Detectar la explotación de CVE-2023-35078: Omisión de autenticación crítica del día cero en Ivanti Endpoint Manager Mobile (EPMM)

[post-views]
julio 26, 2023 · 3 min de lectura
Detectar la explotación de CVE-2023-35078: Omisión de autenticación crítica del día cero en Ivanti Endpoint Manager Mobile (EPMM)

¡Atención ciberseguridad! Después de una serie de vulnerabilidades de seguridad en el dispositivo Pulse Connect Secure SSL VPN que afectaron a múltiples organizaciones en 2021, recientemente se ha revelado una nueva vulnerabilidad crítica de día cero en los productos de Ivanti. El problema de seguridad novedoso que afecta a Ivanti Endpoint Manager Mobile (EPMM) permite acceso a la API remoto no autenticado a rutas específicas. Al explotar la falla, los adversarios podrían obtener información de identificación personal (PII) y otros datos sensibles almacenados en los dispositivos expuestos, así como introducir cambios maliciosos en los sistemas afectados. La advertencia de Ivanti confirma que esta vulnerabilidad crítica ya ha sido explotada en el campo contra un número limitado de clientes, mientras que los portales de noticias apuntan al gobierno noruego como una posible víctima del ataque CVE-20230-35078.

Detección de CVE-2023-35078

Para ayudar a los defensores cibernéticos a identificar proactivamente actividades sospechosas asociadas con la explotación de CVE-2023-25078 y agilizar las actividades de caza de amenazas, la Plataforma SOC Prime para defensa cibernética colectiva agrega un conjunto de reglas Sigma dedicadas. Todas las detecciones son compatibles con 28 tecnologías SIEM, EDR y XDR y se alinean con el marco MITRE ATT&CK v12 para facilitar la inmersión en la amenaza crítica.

Para explorar la lista completa de reglas curadas, presione el botón Explorar Detecciones a continuación. Los profesionales de seguridad pueden acceder a un contexto amplio de amenazas cibernéticas acompañado de referencias ATT&CK y enlaces CTI, así como obtener más metadatos relevantes que coincidan con las necesidades de seguridad actuales y potencien la investigación de amenazas.

botón Explorar Detecciones

Análisis de CVE-2023-35078

El 24 de julio de 2023, Ivanti publicó una advertencia que detalla la vulnerabilidad crítica de día cero y proporciona parches para la falla. Según el proveedor, el bug recientemente identificado en Ivanti EPMM (con la puntuación CVSS más alta de 10.0) permite a actores de amenazas no autorizados acceder a la funcionalidad y recursos restringidos de la aplicación sin la debida autenticación.

La vulnerabilidad de acceso a la API remoto no autenticado afecta a todas las versiones actualmente compatibles del software (v11.10, 11.9, 11.8), además de lanzamientos más antiguos que ya no son compatibles. En vista de que los expertos en defensa cibernética consideran que la falla es extremadamente fácil de explotar, se insta a todos los usuarios a parchear lo antes posible instalando las versiones 11.10.0.2, 11.9.1.1., y 11.8.1.1.

Sin embargo, los investigadores estiman que la mayoría de las organizaciones permanecen sin parchear, con 2,900 portales EPMM expuestos a internet, según Shodan. La mayoría de estos servidores se identificaron en EE. UU., UE, Reino Unido y Hong Kong. Notablemente, los expertos creen que los gobiernos de Reino Unido y EE. UU. podrían convertirse en víctimas de los ataques CVE-2023-35078. El domingo, la CISA emitió una alerta de seguridad instando a los usuarios a abordar la brecha de seguridad de inmediato.

Optimice sus defensas de ciberseguridad con la Plataforma SOC Prime, que ofrece contenido de detección integral contra todas las TTP utilizadas en los ciberataques en curso. Manténgase al día con los últimos algoritmos de detección de comportamiento listos para implementarse, asegurando que su organización esté bien preparada para contrarrestar amenazas en evolución. Explore una gran cantidad de información contextual sobre ataques cibernéticos y amenazas, incluidos los días cero, referencias CTI y ATT&CK, así como ideas sobre las herramientas del equipo rojo. Valide su pila de detección sin esfuerzo con una auditoría automática de datos ATT&CK de solo lectura, identificando puntos ciegos y abordándolos proactivamente para lograr una visibilidad completa de amenazas basada en los registros específicos de su organización. Con la Plataforma SOC Prime, equipe a su equipo con las herramientas y el conocimiento adecuados para defenderse eficazmente contra las amenazas emergentes.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Vulnerabilidad CVE-2025-49144: Falla crítica de escalamiento de privilegios en Notepad++ lleva a toma completa del sistema
Blog, Últimas Amenazas — 6 min de lectura
Vulnerabilidad CVE-2025-49144: Falla crítica de escalamiento de privilegios en Notepad++ lleva a toma completa del sistema
Veronika Telychko
Explotación de Vulnerabilidades CVE-2025-6018 y CVE-2025-6019: La Cadena de Fallas de Escalada de Privilegios Locales Permite a los Atacantes Obtener Acceso Root en la Mayoría de las Distribuciones de Linux
Blog, Últimas Amenazas — 5 min de lectura
Explotación de Vulnerabilidades CVE-2025-6018 y CVE-2025-6019: La Cadena de Fallas de Escalada de Privilegios Locales Permite a los Atacantes Obtener Acceso Root en la Mayoría de las Distribuciones de Linux
Veronika Telychko
Vulnerabilidad CVE-2025-4123: Zero-Day «El Fantasma de Grafana» Permite el Secuestro Malicioso de Cuentas
Blog, Últimas Amenazas — 5 min de lectura
Vulnerabilidad CVE-2025-4123: Zero-Day «El Fantasma de Grafana» Permite el Secuestro Malicioso de Cuentas
Veronika Telychko