Freym

Ivanti Endpoint Manager (CVE‑2026‑1603), Apple, Rockwell y Hikvision

Admin
March 19, 2026
Ivanti Endpoint Manager (CVE‑2026‑1603), Apple, Rockwell y Hikvision
Translate to:
Comparativa de herramientas LLM locales

Las últimas entradas en KEV que más preocupan ahora mismo son principalmente Ivanti Endpoint Manager (CVE‑2026‑1603) y, a nivel general, las ya añadidas de Apple, Rockwell y Hikvision, todas con explotación confirmada.

Ivanti Endpoint Manager – CVE‑2026‑1603

  • Producto: Ivanti Endpoint Manager (EPM), plataforma centralizada de gestión de endpoints (Windows, macOS, Linux, ChromeOS, IoT).
  • Tipo: Authentication Bypass Using an Alternate Path or Channel (CWE‑288) que permite a un atacante remoto no autenticado acceder a datos de credenciales almacenadas y potencialmente comprometer sesiones.
  • Severidad: CVSS 8.6 (High), añadida al KEV el 9 de marzo de 2026, con fecha límite para agencias federales el 23 de marzo de 2026.
  • Versiones afectadas: todas las versiones de Ivanti EPM anteriores a 2024 SU5.
  • Impacto: robo de credenciales usadas para administración remota y gestión de dispositivos, lo que convierte un fallo en el servidor EPM en un posible “single point of failure” de toda la red de endpoints.
  • Mitigación: actualizar el servidor EPM (core y consolas remotas) a Ivanti EPM 2024 SU5; los agentes EPM no son vulnerables y pueden seguir su ciclo normal de actualización.

Apple, Rockwell, Hikvision – “viejas” pero explotadas

Estas se añadieron unos días antes, pero siguen dentro del foco actual de KEV:

  • Apple – CVE‑2021‑30952 y CVE‑2023‑43000
    • Integer overflow y use‑after‑free que permiten ejecución arbitraria de código en múltiples productos Apple, con CVSS 8.8.
    • Encontradas en el kit de explotación “Coruna”; CISA exige a agencias federales parchearlas antes del 26 de marzo de 2026.
  • Rockwell Automation – CVE‑2021‑22681
    • Vulnerabilidad de credenciales insuficientemente protegidas en controladores Logix y herramientas Studio 5000/RSLogix, ya comentada: permite impersonar estaciones de ingeniería y modificar lógica de PLC.
    • Considerada CVSS 9.8 y ahora confirmada como explotada; actual prioridad alta en entornos OT.
  • Hikvision – CVE‑2017‑7921
    • Improper Authentication en cámaras Hikvision que permite bypass de autenticación y control remoto del dispositivo; CVSS 9.8–10.0.
    • Siete productos afectados, todavía muy desplegados; CISA indica explotación activa y exige mitigación antes del 26 de marzo de 2026.

Otra familia de KEV activos: Chrome y otros

  • Chrome – CVE‑2026‑2441
    • Use‑after‑free en Google Chrome, añadido a KEV tras confirmarse exploits in‑the‑wild.
    • Requiere actualización urgente de Chrome/Chromium en todos los endpoints, especialmente con usuarios con privilegios.

Qué priorizar si gestionas infra

  • Si usas Ivanti EPM: actualizar el servidor a EPM 2024 SU5 de forma prioritaria; revisar accesos y logs por indicios de robo de credenciales.
  • Entornos Apple: asegurarse de estar en versiones de macOS/iOS que ya corrigen CVE‑2021‑30952/CVE‑2023‑43000, especialmente en equipos de admins y desarrolladores.
  • OT/ICS: aplicar las mitigaciones de Rockwell para CVE‑2021‑22681 (segmentación, ACLs, hardening de estaciones de ingeniería, monitoreo).
  • Cámaras/IP‑video: identificar y actualizar o aislar cámaras Hikvision afectadas por CVE‑2017‑7921, o segmentarlas estrictamente si no hay parche viable.

Se muestra, a continuación, de forma compacta lo más importante de cada fabricante y sus vulnerabilidades añadidas a KEV.

Visión general

Fabricante CVE principal (KEV) Tipo de fallo Severidad / Estado
Ivanti CVE‑2026‑1603 Bypass de autenticación en EPM CVSS 8.6, explotada.
Apple CVE‑2021‑30952 / 43000 RCE (integer overflow / UAF) CVSS 8.8, explotadas.
Rockwell CVE‑2021‑22681 Credenciales insuficientemente protegidas CVSS 9.8, explotada.
Hikvision CVE‑2017‑7921 Bypass de autenticación en cámaras IP CVSS ~9.8–10, explotada.

Ivanti Endpoint Manager – CVE‑2026‑1603

  • Producto: Ivanti Endpoint Manager (EPM), consola central de gestión de endpoints.
  • Fallo: bypass de autenticación que permite a un atacante remoto no autenticado acceder a datos de credenciales y posiblemente a operaciones de gestión.
  • Afecta: todas las versiones anteriores a EPM 2024 SU5.
  • Mitigación: actualizar el servidor a EPM 2024 SU5 o superior; los agentes no son vulnerables.

Apple – RCE en ecosistema Apple

  • CVE clave: CVE‑2021‑30952 y CVE‑2023‑43000, asociadas a ejecución de código en componentes de Apple (por ejemplo WebKit/kernel) usadas en kits de explotación.
  • Tipo: integer overflow / use‑after‑free que permiten ejecutar código arbitrario al procesar contenido malicioso.
  • Estado: añadidas a KEV en marzo 2026 tras vincularse a cadenas de explotación activas (“Coruna”).
  • Mitigación: actualizar a versiones recientes de iOS/iPadOS/macOS que corrigen estas CVE en dispositivos de usuarios y, sobre todo, administradores.

Rockwell Automation – CVE‑2021‑22681

  • Productos: Studio 5000 / RSLogix 5000 y múltiples Logix Controllers (CompactLogix, ControlLogix).
  • Fallo: credenciales insuficientemente protegidas; un atacante puede obtener/derivar la clave compartida usada para autenticación y suplantar estaciones de ingeniería, modificando lógica de PLC.
  • Parche: no hay “parche” clásico; mitigación basada en segmentación OT, ACLs estrictas, hardening de estaciones de ingeniería y monitoreo.
  • Motivo KEV: CISA la añade en marzo 2026 tras confirmar explotación activa en entornos industriales.

Hikvision – CVE‑2017‑7921

  • Productos: cámaras IP / NVR Hikvision muy extendidos.
  • Fallo: improper authentication que permite bypass completo de autenticación vía peticiones especialmente construidas, obteniendo control remoto del dispositivo.
  • Severidad: CVSS ~9.8–10; está en KEV por explotación generalizada en la última década.
  • Mitigación: actualizar firmware a versiones corregidas o, si no es posible, segmentar y aislar las cámaras (sin acceso directo desde Internet, acceso solo desde redes de gestión).
Comments (0)

No comments yet. Be the first to comment!