Redazione RHC : 21 septiembre 2025 08:42
La Agencia de Ciberseguridad de EE. UU. (CISA) ha emitido una alerta sobre dos kits de malware descubiertos en la red de una organización no identificada tras explotar nuevas vulnerabilidades en el sistema de gestión de dispositivos móviles Ivanti Endpoint Manager Mobile (EPMM).
Los atacantes explotaron las vulnerabilidades CVE-2025-4427 y CVE-2025-4428, ambas utilizadas en ataques de día cero antes del lanzamiento de Ivanti se actualiza en mayo de 2025.
La primera vulnerabilidad permite la omisión de la autenticación y el acceso a recursos protegidos, mientras que la segunda permite la ejecución remota de código. En conjunto, permiten la ejecución no autorizada de comandos arbitrarios en el servidor EPMM vulnerable. CISA señala que el ataque comenzó alrededor del 15 de mayo de 2025, poco después de la publicación del exploit PoC.
Los atacantes utilizaron este acceso para ejecutar comandos que les permitieron recopilar información del sistema, cargar archivos maliciosos, listar el contenido del directorio raíz, realizar reconocimiento de red, ejecutar un script para crear un volcado de pila y extraer credenciales LDAP. Se subieron al servidor dos conjuntos diferentes de archivos maliciosos, ambos en el directorio /tmp, y cada uno garantizaba la persistencia mediante la inyección y ejecución de código arbitrario:
En ambos casos, el archivo JAR lanzaba una clase Java que actuaba como un receptor HTTP malicioso. Estas clases interceptaban solicitudes específicas, descifraban las cargas útiles integradas y creaban dinámicamente una nueva clase que se ejecutaba directamente en memoria.
En concreto, se utilizó la clase ReflectUtil.class para manipular objetos Java e inyectar un componente SecurityHandlerWanListener en el entorno de ejecución de Apache Tomcat. Este receptor interceptó las solicitudes HTTP, decodificó y descifró los datos y, a continuación, ejecutó la clase generada.
El segundo componente (WebAndroidAppInstaller.class) utilizó una clave predefinida para descifrar el parámetro de contraseña de la solicitud, que se utilizó para generar y ejecutar la nueva clase. El resultado se volvió a cifrar con la misma clave y se envió como respuesta.
Por lo tanto, ambas cadenas proporcionaron una capacidad oculta para la ejecución remota de código, la presencia persistente en el sistema y la orquestación de las etapas posteriores del ataque, incluyendo la interceptación y el procesamiento del tráfico HTTP para la exfiltración de datos.
CISA recomienda que los administradores actualicen inmediatamente todas las instalaciones vulnerables de Ivanti EPMM a la última versión, refuercen la monitorización de la actividad y restrinjan el acceso a los sistemas MDM para evitar intrusiones similares en el futuro.
RedazioneLos piratas informáticos apuntan cada vez más a las copias de seguridad: no a los sistemas o servidores, sino a los datos que las empresas conservan durante un período de tiempo limitado para poder...
Dos jóvenes involucrados en el grupo Araña Dispersa han sido acusados como parte de la investigación de la Agencia Nacional contra el Crimen sobre un ciberataque a Transport for London (TfL). El 31...
Ya habíamos debatido la propuesta de regulación «ChatControl» hace casi dos años, pero dada la hoja de ruta en curso, nos avergüenza tener que volver a debatirla. Parece un déjà vu, pero en lu...
En un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
