Redazione RHC : 21 septiembre 2025 08:42
La Agencia de Ciberseguridad de EE. UU. (CISA) ha emitido una alerta sobre dos kits de malware descubiertos en la red de una organización no identificada tras explotar nuevas vulnerabilidades en el sistema de gestión de dispositivos móviles Ivanti Endpoint Manager Mobile (EPMM).
Los atacantes explotaron las vulnerabilidades CVE-2025-4427 y CVE-2025-4428, ambas utilizadas en ataques de día cero antes del lanzamiento de Ivanti se actualiza en mayo de 2025.
La primera vulnerabilidad permite la omisión de la autenticación y el acceso a recursos protegidos, mientras que la segunda permite la ejecución remota de código. En conjunto, permiten la ejecución no autorizada de comandos arbitrarios en el servidor EPMM vulnerable. CISA señala que el ataque comenzó alrededor del 15 de mayo de 2025, poco después de la publicación del exploit PoC.
Los atacantes utilizaron este acceso para ejecutar comandos que les permitieron recopilar información del sistema, cargar archivos maliciosos, listar el contenido del directorio raíz, realizar reconocimiento de red, ejecutar un script para crear un volcado de pila y extraer credenciales LDAP. Se subieron al servidor dos conjuntos diferentes de archivos maliciosos, ambos en el directorio /tmp, y cada uno garantizaba la persistencia mediante la inyección y ejecución de código arbitrario:
En ambos casos, el archivo JAR lanzaba una clase Java que actuaba como un receptor HTTP malicioso. Estas clases interceptaban solicitudes específicas, descifraban las cargas útiles integradas y creaban dinámicamente una nueva clase que se ejecutaba directamente en memoria.
En concreto, se utilizó la clase ReflectUtil.class para manipular objetos Java e inyectar un componente SecurityHandlerWanListener en el entorno de ejecución de Apache Tomcat. Este receptor interceptó las solicitudes HTTP, decodificó y descifró los datos y, a continuación, ejecutó la clase generada.
El segundo componente (WebAndroidAppInstaller.class) utilizó una clave predefinida para descifrar el parámetro de contraseña de la solicitud, que se utilizó para generar y ejecutar la nueva clase. El resultado se volvió a cifrar con la misma clave y se envió como respuesta.
Por lo tanto, ambas cadenas proporcionaron una capacidad oculta para la ejecución remota de código, la presencia persistente en el sistema y la orquestación de las etapas posteriores del ataque, incluyendo la interceptación y el procesamiento del tráfico HTTP para la exfiltración de datos.
CISA recomienda que los administradores actualicen inmediatamente todas las instalaciones vulnerables de Ivanti EPMM a la última versión, refuercen la monitorización de la actividad y restrinjan el acceso a los sistemas MDM para evitar intrusiones similares en el futuro.
RedazioneImagina una ciudad futurista dividida en dos: por un lado, relucientes torres de innovación; por el otro, el caos y las sombras de la pérdida de control. Esta no es una visión distópica, sino el p...
Había una vez un pueblo con un Bosque Mágico. Sus habitantes se sentían orgullosos de tenerlo, incluso un poco orgullosos. Por eso, todos sacrificaban gustosamente algunas pequeñas comodidades par...
Según informes, los servicios de inteligencia surcoreanos , incluido el Servicio Nacional de Inteligencia, creen que existe una alta probabilidad de que el presidente estadounidense Donald Trump cele...
En 2025, los usuarios siguen dependiendo en gran medida de contraseñas básicas para proteger sus cuentas. Un estudio de Comparitech, basado en un análisis de más de 2 mil millones de contraseñas ...
En unos años, Irlanda y Estados Unidos estarán conectados por un cable de comunicaciones submarino diseñado para ayudar a Amazon a mejorar sus servicios AWS . Los cables submarinos son una parte fu...
