- Hoy, CISA agregó tres vulnerabilidades de Ivanti Endpoint Manager (EPM) CVE-2024-13159, CVE-2024-13160 y CVE-2024-13161 a su catálogo de vulnerabilidades explotadas conocidas (KEV).
- Estas fallas absolutas de recorrido de ruta permiten que atacantes remotos y no autenticados filtren información confidencial de los sistemas afectados.
- Las agencias federales deben mitigar estas vulnerabilidades antes del 31 de marzo de 2025, según la directiva de CISA, aunque no se ha confirmado ningún vínculo específico con el ransomware.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) actualizó su catálogo KEV el 10 de marzo de 2025 para incluir tres vulnerabilidades recientemente identificadas en Ivanti Endpoint Manager (EPM), un software empresarial ampliamente utilizado para administrar puntos finales.
El catálogo KEV rastrea las vulnerabilidades explotadas activamente en la naturaleza, instando a las organizaciones a priorizar la remediación para salvaguardar los sistemas críticos.
Las tres vulnerabilidades CVE-2024-13159, CVE-2024-13160 y CVE-2024-13161 se clasifican como problemas de recorrido de ruta absoluto (CWE-36), con características idénticas:
Cada falla permite que un atacante remoto y no autenticado acceda a archivos confidenciales manipulando las rutas de los archivos, exponiendo potencialmente datos de configuración, credenciales u otra información crítica.
Mecanismo de explotación
Estas vulnerabilidades se deben a una validación de ruta inadecuada en los procesos de manejo de archivos de Ivanti EPM. Un atacante puede enviar solicitudes HTTP manipuladas, como GET /../../SENSITIVE/FILE, para atravesar el sistema de archivos más allá de los directorios previstos.
Si tiene éxito, esto podría revelar archivos como registros o ajustes de configuración sin requerir autenticación, proporcionando un punto de apoyo para futuros ataques.
Si bien se desconoce si estas vulnerabilidades están vinculadas a campañas de ransomware, su presencia en el catálogo de KEV indica una explotación confirmada en escenarios del mundo real. Dado el papel de Ivanti EPM en la gestión de terminales empresariales, las fugas de datos confidenciales podrían provocar compromisos más amplios de la red, lo que hace que tomar medidas oportunas sea fundamental.
- Acción requerida: las organizaciones deben aplicar mitigaciones según las instrucciones de Ivanti, cumplir con la Directiva operativa vinculante (BOD) 22-01 para servicios en la nube o suspender el uso si los parches no están disponibles.
- Fecha límite: Las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen hasta el 31 de marzo de 2025 para abordar estas vulnerabilidades.
- Fecha agregada: Los tres se agregaron al catálogo KEV el 10 de marzo de 2025, lo que refleja evidencia reciente de explotación.
Recomendaciones
- Supervise el portal de soporte de Ivanti para obtener actualizaciones.
- Restrinja el acceso no autenticado a instancias de EPM (por ejemplo, a través de firewalls o VPN).
- Audite los registros de acceso a archivos para detectar signos de intentos de cruce de rutas.
La incorporación de CVE-2024-13159, CVE-2024-13160 y CVE-2024-13161 al catálogo KEV de CISA subraya la creciente amenaza a los sistemas de gestión de terminales.
Con un período de remediación de tres semanas para las agencias federales, las empresas que utilizan Ivanti EPM deben actuar rápidamente para mitigar los riesgos y evitar que las posibles fugas de datos se conviertan en violaciones mayores.
