Los defectos de seguridad críticos se revelan en la solución de administración de dispositivos móviles (MDM) ampliamente utilizada, Ivanti Endpoint Manager Mobile (EPMM), que pone a las organizaciones en riesgo de ejecución de código remoto no reconocido (RCE).
Las vulnerabilidades rastreadas como CVE-2025-4427 y CVE-2025-4428 se explotan activamente en la naturaleza, instando a una llamada urgente para aplicar parches de las agencias de seguridad y la propia Ivanti.
Vulnerabilidad del gerente de punto final ivanti
Según el informe WatchToWR, dos vulnerabilidades permiten a un atacante evitar la autenticación y ejecutar código arbitrario en el sistema afectado.
CVE-2025-4427 (CVSS 5.3): la falla de derivación de la autenticación que permite a los atacantes no autenticados acceder a puntos finales de API protegidos sin credenciales válidas. CVE-2025-4428 (CVSS 7.2): una vulnerabilidad de ejecución de código remoto que permite que un atacante ejecute código arbitrario en el sistema de destino. Para usar la entrada controlada por el usuario en las solicitudes de API para insertar y ejecutar cargas útiles de lenguaje de expresión Java (EL).
Estas vulnerabilidades existen en todas las versiones locales de Ivanti EPMM alrededor de 12.5.0.0, y los parches están disponibles en las versiones 11.12.0.5, 12.3.0.2, 12.4.0.2 y 12.5.0.1.
La cadena de ataque explota los defectos en el punto final/API/V2/características. Aquí, la verificación inapropiada de los parámetros de formato permite que un atacante inyecte expresiones de Java El Maliciosas.
En la versión vulnerable, esta entrada se pasa directamente al mensaje de error, procesada por la fuente del mensaje del marco de Spring, y la ejecución del código ocurre en el servidor.
El bypass de autenticación (CVE-2025-4427) ocurre porque el enrutamiento de seguridad de la aplicación está mal configurado, lo que permite a los atacantes alcanzar puntos finales vulnerables sin autenticación previa.
El informe dice que este problema de “orden operativo” activará una solicitud maliciosa para activar una vulnerabilidad RCE (CVE-2025-4428) incluso si no está certificada.
Explotación salvaje
Ivanti y varias agencias de ciberseguridad han identificado la explotación limitada y dirigida de estas vulnerabilidades.
Los defectos son particularmente peligrosos ya que las soluciones MDM como EPMM tienen un amplio acceso a dispositivos administrados, lo que resulta en un despliegue masivo de malware y ransomware que plantea una amenaza real si se compromete.
La vulnerabilidad se debe a la integración de dos bibliotecas de código abierto dentro de EPMM, no en el propio código de Ivanti. Esto resalta los riesgos asociados con las dependencias de terceros en el software empresarial.
La explotación exitosa permite a los atacantes instalar programas, acceder a datos confidenciales y destruir la gestión de dispositivos en sus organizaciones.
Ivanti ha lanzado Patches y se le insta a que todos los clientes actualicen inmediatamente a la última versión fija. Las organizaciones que no pueden actualizar deben consultar el aviso de Ivanti sobre la mitigación temporal y monitorear de cerca los signos de compromiso.
Los expertos en seguridad advierten que, dada la naturaleza crítica del código de exploit y la disponibilidad pública, los sistemas a continuación tienen un riesgo inmediato.
Las instituciones que incluyen el NHS, el ASD y CERT-UE reflejan la urgencia y el asesoramiento sobre acción rápida para evitar una explotación generalizada.
El descubrimiento y la explotación continua de estas vulnerabilidades de Ivanti EPMM destacan los riesgos persistentes planteados tanto por las dependencias de código abierto como por los controles de seguridad incomprendidos en entornos empresariales.
Las organizaciones que usan Ivanti EPMM deben priorizar parches, verificar la exposición y minimizar el riesgo de compromiso.
Cómo los piratas informáticos de simulación de ataque de vulnerabilidad sondean rápidamente sitios web de puntos de entrada: seminario web gratuito
