Vulnerabilidades en Ivanti bajo explotación
Ivanti ha anunciado que dos vulnerabilidades críticas en su producto: Ivanti Endpoint Manager Mobile (EPMM) se encuentran bajo explotación activa en ataques de día cero y hay campañas de escaneo en busca de la vulnerabilidad desde más de 28323 direcciones IP distintas. Este producto es ampliamente usado por organizaciones para administrar y asegurar los dispositivos de sus empleados en diferentes dispositivos Android, iOS y Windows.
CVE-2026-1281 y CVE-2026-1340
Ambas vulnerabilidades cuentan con una calificación CVSS3.1 de 9.8, con severidad crítica. Pueden permitir que un actor de amenaza ejecute código de forma arbitraria en los dispositivos que utilicen EPMM, otorgando al actor de amenaza acceso a un amplio rango de información almacenada en la plataforma. Esta información puede contener nombres reales de los usuarios, nombres de usuario y correos electrónicos, así como información sobre los dispositivos administrados, tal como números de teléfono, direcciones IP, aplicaciones instaladas e incluso identificadores del dispositivo como IMEI o direcciones MAC. Asimismo, si el seguimiento de ubicación se encuentra activado, un actor de amenaza también podría obtener su ubicación, incluyendo coordenadas GPS y ubicación aproximada basada en torres celulares cercanas.
Ivanti también advirtió que el actor de amenaza consiga explotar esta vulnerabilidad, podría utilizar la API de EPMM o la consola web para hacer cambios en la configuración de dispositivos, incluyendo ajustes de autenticación. También avisaron que no se han encontrado indicadores de compromiso debido a la pequeña cantidad de clientes afectados, aunque publicaron guías técnicas para detectar comportamiento d explotación y post-explotación que los administradores pueden utilizar.
Versiones Afectadas
| Productos | Versiones afectadas | Versiones corregidas |
| Ivanti Endpoint Manager Mobile (EPMM) | Versiones menores a las 12.x.1.x RPM y 12.x.0.x RPM | Versión 12.x.1.x RPM en adelante Versión 12.x.0.x RPM en adelante |
Recomendaciones
- Actualizar inmediatamente los productos afectados.
- Auditar actividad de inicio de sesión administrativos y cambios en la configuración de dispositivos.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactorial.
Referencias
- Abrams, L. (2026, Enero 29). Ivanti warns of two EPMM flaws exploited in zero-day attacks. BleepingComputer. Recuperado el 20 de febrero de 2026, en: https://www.bleepingcomputer.com/news/security/ivanti-warns-of-two-epmm-flaws-exploited-in-zero-day-attacks/
- Kovacs, E. (2026, Febrero 19). Ivanti Exploitation Surges as Zero-Day Attacks Traced Back to July 2025. Security Week. Recuperado el 20 de febrero de 2026, en: https://www.securityweek.com/ivanti-exploitation-surges-as-zero-day-attacks-traced-back-to-july-2025/
- Naprys, Ernestas. (2026, Febrero 11). Hackers siege Ivanti EPMM with thousands of IPs, dozens of organizations compromised . CyberNews. Recuperado el 20 de febrero de 2026, en: https://cybernews.com/security/ivanti-epmm-targeted-by-massive-hacking-campaign/
