Ivanti hackeada otra vez; la CISA exige medidas inmediatas a empresas estatales

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó una alerta sobre dos conjuntos de software malicioso que se detectaron en la red de una organización no identificada tras la explotación de vulnerabilidades recientes en el sistema de gestión de dispositivos móviles Ivanti Endpoint Manager Mobile (EPMM). Los atacantes aprovecharon las vulnerabilidades CVE-2025-4427 y CVE-2025-4428, ambas utilizadas en ataques de día cero antes de que Ivanti publicara correcciones en mayo de 2025.

La primera vulnerabilidad permite eludir la autenticación y acceder a recursos protegidos, y la segunda permite ejecutar código arbitrario de forma remota. En conjunto abren la posibilidad de ejecución no autorizada de comandos arbitrarios en un servidor EPMM vulnerable. CISA señala que el ataque comenzó alrededor del 15 de mayo de 2025, poco después de la publicación del exploit de prueba de concepto.

Los atacantes usaron el acceso para ejecutar comandos que permitieron recopilar información del sistema, cargar archivos maliciosos, obtener la lista del contenido del directorio raíz, realizar reconocimiento de la red, ejecutar un script para crear volcados de pila y extraer credenciales LDAP. En el servidor se subieron dos conjuntos distintos de archivos maliciosos, ambos al directorio /tmp, cada uno de los cuales proporcionaba persistencia mediante la inyección y la ejecución de código arbitrario:

En ambos casos, un archivo JAR iniciaba una clase Java que funcionaba como receptor HTTP malicioso. Estas clases interceptaban ciertas solicitudes, descodificaban las cargas útiles incrustadas y generaban dinámicamente una nueva clase que se ejecutaba directamente en memoria.

En particular, ReflectUtil.class se utilizó para manipular objetos Java e inyectar el componente SecurityHandlerWanListener en el entorno de ejecución de Apache Tomcat. Este receptor interceptaba solicitudes HTTP, decodificaba y descifraba los datos, y luego ejecutaba la clase generada.

El segundo componente (WebAndroidAppInstaller.class) empleaba una clave codificada de forma fija para descifrar el parámetro de contraseña de la solicitud, a partir del cual se formaba y ejecutaba una nueva clase. Su resultado se volvía a cifrar con la misma clave y se enviaba en la respuesta.

De ese modo, ambas cadenas proporcionaban una capacidad encubierta para la ejecución remota de código, la persistencia en el sistema y la organización de etapas posteriores del ataque, incluyendo la intercepción y el procesamiento del tráfico HTTP con el fin de extraer datos.

CISA recomienda a los administradores actualizar de inmediato todas las instalaciones vulnerables de Ivanti EPMM a la versión actualizada, reforzar la supervisión de la actividad y restringir el acceso a los sistemas MDM para prevenir intrusiones similares en el futuro.