Ivanti ha publicado parches de seguridad para corregir dos vulnerabilidades críticas que afectan a su solución de gestión de dispositivos móviles Ivanti Endpoint Manager Mobile (EPMM) y que ya están siendo aprovechadas en ataques «zero‑day». Ambos fallos, identificados como CVE-2026-1281 y CVE-2026-1340, reciben una puntuación muy alta en la escala CVSS (9,8) y permiten la inyección de código que podría derivar en ejecución remota no autenticada sobre el appliance afectado.
La compañía ha informado que estas debilidades impactan funciones concretas del producto, en particular la distribución interna de aplicaciones (In‑House Application Distribution) y la configuración de transferencia de archivos para Android (Android File Transfer Configuration), y ha dejado claro que otros productos de la familia Ivanti —como Ivanti Neurons for MDM, Ivanti Endpoint Manager (EPM) o Ivanti Sentry— no se ven afectados por estos fallos. El aviso oficial y la guía técnica están disponibles en los foros de Ivanti donde explican los escenarios de explotación y mitigación: aviso de seguridad de Ivanti y el análisis detallado con orientación técnica.
Ambas vulnerabilidades han sido catalogadas como explotadas en la naturaleza, y la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha añadido al menos una de ellas —CVE‑2026‑1281— a su catálogo de vulnerabilidades conocidas por ser explotadas (Known Exploited Vulnerabilities, KEV), lo que obliga a las agencias federales a aplicar las correcciones en plazos muy cortos. El aviso de CISA que incorpora la entrada y la página del catálogo pueden consultarse aquí: alerta de CISA y catálogo KEV.
Desde el punto de vista técnico, la explotación de estos fallos permite a un atacante inyectar código en el appliance EPMM y conseguir ejecución arbitraria sin necesidad de autenticarse, lo que abre la puerta a comprometer la infraestructura y a acceder a información sensible sobre los dispositivos administrados. Ivanti describe que, históricamente, los ataques exitosos contra variantes anteriores de EPMM han terminado por implantar persistencia mediante web shells o reverse shells, técnicas que aseguran el acceso prolongado al sistema comprometido.
Las versiones afectadas comprenden ramas de EPMM hasta la 12.5.x, 12.6.x y 12.7.x según la matriz de versiones publicada; por su parte, la compañía indica que la corrección definitiva se incorporará de forma permanente en la versión 12.8.0.0 que espera lanzar en el transcurso del primer trimestre de 2026. Como medida inmediata, Ivanti ha distribuido un parche en formato RPM, pero advierte que este parche no sobrevive a una actualización de versión: si el appliance se actualiza tras aplicar el RPM, será necesario volver a instalarlo.
Ivanti también comunica que ha detectado un número reducido de clientes que han sufrido explotación al momento de la divulgación, pero que aún no dispone de indicadores de compromiso atómicos y verificables que permitan trazar de forma fiable la actividad del actor detrás de los ataques. Esa incertidumbre es precisamente la razón por la que la empresa ofrece instrucciones para la búsqueda de evidencias en los sistemas y para la contención y recuperación si se confirma una intrusión.
Para identificar intentos o incursiones, la recomendación operativa pasa por revisar el log de acceso de Apache ubicado en /var/log/httpd/https-access_log buscando patrones en las peticiones hacia los endpoints implicados. Ivanti facilita una expresión regular que ayuda a detectar solicitudes que devuelven códigos 404 asociados a intentos de abuso en las rutas /mifs/c/(aft|app)store/fob; en condiciones normales las llamadas legítimas deben devolver un 200, mientras que los intentos o explotaciones fallidas suelen provocar 404. Encontrar registros que concuerden con ese patrón, o respuestas anómalas, debe conducir a una investigación más profunda.
Además de vigilar los logs web, Ivanti aconseja revisar cambios recientes en la propia configuración: comprobar administradores nuevos o modificados, verificar ajustes de autenticación como SSO y LDAP, revisar aplicaciones de push y su configuración, políticas añadidas o alteradas y cualquier cambio en la configuración de red o VPN que se despliegue a los dispositivos móviles. Si se detectan indicios de compromiso, la recomendación firme es restaurar el appliance desde una copia de seguridad fiable o reconstruir una instancia nueva y migrar datos, y a continuación rotar credenciales y certificados críticos.
En caso de limpieza tras un incidente, las acciones de contención sugeridas incluyen restablecer las contraseñas de cuentas locales de EPMM, cambiar las credenciales de servicio usadas para búsquedas LDAP o KDC, revocar y reemplazar el certificado público del appliance y actualizar cualquier otra cuenta de servicio vinculada al entorno. Estas medidas buscan eliminar puertas traseras y credenciales que un atacante pudiera haber exfiltrado u obtenido durante la intrusión.
Para administradores y equipos de seguridad, la prioridad inmediata es aplicar los parches oficiales de Ivanti cuando sea posible y corroborar que la corrección se conserva después de cualquier actualización de versión; si se utiliza el RPM temporal, hay que planificar su reinstalación tras cada upgrade hasta que la versión 12.8.0.0 esté desplegada. Las notas y actualizaciones de Ivanti se pueden consultar en su espacio de avisos: forum/aviso de Ivanti.
La entrada de CVE-2026-1281 en el catálogo KEV ha acelerado los plazos regulatorios para organismos del gobierno de Estados Unidos: las agencias federales deben haber aplicado las correcciones en la fecha límite establecida por CISA, que en este caso pautó un cumplimiento rápido. Para equipos fuera del ámbito federal, la recomendación práctica es idéntica: priorizar la actualización, monitorizar evidencia de actividad sospechosa y estar preparados para respuestas de incidentes que incluyan restauración desde copias fiables, reconstrucción de appliances y rotación de credenciales críticas.
En un entorno donde las plataformas de gestión móvil concentran acceso y datos sensibles sobre los dispositivos de una organización, una vulnerabilidad que permita ejecución remota sin autenticación no es una amenaza menor. Mantener los sistemas actualizados, auditar los cambios en las configuraciones y contar con procesos claros de recuperación y rotación de credenciales son medidas que reducen el riesgo y aceleran la respuesta ante una intrusión. Para más información y pasos técnicos contrastados, consulte la comunicación de Ivanti y la guía de CISA: análisis y orientación de Ivanti y la alerta de CISA.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...