente dirigido, mediante el cual el actor de la amenaza busca comprometer una o más organizaciones específicas», dijo Fewer a Cybersecurity Dive. «Podemos observar que, allá por 2023, la Organización Noruega de Servicios y Seguridad (DSS) se vio comprometida por un actor de amenazas desconocido que utilizó un día cero contra EPMM en un ataque altamente dirigido».
El Agencia de Ciberseguridad y Seguridad de Infraestructuras Inmediatamente agregó CVE-2026-1281 a su catálogo de vulnerabilidades explotadas conocidas. La agencia fijó un plazo inusualmente corto para que las agencias federales mitiguen la amenaza el pasado domingo 1 de febrero.
Ivanti EPMM es una herramienta ampliamente utilizada en el lugar de trabajo, ya que ayuda a los administradores de TI a administrar una variedad de dispositivos móviles en varios sistemas operativos.
El sábado, investigadores de la Fundación Shadowserver informó un aumento en los intentos de explotación contra CVE-2026-1281. Señaló que se detectó actividad de amenazas en 13 IP de origen y que 1.600 instancias quedaron expuestas en todo el mundo.
Hasta el martes, la exposición se redujo a 1.400, pero las actividades de amenaza aún estaban en curso, «que incluyen intentos de ejecutar devoluciones de llamada o configurar shells inversos», dijo el CEO de Shadowserver, Piotr Kijewski, a Cybersecurity Dive.
Ryan Dewhurst, jefe de inteligencia proactiva sobre amenazas de watchTowr, confirmó que la actividad de amenaza inicial parece haber sido muy específica. Actividad posterior al compromiso iIncluye implementación de shells web de puerta trasera. y un amplio sondeo de sistemas vulnerables.
El Centro de Análisis e Intercambio de Información de Salud ha identificado un pequeño número de organizaciones con posible exposición y les ha enviado información específica con orientación de mitigación, según el director de seguridad Errol Weiss.
«Esta vulnerabilidad se está explotando activamente y cualquier organización que utilice Ivanti EPMM debería tratarla como un parche de alta prioridad y monitorearla de cerca», dijo Weiss a Cybersecurity Dive. «Incluso cuando la exposición es limitada, los sistemas involucrados suelen ser críticos para las operaciones empresariales, por lo que una rápida remediación y una mayor vigilancia son esenciales».
Ivanti instó a los usuarios a instalar un parche temporal, pero advirtió que la solución no sobrevivirá a una actualización de la versión y luego deberá reinstalarse. Se está desarrollando una solución permanente que estará disponible en la próxima versión del producto 12.8.0.0, dijo Ivanti en el aviso.
Fuente