(https://i.imgur.com/dA3vsQA.jpeg)
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha publicado un informe exhaustivo sobre el malware detectado en ataques dirigidos contra Ivanti Endpoint Manager Mobile (EPMM). Estas intrusiones se aprovecharon de dos fallas de seguridad críticas: CVE-2025-4427, una omisión de autenticación en la API de EPMM, y CVE-2025-4428, una vulnerabilidad de inyección de código que permite la ejecución remota de comandos maliciosos.
Ambas vulnerabilidades afectan a las versiones 11.12.0.4, 12.3.0.1, 12.4.0.1 y 12.5.0.0 de Ivanti EPMM, junto con sus ramas anteriores. Aunque Ivanti lanzó parches de seguridad el 13 de mayo de 2025, los atacantes ya habían explotado estas fallas como zero-days, comprometiendo un número limitado de clientes antes de la actualización.
Contexto de los ataques y atribuciónSegún reportes de la plataforma de inteligencia de amenazas EclecticIQ, un grupo de espionaje con nexos en China habría comenzado a explotar las vulnerabilidades desde el 15 de mayo de 2025. Los analistas destacan que los atacantes poseen un conocimiento profundo de la arquitectura interna de Ivanti EPMM, lo que les permitió reutilizar componentes del sistema para filtrar datos de manera sofisticada.
No obstante, el informe de CISA evita atribuciones directas y se centra en el análisis técnico del malware y de los métodos de intrusión empleados.
Técnicas de ataque detectadasCISA identificó que los atacantes dirigieron sus acciones al endpoint /mifs/rs/api/v2/ utilizando solicitudes HTTP GET, con el parámetro ?format= para inyectar comandos maliciosos.
Estos comandos permitieron a los actores de amenazas:
- Ejecutar actividades de reconocimiento en los sistemas comprometidos.
- Recopilar información del sistema y listar el directorio raíz.
- Mapear redes y obtener archivos adicionales.
- Extraer credenciales de LDAP (Lightweight Directory Access Protocol).
Entrega segmentada del malwareEl análisis forense reveló que los atacantes distribuyeron dos conjuntos de malware distintos, cada uno con un cargador independiente pero con el mismo nombre (web-install.jar). Ambos conjuntos incluían oyentes maliciosos capaces de inyectar código arbitrario, establecer persistencia y exfiltrar datos.
Conjunto 1:- web-install.jar (Cargador 1)
- ReflectUtil.class: manipula objetos Java para habilitar la inyección de código.
SecurityHandlerWanListener.class: un agente de escucha diseñado para filtrar datos y ejecutar comandos remotos.
Conjunto 2:- web-install.jar (Cargador 2)
- WebAndroidAppInstaller.class: un oyente malicioso con funciones similares al del conjunto 1, capaz de mantener persistencia y robar información sensible.
Ambos conjuntos operaban de manera semejante: interceptaban solicitudes HTTP específicas, decodificaban cargas útiles en Base64 y ejecutaban el malware en el sistema objetivo.
Recursos de detección publicados por CISAPara ayudar a las organizaciones a detectar y responder a estos ataques, CISA ha puesto a disposición:
- Indicadores de compromiso (IOCs) detallados.
- Reglas YARA para identificar patrones de malware.
- Una regla SIGMA lista para integrarse en soluciones SIEM.
Estos recursos permiten a equipos de ciberseguridad identificar infecciones en tiempo real y contener el impacto en sus entornos críticos.
Recomendaciones de mitigaciónCISA recomienda a las empresas y organismos que utilicen Ivanti EPMM tomar las siguientes medidas inmediatas:
- Parchear sin demora las versiones vulnerables de Ivanti EPMM con las actualizaciones publicadas el 13 de mayo.
- Aislar los hosts afectados si se detecta la presencia de archivos maliciosos o actividad sospechosa.
- Recolectar artefactos y generar una imagen de disco forense completa, para colaborar con las investigaciones y compartirla con CISA.
- Tratar los sistemas de gestión de dispositivos móviles (MDM) como activos de alto valor (HVA), aplicando controles de seguridad adicionales y una monitorización constante.
Implicaciones para la ciberseguridad empresarialEl caso de Ivanti EPMM refleja una tendencia creciente: los atacantes apuntan a infraestructuras críticas de gestión de dispositivos móviles, conscientes de su importancia en entornos corporativos y gubernamentales. Al comprometer un EPMM, los actores de amenazas pueden obtener acceso privilegiado a miles de dispositivos, ampliando el impacto del ataque y facilitando la exfiltración masiva de datos.
Esto convierte a los sistemas MDM en un objetivo prioritario dentro del panorama de ciberamenazas, lo que obliga a las organizaciones a fortalecer sus defensas, aplicar parches con rapidez y reforzar la visibilidad de la red.
En fin...El análisis de CISA sobre los ataques que explotaron CVE-2025-4427 y CVE-2025-4428 en Ivanti EPMM confirma que los cibercriminales cuentan con tácticas avanzadas, capaces de aprovechar fallas críticas para comprometer infraestructuras clave.
La combinación de exploits sofisticados, malware modular y entrega segmentada en Base64 muestra un alto nivel de planificación y conocimiento técnico.
La recomendación es clara: las organizaciones deben aplicar los parches de Ivanti de inmediato, reforzar la seguridad en sus sistemas MDM y monitorizar proactivamente cualquier actividad sospechosa. Solo así será posible mitigar el riesgo y responder con eficacia ante esta amenaza en evolución.
Fuente: https://www.bleepingcomputer.com/