La Agencia de Ciberseguridad y de Infraestructura de Seguridad (CISA) de EE. UU. emitió esta semana una directiva obligatoria que exige a las agencias civiles ejecutivas federales (FCEB) parchear, antes de la medianoche del 11 de abril (este sábado), una vulnerabilidad crítica de inyección de código en Ivanti Endpoint Manager Mobile (EPMM), registrada bajo el identificador CVE-2026-1340.
El fallo ha sido explotado por piratas informáticos desde enero. Los atacantes pueden aprovechar esta brecha para ejecutar código de forma remota en dispositivos EPMM conectados a internet que no hayan sido actualizados. Ivanti confirmó anteriormente que esta vulnerabilidad, junto con la CVE-2026-1281, se utilizó en ataques de día cero, por lo que lanzó una actualización de seguridad el pasado 29 de enero.
En su aviso de actualización, Ivanti señaló: "La explotación exitosa de esta vulnerabilidad podría permitir la ejecución remota de código sin necesidad de autenticación. En el momento de la divulgación, teníamos conocimiento de que un número muy limitado de clientes había sido objeto de ataques".
La amenaza se extiende a nivel global
Según datos de la organización de monitoreo de seguridad Shadowserver, todavía hay cerca de 950 direcciones IP expuestas a internet en todo el mundo que presentan las características de Ivanti EPMM. De este total, 569 se encuentran en Europa y 206 en Norteamérica. Por el momento, se desconoce cuántos de estos dispositivos han sido actualizados correctamente.
La CISA ha incluido esta vulnerabilidad en su catálogo de "Vulnerabilidades Explotadas Conocidas" (KEV). Bajo la Directiva Operativa Vinculante (BOD) 22-01, las agencias federales están obligadas a cumplir estrictamente con los requisitos de reparación. La CISA advirtió: "Este tipo de vulnerabilidades son vectores de ataque comunes para los ciberdelincuentes y representan un riesgo significativo para la infraestructura federal".
Aunque la directiva está dirigida principalmente a las agencias federales estadounidenses, la CISA recomienda a todos los defensores del sector privado que apliquen los parches lo antes posible para proteger sus sistemas. La agencia enfatizó que, en caso de no poder aplicar la actualización, se debe seguir la guía de la BOD 22-01 sobre servicios en la nube o, en última instancia, dejar de utilizar el producto.
En los últimos años, varios productos de Ivanti han presentado vulnerabilidades que han sido explotadas en ataques de día cero contra organismos gubernamentales de todo el mundo. Según las estadísticas, la CISA ha catalogado actualmente 33 vulnerabilidades de Ivanti como "explotadas", de las cuales 12 han sido utilizadas por diversos grupos de ransomware.
Ivanti proporciona soluciones de gestión de activos de TI a más de 7,000 socios y 40,000 clientes a nivel global. Con la fecha límite para la aplicación de parches acercándose, los administradores de sistemas en todo el mundo se enfrentan a una enorme presión para asegurar sus infraestructuras.
