Redazione RHC : 21 septiembre 2025 08:42
La Agencia de Ciberseguridad de EE. UU. (CISA) ha emitido una alerta sobre dos kits de malware descubiertos en la red de una organización no identificada tras explotar nuevas vulnerabilidades en el sistema de gestión de dispositivos móviles Ivanti Endpoint Manager Mobile (EPMM).
Los atacantes explotaron las vulnerabilidades CVE-2025-4427 y CVE-2025-4428, ambas utilizadas en ataques de día cero antes del lanzamiento de Ivanti se actualiza en mayo de 2025.
La primera vulnerabilidad permite la omisión de la autenticación y el acceso a recursos protegidos, mientras que la segunda permite la ejecución remota de código. En conjunto, permiten la ejecución no autorizada de comandos arbitrarios en el servidor EPMM vulnerable. CISA señala que el ataque comenzó alrededor del 15 de mayo de 2025, poco después de la publicación del exploit PoC.
Los atacantes utilizaron este acceso para ejecutar comandos que les permitieron recopilar información del sistema, cargar archivos maliciosos, listar el contenido del directorio raíz, realizar reconocimiento de red, ejecutar un script para crear un volcado de pila y extraer credenciales LDAP. Se subieron al servidor dos conjuntos diferentes de archivos maliciosos, ambos en el directorio /tmp, y cada uno garantizaba la persistencia mediante la inyección y ejecución de código arbitrario:
En ambos casos, el archivo JAR lanzaba una clase Java que actuaba como un receptor HTTP malicioso. Estas clases interceptaban solicitudes específicas, descifraban las cargas útiles integradas y creaban dinámicamente una nueva clase que se ejecutaba directamente en memoria.
En concreto, se utilizó la clase ReflectUtil.class para manipular objetos Java e inyectar un componente SecurityHandlerWanListener en el entorno de ejecución de Apache Tomcat. Este receptor interceptó las solicitudes HTTP, decodificó y descifró los datos y, a continuación, ejecutó la clase generada.
El segundo componente (WebAndroidAppInstaller.class) utilizó una clave predefinida para descifrar el parámetro de contraseña de la solicitud, que se utilizó para generar y ejecutar la nueva clase. El resultado se volvió a cifrar con la misma clave y se envió como respuesta.
Por lo tanto, ambas cadenas proporcionaron una capacidad oculta para la ejecución remota de código, la presencia persistente en el sistema y la orquestación de las etapas posteriores del ataque, incluyendo la interceptación y el procesamiento del tráfico HTTP para la exfiltración de datos.
CISA recomienda que los administradores actualicen inmediatamente todas las instalaciones vulnerables de Ivanti EPMM a la última versión, refuercen la monitorización de la actividad y restrinjan el acceso a los sistemas MDM para evitar intrusiones similares en el futuro.
RedazioneIvanti ha publicado 13 vulnerabilidades en su software Endpoint Manager (EPM) , incluidas dos fallas de alta gravedad que podrían permitir la ejecución remota de código y la escalada de privilegios...
Los analistas de Sophos descubrieron una compleja operación de malware realizada por expertos en seguridad que utiliza el popular servicio de mensajería WhatsApp para propagar troyanos bancarios, ap...
Se ha identificado una vulnerabilidad crítica en la arquitectura de seguridad de hardware AMD SEV-SNP, que afecta a los principales proveedores de servicios en la nube (AWS, Microsoft Azure y Google ...
La empresa israelí NSO Group, desarrolladora del infame software espía Pegasus , quedó recientemente bajo el control de inversores estadounidenses. Un portavoz de la compañía anunció que la nuev...
Más de 1,2 millones de kilómetros de cables de fibra óptica se extienden por el fondo oceánico, considerados durante mucho tiempo solo como parte de una red global de telecomunicaciones. Sin embar...
