Comenzando la semana del 16-06

16.06.25 06:13 PM

El cibercrimen no se detiene

Hola red!, buen inicio de semana colegas. Este lunes luego de la lluvia podemos ver que ya se reportan 7 nuevas víctimas de Ransomware según ransomware.live, con el grupo Akira liderando los ataques. Esta cifra nos recuerda que los ciberdelincuentes no descansan.


Aunque la ANCI no ha publicado nuevas alertas tras la crítica vulnerabilidad en Ivanti del pasado viernes 13, eso no significa que el riesgo haya desaparecido.
➡️ Recuerda siempre revisar 

🛡️ Recomendación clave:
Es fundamental cargar los Indicadores de Compromiso relacionados a estas amenazas en tus sistemas de detección y respuesta (SIEM, EDR, NDR, etc.), incluso si tu organización no usa Ivanti.

El análisis proactivo y la inteligencia de amenazas son piezas esenciales de una defensa efectiva.

🔐 CVE-2025-4427 y CVE-2025-4428 – Ivanti Endpoint Manager Mobile (EPMM)

  • CVE-2025-4427: bypass de autenticación (CVSS 5.3).
    Permite a un atacante sin credenciales acceder a la API protegida de EPMM 

  • CVE-2025-4428: ejecución remota de código (RCE) (CVSS 7.2).
    Un atacante autenticado —o tras usar el bypass anterior— puede ejecutar comandos arbitrarios a través de una vulnerabilidad en la validación de parámetros API, vinculada a Java EL injection 

  • Impacto: combinadas, estas vulnerabilidades permiten RCE sin necesidad de autenticación. Se ha confirmado explotación limitada en entornos de clientes

  • Solución: actualizar a estas versiones o superiores:

    • 11.12.0.5

    • 12.3.0.2

    • 12.4.0.2

    • 12.5.0.1

  • Mitigaciones temporales: restringir el acceso a la API mediante ACL o WAF

🛡️ CVE-2025-22457 – Ivanti Connect Secure, Policy Secure y ZTA Gateways

  • Buffer overflow stack-based RCE (CVSS 9.0) en appliances VPN y gateways, activamente explotado en entornos de Connect Secure desde marzo 2025

  • Amenaza: actores como UNC5221 (China-nexus) utilizan este CVE para implantar herramientas de espionaje, backdoors, malware en memoria y manipular logs 

  • Usuarios afectados:

    • Connect Secure ≤ 22.7R2.5

    • Policy Secure ≤ 22.7R1.3

    • ZTA Gateways ≤ 22.8R2

    • Pulse Connect Secure 9.1x (EoS — sin parche; migrar imperativo)

  • Solución:

    • Connect Secure → 22.7R2.6 (febrero 2025)

    • Policy Secure → 22.7R1.4 (abril 2025)

    • ZTA Gateways → 22.8R2.2 (abril 2025)

    • Pulse Connect Secure → migración necesaria 

  • Detección y recuperación: usar herramientas de integridad (ICT) para identificar crashes, artefactos del exploit; en casos confirmados, realizar reinicio de fábrica y parcheo 

⚠️ CVE-2025-0282 – Similar a CVE-2025-22457

  • Buffer overflow RCE (CVSS 9.0), remote y sin autenticación, en Connect Secure, Policy Secure y ZTA Gateways; ya en catálogo KEV de CISA 

  • Afecta versiones anteriores y se utiliza en ataques de ransomware. Parchear inmediatamente según instrucciones de CISA 

✅ Recomendaciones clave

  1. Priorizar parches inmediatos para:

    • EPMM: aplicar versiones ≥ 11.12.0.5 / 12.3.0.2 / 12.4.0.2 / 12.5.0.1.

    • Connect/Policy/ZTA/Pulse Secure: actualizar o migrar según versión.

  2. Implementar mitigaciones de emergencia:

    • WAF / ACL sobre APIs y management interfaces.

    • Monitorizar ICT, logs, actividad inusual.

  3. Validar detección con herramientas como Tenable, Arctic Wolf o eSentire.


📌 ¿Qué significa esto tras el viernes 13?

Aunque la ANCI no ha elevado nuevas alertas desde entonces, estas vulnerabilidades siguen siendo altamente críticas. El CVE-2025-4427/4428 permite RCE sin autenticación en móviles, mientras que el 2025-22457/0282 puede comprometer VPNs y gateways — dispositivos en perímetro con alta exposición.

Si no se han aplicado los IoC recomendados por ANCI, ahora es realmente urgente hacerlo, junto con la aplicación de parches mencionados y reforzar defensas perimetrales.



📌 Recuerda: la ciberseguridad, es responsabilidad de todos.

Get Started Now