La CISA (Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU.) ha emitido una advertencia a las agencias federales de EE. UU. para que aseguren sus redes contra ataques que explotan tres vulnerabilidades críticas que afectan a los dispositivos Ivanti Endpoint Manager (EPM).
Vulnerabilidades Críticas Descubiertas en Ivanti EPM
Las tres vulnerabilidades identificadas son las siguientes:
- CVE-2024-13159
- CVE-2024-13160
- CVE-2024-13161
Estas fallas se deben a debilidades en la travesía de ruta absoluta, lo que permite que los atacantes remotos no autenticados puedan comprometer completamente los servidores vulnerables.
La vulnerabilidad permite la ejecución de comandos maliciosos y la toma de control del sistema afectado.
Detalles del Descubrimiento y Parches ️
Las vulnerabilidades fueron reportadas en octubre por el investigador de seguridad de Horizon3.ai, Zach Hanley y fueron parchadas por Ivanti el 13 de enero de 2025.
Aunque apenas un mes después, Horizon3.ai lanzó pruebas de concepto de los exploits que pueden ser utilizados en ataques de retransmisión para forzar la obtención de credenciales de la máquina Ivanti EPM sin autenticación.
Acción de la CISA y Plazo para las Agencias Federales ⏳
El lunes, la CISA agregó estas tres vulnerabilidades a su Catálogo de Vulnerabilidades Conocidas Explotadas, que lista las fallas de seguridad que la agencia ha identificado como activamente explotadas.
Las agencias de la Branch Civilian Executive Federal (FCEB) tienen ahora un plazo de tres semanas, hasta el 31 de marzo de 2025 para asegurar sus sistemas contra los ataques en curso, conforme a la Directiva Operacional Vinculante (BOD) 22-01 emitida en noviembre de 2021.
“Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y representan riesgos significativos para las redes federales”, advirtió la CISA.
Recomendaciones y Preocupaciones en General
Aunque la BOD 22-01 solo aplica a las agencias FCEB, CISA instó a todas las organizaciones a reducir su exposición a ciberataques, dando prioridad a la remediación de estas vulnerabilidades catalogadas como parte de sus prácticas de gestión de vulnerabilidades.
Ivanti aún no ha actualizado su asesoría de seguridad después de que la CISA etiquetara las vulnerabilidades como activamente explotadas en ataques.
Ataques Recientes y Parches Pendientes
En enero de 2025, tanto la CISA como el FBI advirtieron que los atacantes aún están explotando vulnerabilidades en los dispositivos Ivanti Cloud Service Appliances (CSA), que fueron parchadas en septiembre del año anterior. Estos ataques han permitido que las redes vulnerables sean comprometidas a pesar de los parches existentes.
A lo largo del último año, múltiples vulnerabilidades de Ivanti han sido explotadas como zero-days en ataques a gran escala, que han apuntado a los dispositivos VPN de la empresa, así como a sus puertas de enlace ICS, IPS, y ZTA.
Actividad de Ciberespionaje Relacionada con Ivanti
Desde el inicio de 2025, se ha reportado que un actor de ciberespionaje relacionado con China (seguido como UNC5221) ha atacado dispositivos Ivanti Connect Secure VPN, infectándolos con malware Dryhook y Phasejam después de ejecutar con éxito un ataque zero-day de ejecución remota de código.
Alcance Global de Ivanti
Ivanti colabora con más de 7,000 organizaciones a nivel mundial, proporcionando soluciones de gestión de sistemas y activos informáticos a más de 40,000 empresas en todo el mundo.
Las organizaciones afectadas deben tomar medidas inmediatas para parchear sus sistemas y evitar que estos ataques continúen comprometiendo sus redes.