Nueva vulnerabilidad de día cero en Ivanti EPMM: CVE-2026-6973 explotada activamente

Ivanti confirma explotación activa de nueva vulnerabilidad de día cero

Los clientes de Ivanti se enfrentan una vez más a una vulnerabilidad de día cero en uno de sus productos más afectados: Endpoint Manager Mobile (EPMM). Según un comunicado de la compañía, atacantes están explotando CVE-2026-6973, un fallo de validación de entrada incorrecta que permite a usuarios con privilegios administrativos ejecutar código de forma remota.

Detalles técnicos de la vulnerabilidad

El defecto, clasificado como de alta gravedad, requiere autenticación administrativa para ser explotado. Ivanti reveló esta información en un aviso de seguridad publicado el jueves, junto con cuatro vulnerabilidades adicionales de alta severidad en el mismo producto:

• CVE-2026-5787
• CVE-2026-5788
• CVE-2026-6973 (la de día cero)
• CVE-2026-7821

Aunque Ivanti confirmó que estas cuatro vulnerabilidades no han sido explotadas en la naturaleza, la CISA las añadió rápidamente a su catálogo de vulnerabilidades conocidas y explotadas.

Medidas de mitigación y parches disponibles

La compañía ha lanzado parches para todas las cinco vulnerabilidades, incluyendo las cuatro adicionales mencionadas. Ivanti también reveló que uno de los defectos fue descubierto y reportado por un exempleado, gracias a sus procesos internos de detección, que incluyen inteligencia artificial avanzada y colaboración con clientes.

El portavoz de Ivanti declaró:

"Al momento de la divulgación, Ivanti tiene conocimiento de una explotación muy limitada en la naturaleza de CVE-2026-6973, que requiere acceso administrativo autenticado para implementarse"

Conexión con vulnerabilidades anteriores

La empresa sugirió que el origen de esta nueva vulnerabilidad podría estar relacionado con dos fallos críticos anteriores, CVE-2026-1281 y CVE-2026-1340, explotados desde finales de enero. Estos defectos afectaron a casi 100 víctimas, incluyendo la Autoridad de Protección de Datos de Países Bajos y el Consejo para la Judicatura.

Ivanti recomendó a sus clientes rotar las credenciales de EPMM tras los incidentes de enero, lo que reduce significativamente el riesgo de explotación de CVE-2026-6973. Los clientes que no se vieron afectados por las vulnerabilidades anteriores también tienen un riesgo mucho menor.

Análisis de expertos en ciberseguridad

Caitlin Condon, vicepresidenta de investigación de seguridad en VulnCheck, explicó que la necesidad de privilegios administrativos para explotar CVE-2026-6973 sugiere que podría haber sido utilizada en una cadena de ataques que dependía de otro método para el acceso inicial. Condon añadió:

"No se ha atribuido la explotación de CVE-2026-6973 a ningún actor de amenazas, pero otros dos CVEs de 2026 en Ivanti EPMM — CVE-2026-1281 y CVE-2026-1340 — han sido explotados por una variedad de actores, incluyendo grupos atribuidos a China e Irán"

Estos dos últimos defectos eran vulnerabilidades de inyección de código explotables de forma remota sin autenticación, a diferencia de CVE-2026-6973. Condon concluyó:

"Ambos, CVE-2026-1281 y CVE-2026-1340, parecen haber sido corregidos en el lanzamiento de hoy de Ivanti. Comparativamente, estas vulnerabilidades anteriores generaban mayor preocupación inicial que la nueva vulnerabilidad de día cero, que requiere autenticación de administrador"

Contexto y recurrencia de ataques a Ivanti

Los defectos en los productos de Ivanti representan un problema recurrente para sus clientes y profesionales de seguridad. Muchos de estos fallos han sido explotados por atacantes antes de que la compañía los detectara, lo que subraya la importancia de aplicar parches de seguridad de manera oportuna y mantener prácticas robustas de gestión de credenciales.