Vulnerabilidades críticas bajo explotación en productos Ivanti

Publicado hace 4 meses 30-01-2026

Ivanti advirtió en un aviso de seguridad, publicado el 29 de enero del 2026, sobre la existencia de dos vulnerabilidades críticas de día cero que afectan a su solución Endpoint Manager Mobile (EPMM). Ambas vulnerabilidades se encuentran bajo explotación activa.
Las vulnerabilidades registradas como CVE-2026-1281 y CVE-2026-1340 cuentan con una puntuación CVSS3.1 de 9.8 y podrían permitir que un atacante remoto no autenticado ejecute código arbitrario, se mueva lateralmente y acceda a información confidencial.

Esta información incluye nombres, correos electrónicos y nombres de usuario de administradores y usuarios, así como información de dispositivos móviles como dirección IP, número de teléfono, ubicación, dirección MAC, IMEI, entre otros. Adicionalmente, un actor malicioso podría usar la API de EPMM o su consola web para hacer cambios en la configuración de dispositivos, incluidas configuraciones de seguridad como autenticación.

Ivanti ha detallado patrones y comportamientos observados en sistemas comprometidos para detectar la explotación de estas vulnerablidades. Ambas vulnerabilidades impactan las funcionalidades in-house application distribution y Android file transfer configuration de EPMM, un intento de explotación quedaría registrado en el log de acceso de Apache /var/log/httpd/https-access_log. Sumado a esto, se ha verificado que las solicitudes legitimas dirigidas a endpoints vulnerables suelen retornar códigos HTTP 200, mientras que en un intento de explotación la respuesta a la solicitud es un código HTTP 404.  Se puede usar la siguiente expresión para obtener una lista de logs que coinciden con solicitudes externas que devuelven códigos HTTP 404: ^(?!127\.0\.0\.1:\d+ .*$).*?\/mifs\/c\/(aft|app)store\/fob\/.*?404.

Si se considera que un dispositivo esta comprometido, Ivanti no recomienda limpiar el sistema, sino restaurar un respaldo no vulnerable antes de que sucediera una explotación, remplazar el certificado usado para EPMM y cambiar las contraseñas de cuentas EPMM, LDAP o servicios KDC.
 

Versiones Afectadas

Productos Versiones afectadas Versiones corregidas
Ivanti Endpoint Manager Mobile (EPMM) Versión 12.5.0.x Próxima versión 12.8.0.0. De momento, aplicar parche RPM 12.x.0.x: Ivanti Security Advisory
Versión 12.6.0.x
Versión 12.7.0.x
Versión 12.5.1.x Próxima versión 12.8.0.0. De momento, aplicar parche RPM 12.x.1.x: Ivanti Security Advisory
Versión 12.6.1.x

Recomendaciones

  • Actualizar urgentemente Ivanti Endpoint Manager Mobile (EPMM) a la última versión disponible.
  • Restablecer la contraseña de cualquier cuenta EPMM local.
  • Restablecer la contraseña de las cuentas de servicio LDAP y/o KDC que realizan las consultas.
  • Reemplazar el certificado público utilizado para EPMM.
  • Restablecer la contraseña de cualquier otra cuenta de servicio interna o externa configurada con la solución EPMM.
  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque.
  • Auditar herramientas de acceso remoto (NIST CSF, 2024).
  • Revisar logs para de ejecución de software de acceso remoto (NIST CSF, 2024).
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad (NIST CSF, 2024).
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque (NIST CSF, 2024).
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactorial.

Referencias

  1. Ivanti. (2026, enero 29). Security Advisory Ivanti Endpoint Manager Mobile (EPMM) (CVE-2026-1281 & CVE-2026-1340). Recuperado el 30 de enero de 2026, en: https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340?language=en_US
  2. Arghire, I. (2026, enero 30). Ivanti Patches Exploited EPMM Zero-Days. Security Week. Recuperado el 30 de enero de 2026, en: https://www.securityweek.com/ivanti-patches-exploited-epmm-zero-days/
  3. Abrams, L. (2026, enero 29). Ivanti warns of two EPMM flaws exploited in zero-day attacks. Bleeping Computer. Recuperado el 30 de enero de 2026, en: https://www.bleepingcomputer.com/news/security/ivanti-warns-of-two-epmm-flaws-exploited-in-zero-day-attacks/

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 1 día 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más