La agencia ordena parchear antes del 23 de marzo una falla de bypass de autenticación que permite robo de credenciales en Ivanti Endpoint Manager.
La Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) confirmó este lunes, 9 de Marzo, la adición de la vulnerabilidad CVE-2026-1603 a su catálogo de vulnerabilidades explotadas conocidas (KEV).
Este fallo de seguridad, presente en Ivanti Endpoint Manager (EPM), presenta una puntuación CVSS de 8.6 y permite a atacantes remotos no autenticados eludir mecanismos de autenticación para filtrar credenciales almacenadas. La inclusión en este listado se basa en evidencia concreta de que la falla está siendo utilizada activamente en campañas de ataques reales, elevando la prioridad de mitigación para todas las organizaciones federales y privadas.
Técnicamente, el defecto se clasifica como una omisión de autenticación mediante un camino o canal alterno (CWE-288). Esta vulnerabilidad crítica permite a un adversario remoto, sin necesidad de privilegios previos, evadir los controles de acceso estándar para exfiltrar datos sensibles.
Aunque Ivanti publicó la corrección el mes pasado como parte de la actualización EPM 2024 SU5, la designación oficial de CISA indica que las campañas de explotación ya están ocurriendo en la naturaleza. La gravedad radica en la baja complejidad del ataque: no requiere interacción del usuario ni condiciones de carrera complejas, simplemente el acceso a la red vulnerable, lo que facilita su uso en escaneos masivos automatizados dirigidos a infraestructuras expuestas.
Desde la perspectiva del adversario, la utilidad de CVE-2026-1603 es estratégica para la persistencia y el movimiento lateral dentro de redes corporativas. Al filtrar credenciales específicas almacenadas, los actores de amenaza pueden obtener acceso privilegiado sin necesidad de explotar inicialmente una ejecución remota de código (RCE) más compleja, o pueden usar estas credenciales para pivotar hacia otros sistemas donde sí tengan un RCE disponible.
Este comportamiento sugiere una táctica de "cred harvesting" dirigida específicamente a entornos de gestión de dispositivos, que suelen operar con altos privilegios. La explotación de herramientas de gestión es un patrón recurrente, ya que comprometer un único punto de control permite manipular miles de endpoints simultáneamente.
La directriz vinculante de CISA (BOD 22-01) establece un plazo estricto para las agencias ejecutivas federales: aplicar las mitigaciones o parches correspondientes antes del 23 de marzo de 2026. Para las organizaciones en América Latina que utilizan esta plataforma de gestión de endpoints muy popular en grandes corporaciones y sectores regulados, la urgencia es paralela. Ivanti EPM es fundamental para administrar activos en Windows, macOS, Linux, Chrome OS e IoT; comprometer esta herramienta entrega el control total sobre el inventario tecnológico de la empresa. A menudo, estos sistemas de gestión quedan olvidados en la perimetría o con acceso web habilitado sin restricciones de IP adecuadas, convirtiéndose en un blanco fácil para el reconocimiento automatizado.
Como contramedida inmediata, los administradores deben verificar si están ejecutando versiones vulnerables y proceder a actualizar a la versión EPM 2024 SU5 o posterior de acuerdo con las instrucciones del proveedor.
Si la actualización inmediata no es viable debido a ventanas de mantenimiento restrictivas, se debe restringir el acceso a la interfaz de administración y pasarelas de EPM únicamente desde direcciones IP confiables o redes internas, eliminando la exposición a la red pública. La revisión de logs para detectar intentos de autenticación a través de rutas no convencionales o accesos anómalos a bases de datos de credenciales es esencial para determinar si el acceso ya ha sido comprometido antes de la aplicación del parche.
FUENTE ORIGINAL
CISA↗CURADO POR
Alejandro Vargas