Ivanti EPMM afectado por dos vulnerabilidades de día cero explotadas activamente

Los usuarios de Ivanti EPMM necesitan urgentemente aplicar parches contra las vulnerabilidades 0day explotadas activamente (CVE-2025-4427, CVE-2025-4428) que permiten la ejecución remota de código previamente autenticado, advierte watchTowr.

Los investigadores de ciberseguridad de watchTowr han compartido detalles de dos vulnerabilidades de seguridad en el software Ivanti Endpoint Manager Mobile (EPMM), identificadas como CVE-2025-4427 y CVE-2025-4428, que pueden combinarse para obtener control completo sobre los sistemas afectados y son explotadas activamente por los atacantes.

Ivanti EPMM es un sistema de gestión de dispositivos móviles ( MDM ), crucial para la seguridad empresarial, que actúa como punto central para controlar la implementación de software y aplicar políticas en los dispositivos de los empleados. Sin embargo, las fallas mencionadas convierten esta herramienta de gestión en una posible puerta de entrada para actores maliciosos. El análisis de watchTowr, compartido con Hackread.com, indica que explotar estas vulnerabilidades es sorprendentemente sencillo.

La primera vulnerabilidad, CVE-2025-4427, es una falla de omisión de autenticación que permite a los atacantes acceder a partes protegidas del sistema Ivanti EPMM sin necesidad de las credenciales de inicio de sesión adecuadas. La segunda vulnerabilidad, CVE-2025-4428, es una falla de ejecución remota de código (RCE) que, de ser explotada, puede permitir a los atacantes ejecutar su propio código malicioso en el servidor.

La propia Ivanti ha reconocido la gravedad de la combinación de estos problemas, afirmando que «una explotación exitosa podría provocar la ejecución remota de código no autenticado». También ha informado de que conocen un «número muy limitado de clientes que han sido explotados» desde que se revelaron las vulnerabilidades.

Esto sugiere que, si bien en la actualidad los ataques pueden estar dirigidos, podrían generalizarse. watchTowr señala que una vez que dichos ataques dirigidos se hacen públicos, es común que los atacantes inicien una explotación masiva para encontrar sistemas vulnerables restantes.

Curiosamente, Ivanti afirmó que las vulnerabilidades no se encuentran en su propio código, sino que están «asociadas a dos bibliotecas de código abierto integradas en EPMM». Hizo hincapié en que el uso de código abierto es una práctica habitual en la industria tecnológica.

watchTowr descubrió una vulnerabilidad de RCE ( CVE-2025-4428 ) en la biblioteca hibernate-validator, que permitía a los atacantes inyectar código malicioso mediante un parámetro llamado "format" en las solicitudes de API . Watchtower demostró esta vulnerabilidad enviando una simple solicitud web que ejecutaba un cálculo, lo que demostraba que la inyección de código era posible. Además, podían ejecutar comandos del sistema, como crear un archivo en el servidor.

La omisión de autenticación ( CVE-2025-4427 ) es un problema de "orden de operaciones" más que una omisión tradicional. Un parámetro "format" manipulado en una solicitud al endpoint /api/v2/featureusage_history activa el proceso de validación vulnerable antes de la comprobación de autenticación, lo que permite que un atacante no autenticado active la vulnerabilidad de ejecución de código. La presencia del parámetro modifica el orden de procesamiento, eliminando la necesidad de iniciar sesión primero.

watchTowr encadenó con éxito estas dos vulnerabilidades en el servidor EPMM de Ivanti al enviar una solicitud web diseñada al punto final /rs/api/v2/featureusage con un parámetro “format” malicioso, lo que les permitió ejecutar comandos del sistema sin iniciar sesión y, de esta manera, crear un escenario RCE previamente autenticado.

Estas vulnerabilidades representan un riesgo crítico para las organizaciones que utilizan las versiones afectadas. Hay parches disponibles para las versiones 11.12.0.5, 12.3.0.2, 12.4.0.2 y 12.5.0. Se recomienda a las organizaciones que utilicen versiones anteriores sin parches que actualicen de inmediato.