Ivanti ha emitido una advertencia urgente y parches para una vulnerabilidad de ejecución remota de código de alta gravedad en su producto on‑premise Endpoint Manager Mobile (EPMM), registrada como CVE‑2026‑6973. Según la nota de la compañía, la falla es resultado de una validación de entrada incorrecta que permite a un atacante con credenciales administrativas ejecutar código arbitrario en instalaciones de EPMM versión 12.8.0.0 y anteriores, y ya se ha detectado explotación en ataques de tipo zero‑day, si bien Ivanti habla de un uso muy limitado en la naturaleza.
Ivanti publica las versiones que corrigen el problema: EPMM 12.6.1.1, 12.7.0.1 y 12.8.0.1, y recomienda además revisar y rotar credenciales con privilegios administrativos. La actualización afecta exclusivamente al producto on‑premise EPMM y, según la empresa, no está presente en Ivanti Neurons for MDM (solución en la nube), ni en otros productos como Ivanti EPM o Ivanti Sentry. El comunicado oficial contiene los detalles y enlaces para descarga y mitigación: https://www.ivanti.com/blog/may-2026-epmm-security-update.
El panorama operativo agrava la urgencia: proyectos de rastreo como Shadowserver detectan más de 850 direcciones IP públicas con huellas de Ivanti EPMM expuestas en Internet, concentradas principalmente en Europa y Norteamérica. No hay una visibilidad pública confiable de cuántas de esas instancias ya han aplicado parches, por lo que es razonable asumir que una proporción significativa sigue siendo vulnerable. Puede consultarse el mapa de detecciones en tiempo real en el panel de Shadowserver: https://dashboard.shadowserver.org/....
Este parche se publica junto a correcciones para otras cuatro vulnerabilidades de alta gravedad en EPMM (CVE‑2026‑5786, CVE‑2026‑5787, CVE‑2026‑5788 y CVE‑2026‑7821) que, en distintos escenarios, permiten desde adquisición de privilegios administrativos hasta suplantación de hosts Sentry y acceso a información restringida. Ivanti no ha encontrado evidencia pública de explotación de estas otras fallas, aunque advierte que CVE‑2026‑7821 puede explotarse sin privilegios en entornos con Apple Device Enrollment configurado.
El historial reciente añade contexto: Ivanti ya había parcheado en enero otras dos vulnerabilidades críticas en EPMM (CVE‑2026‑1281 y CVE‑2026‑1340) utilizadas en ataques dirigidos contra un número limitado de clientes, y la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha incluido múltiples fallos de Ivanti en su catálogo de vulnerabilidades explotadas en la naturaleza. CISA mantiene un registro de vulnerabilidades conocidas explotadas que incluye numerosos CVE asociados a Ivanti: https://www.cisa.gov/known-exploited-vulnerabilities-catalog.
Qué deben hacer los equipos de seguridad ahora: en primer lugar, priorizar la instalación inmediata de los parches indicados por Ivanti en cualquier EPMM on‑premise afectado y verificar versiones después de la actualización. Si por razones operativas no es posible parchear inmediatamente, aplique mitigaciones temporales como bloquear el acceso externo al puerto de gestión del servidor EPMM desde Internet y restringir acceso de administración mediante listas de control de acceso (ACL) y VPNs de administración. Revise y rote las credenciales administrativas, habilite la autenticación multifactor donde sea posible y limite los privilegios administrativos a cuentas de uso efímero.
La detección y caza de intrusos debe enfocarse en varios frentes: buscar evidencias de creación o uso de cuentas administrativas anómalas, revisar los logs de administración para ejecuciones de comandos o cargas inusuales, auditar certificados y hosts Sentry registrados y comprobar integridad de binarios y configuraciones. Si su organización fue afectada por las vulnerabilidades de enero y siguió la recomendación de rotar credenciales, esto reducirá el riesgo frente a CVE‑2026‑6973, tal como señala Ivanti; aun así, la confirmación técnica mediante análisis forense sigue siendo necesaria.
Más allá del parche inmediato, las organizaciones deben replantear la postura de exposición: evitar exponer consolas de administración a Internet, segmentar redes de gestión, aplicar controles de acceso basados en identidad y mínimo privilegio, y fortalecer procesos de gestión de parches y pruebas de regresión para reducir la ventana de exposición a futuras cero‑days. Considerar la migración a soluciones gestionadas en la nube o arquitecturas con controles adicionales puede mitigar el riesgo operativo asociado a productos on‑premise críticos.
Finalmente, documente el incidente en su inventario de riesgos, comunique a stakeholders pertinentes y, si detecta indicios de compromiso, coordine la respuesta con su equipo de incidentes y, de ser necesario, con autoridades regulatorias locales. Para organizaciones que administran muchos endpoints con EPMM, establecer una política de parches acelerada y ejercicios de recuperación ayudará a evitar que una vulnerabilidad como esta derive en un incidente mayor o en abuso por actores de ransomware.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...