Nuevo 0day en Ivanti: la seguridad de las grandes empresas vuelve a quedar en entredicho
La lista de víctimas crece más rápido que las medidas oficiales.
Los clientes de Ivanti volvieron a enfrentarse a un ataque a través de un producto que ya ha estado en el centro de incidentes sonados. En esta ocasión los atacantes explotan una vulnerabilidad hasta ahora desconocida en Ivanti Endpoint Manager Mobile, utilizado para proteger y gestionar dispositivos móviles en el perímetro de las redes corporativas.
La compañía advirtió sobre CVE-2026-6973 el jueves 7 de mayo. El fallo está relacionado con una validación incorrecta de datos de entrada y permite la ejecución remota de código, pero para explotar la vulnerabilidad se requieren privilegios de administrador en EPMM. Según Ivanti, al momento de la divulgación la empresa conocía solo una explotación muy limitada de la vulnerabilidad en ataques reales. Ivanti no precisó cuándo comenzaron los primeros incidentes ni cuántos clientes resultaron afectados.
La agencia CISA incorporó CVE-2026-6973 al catálogo de vulnerabilidades conocidas explotadas pocas horas después de la publicación del boletín. Ivanti también publicó actualizaciones para este fallo y para varias otras vulnerabilidades de alto riesgo en EPMM. La compañía afirmó que parte de los problemas fueron detectados por sistemas internos de detección, incluidos los que emplean IA y la posterior verificación por especialistas, y que una de las vulnerabilidades fue reportada por un exempleado.
Ivanti relaciona el riesgo de un nuevo ataque con las consecuencias de los incidentes de enero, cuando los atacantes explotaron las vulnerabilidades críticas CVE-2026-1281 y CVE-2026-1340 en el mismo producto. Entonces los ataques afectaron a casi 100 organizaciones, incluyendo la autoridad neerlandesa de protección de datos y el Consejo de la Autoridad Judicial de los Países Bajos. La compañía considera que los clientes que cambiaron las credenciales de EPMM tras las recomendaciones de enero redujeron notablemente el riesgo de compromiso.
La vicepresidenta de VulnCheck para investigaciones de seguridad, Caitlin Condon, considera que el requisito de privilegios administrativos podría indicar el uso de CVE-2026-6973 como parte de una cadena de ataque tras una intrusión inicial por otro medio. Según ella, las vulnerabilidades anteriores en EPMM eran más peligrosas en la fase inicial, ya que permitían explotación remota sin autenticación.
Los problemas de Ivanti llevan tiempo llamando la atención de los defensores de redes. Desde finales de 2021 CISA añadió al catálogo de vulnerabilidades explotadas 34 fallos en productos de la compañía. En los últimos dos años los atacantes han explotado al menos 22 vulnerabilidades de Ivanti, incluyendo cinco problemas en EPMM en el último año.
El director de seguridad de Ivanti, Daniel Spicer, explicó anteriormente el gran número de vulnerabilidades divulgadas por una política más abierta de la compañía. Ivanti afirma que continúa reforzando el programa de seguridad de sus productos, buscando errores más rápido y divulgando información sobre los riesgos para los clientes.