Actualización de Ivanti permite hackear empresas de todo el mundo sin necesidad de contraseñas

Dos nuevas vulnerabilidades de día cero en el sistema de gestión de dispositivos móviles Ivanti ya se están utilizando en ataques reales, y no son casos aislados. Los atacantes buscan masivamente servidores desprotegidos y obtienen control total sobre ellos sin conocer las contraseñas ni involucrar a los usuarios.

Se trata de las vulnerabilidades CVE-2026-1281 y CVE-2026-1340 en Ivanti Endpoint Manager Mobile. Ambas obtuvieron una puntuación de 9,8 en la escala CVSS. Permiten ejecutar código arbitrario de forma remota en el servidor que administra los teléfonos inteligentes y las tabletas corporativas. En la práctica, un atacante puede apoderarse del control de toda la infraestructura de gestión de dispositivos móviles.

Según los datos del grupo de investigación Unit 42 de Palo Alto Networks, los ataques son masivos y en su mayoría automatizados. Los atacantes instalan shells inversos, suben programas maliciosos, realizan reconocimiento y colocan web shells para mantener acceso posterior. La campaña afectó a organismos estatales y municipales, organizaciones sanitarias, empresas industriales, despachos jurídicos y al sector tecnológico en EE. UU., Alemania, Australia y Canadá.

La agencia CISA añadió CVE-2026-1281 al catálogo de vulnerabilidades explotadas conocidas. Esto significa que el problema ya se utiliza activamente en ataques y representa un alto riesgo para las organizaciones.

La primera vulnerabilidad está relacionada con scripts bash antiguos que el servidor web Apache utiliza para procesar direcciones. El error permite inyectar un comando en una solicitud HTTP GET especialmente formada. El atacante manipula los parámetros de la solicitud de modo que el servidor ejecute el comando incorporado en ellos. Como prueba sencilla, los atacantes suelen usar el comando sleep 5. Si el servidor se detiene durante cinco segundos, significa que la ejecución remota de código funcionó y se puede pasar a la instalación de la carga útil completa.

La segunda vulnerabilidad afecta al mecanismo de transferencia de archivos hacia dispositivos Android. La causa es la misma: manejo inseguro de datos en un script bash, pero se aprovecha otro componente. La explotación ocurre mediante solicitudes HTTP similares dirigidas a otra ruta.

En varios ataques los atacantes intentaron eludir la autenticación de la plataforma MobileIron y cargaron directamente la segunda etapa del malware. Con frecuencia instalaba web shells con nombres como 401.jsp o 1.jsp en el directorio de la aplicación web. Si el servidor funcionaba con privilegios de administrador, el atacante obtenía control total del sistema. También se registraron intentos de subir el agente Nezha para monitorizar servidores y conectar nodos a una botnet.

Según la estimación de Palo Alto Networks, en la red hay más de 4 400 instancias de Ivanti EPMM accesibles. Esta es una superficie potencial de ataque si los sistemas no se han actualizado.

Ivanti publicó una actualización de seguridad en enero de 2026. La compañía recomienda instalar el paquete RPM de la versión 12.x.0.x o 12.x.1.x según la versión del producto que se utilice. La actualización se instala sin tiempo de inactividad y no afecta al funcionamiento de las funciones. El fabricante aconseja aplicar la corrección lo antes posible y revisar el sistema en busca de signos de intrusión, ya que los atacantes pueden mantener acceso oculto incluso después de aplicar el parche.

La situación muestra que el tiempo entre la publicación de información sobre una vulnerabilidad y su uso masivo prácticamente ha desaparecido. Los atacantes añaden los nuevos CVE a sus herramientas de escaneo en pocas horas. Las organizaciones con interfaces de gestión expuestas a internet deberían asumir que ya se han producido intentos de intrusión y comprobar la infraestructura no solo para detectar actualizaciones pendientes, sino también para identificar rastros de persistencia dentro de la red.