Ivanti ha implementado actualizaciones de seguridad para afrontar dos fallas de seguridad que afectan a Ivanti Endpoint Manager Mobile (EPMM) y que han sido explotadas en ataques de día cero, uno de los cuales ha sido auxiliar por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a su catálogo de vulnerabilidades explotadas conocidas (KEV).
Las vulnerabilidades de dificultad crítica se enumeran a continuación:
- CVE-2026-1281 (Puntuación CVSS: 9,8): una inyección de código que permite a los atacantes obtener la ejecución remota de código no autenticado.
- CVE-2026-1340 (Puntuación CVSS: 9,8): una inyección de código que permite a los atacantes obtener la ejecución remota de código no autenticado.
Afectan a las siguientes versiones:
- EPMM 12.5.0.0 y anteriores, 12.6.0.0 y anteriores, y 12.7.0.0 y anteriores (corregido en RPM 12.x.0.x)
- EPMM 12.5.1.0 y anteriores y 12.6.1.0 y anteriores (corregido en RPM 12.x.1.x)
Sin bloqueo, junto a señalar que el parche RPM no sobrevive a una aggiornamento de interpretación y debe retornar a aplicarse si el dispositivo se actualiza a una nueva interpretación. Las vulnerabilidades se solucionarán permanentemente en la interpretación 12.8.0.0 de EPMM, que se lanzará más delante en el primer trimestre de 2026.
“Somos conscientes de un número muy escaso de clientes cuya decisión ha sido explotada en el momento de la divulgación”, dijo Ivanti en un aviso, añadiendo que no tiene suficiente información sobre las tácticas de los actores de amenazas para proporcionar “indicadores atómicos confiables”.
La compañía señaló que CVE-2026-1281 y CVE-2026-1340 afectan las funciones de distribución interna de aplicaciones y configuración de transferencia de archivos de Android. Estas deficiencias no afectan a otros productos, incluidos Ivanti Neurons para MDM, Ivanti Endpoint Manager (EPM) o Ivanti Sentry.
En un estudio técnico, Ivanti dijo que normalmente ha manido dos formas de persistencia basadas en ataques anteriores dirigidos a vulnerabilidades más antiguas en EPMM. Esto incluye la implementación de shells web y shells inversos para configurar la persistencia en los dispositivos comprometidos.
“La explotación exitosa del dispositivo EPMM permitirá la ejecución de código injustificado en el dispositivo”, señaló Ivanti. “Adicionalmente del movimiento adjunto en dirección a el entorno conectado, EPMM igualmente contiene información confidencial sobre los dispositivos gestionados por el dispositivo”.
Se recomienda a los usuarios que consulten el registro de comunicación de Apache en “/var/log/httpd/https-access_log” para agenciárselas signos de intento o explotación exitosa utilizando el futuro patrón de expresión regular (regex):
^(?!127.0.0.1:d+
.*$).*?/mifs/c/(aft|app)store/fob/.*?404
“El uso oficial de estas capacidades dará como resultado 200 códigos de respuesta HTTP en el registro de comunicación de Apache, mientras que una explotación exitosa o intentada causará 404 códigos de respuesta HTTP”, explicó.
Adicionalmente, se solicita a los clientes que revisen lo futuro para agenciárselas evidencia de cambios de configuración no autorizados:
- Administradores de EPMM para administradores nuevos o modificados recientemente
- Configuración de autenticación, incluidas las configuraciones de SSO y LDAP
- Nuevas aplicaciones push para dispositivos móviles
- Cambios de configuración en las aplicaciones que envía a los dispositivos, incluidas las aplicaciones internas
- Políticas nuevas o recientemente modificadas
- Cambios en la configuración de red, incluida cualquier configuración de red o configuración de VPN que envíe a dispositivos móviles
En caso de que se detecten signos de compromiso, Ivanti igualmente insta a los usuarios a restaurar el dispositivo EPMM a partir de una copia de seguridad en buen estado o crear un EPMM de reemplazo y luego portar los datos al dispositivo. Una vez realizados los pasos, es esencial realizar los siguientes cambios para proteger el entorno:
- Restablecer la contraseña de cualquier cuenta EPMM locorregional
- Restablecer la contraseña de las cuentas de servicio LDAP y/o KDC que realizan búsquedas
- Revocar y reemplazar el certificado conocido utilizado para su EPMM
- Restablezca la contraseña de cualquier otra cuenta de servicio interna o externa configurada con la decisión EPMM
El avance ha llevado a CISA a juntar CVE-2026-1281 al catálogo KEV, lo que requiere que las agencias del Poder Ejecutor Civil Federal (FCEB) apliquen las actualizaciones antiguamente del 1 de febrero de 2026.
Renovar
En un crónica publicado el 30 de enero de 2026, los investigadores de watchTowr Labs dijeron que realizaron ingeniería inversa en los parches, señalando que las correcciones de RPM modifican la configuración HTTPd de Apache para reemplazar dos scripts de shell Bash (“/mi/bin/map-appstore-url” y “/mi/bin/map-aft-store-url”) con clases Java recientemente introducidas.
Como resultado, dijo la compañía de ciberseguridad, la vulnerabilidad debe ser explotable a través de HTTP, lo que en última instancia conduce a una solicitud HTTP GET especialmente diseñada que podría estar de moda para lograrlo.
GET /mifs/c/appstore/fob/3/5/sha256:kid=1,st=theValue%20%20,et=1337133713,
h=gPath%5B%60sleep%205%60%5D/e2327851-1e09-4463-9b5a-b524bc71fc07.ipa
Esto se debe al hecho de que el script Bash “/mi/bin/map-appstore-url” permite a los usuarios recuperar aplicaciones móviles de la tienda de aplicaciones aprobada por Ivanti EPMM en función de ciertos parámetros, que incluyen:
- El índice de una condena salt de “/mi/files/appstore-salt.txt” (crío)
- Hora de inicio de la operación de descarga (st)
- Hora de finalización de la operación de descarga (et)
- hash SHA256 (h), y
- El archivo de la tienda de aplicaciones que se va a recuperar (“e2327851-1e09-4463-9b5a-b524bc71fc07”)
En otras palabras, mandar una solicitud HTTP al punto final “/mifs/c/appstore/fob/3/
“Si acertadamente Ivanti dispone de parches, aplicar parches no será suficiente: los actores de amenazas han estado explotando estas vulnerabilidades como de día cero, y las organizaciones que, en el momento de la revelación, exponen instancias vulnerables a Internet deben considerarlas comprometidas, derribar la infraestructura e instigar procesos de respuesta a incidentes”, dijo el CEO de watchTowr, Benjamin Harris.
