El 18 de abril de 2025 se detectó una actividad inusual en las infraestructuras VPN de Ivanti, en particular en las soluciones Connect Secure y Pulse Secure. Un especialista en ciberseguridad identificó un aumento repentino y significativo de escaneos de direcciones IP dirigidos a estos servicios, lo que podría indicar intentos de explotación futuros.
Las soluciones de Ivanti han estado bajo mayor vigilancia durante los últimos meses debido a vulnerabilidades previamente explotadas, en particular en enero y a principios de abril. Esta vez, es el informe de GreyNoise el que lanza la alerta: los escaneos dirigidos a los dispositivos ICS (Ivanti Connect Secure) e IPS (Pulse Secure) se han disparado. El 18 de abril, se detectaron nada menos que 234 direcciones IP distintas escaneando estos servicios, frente a menos de 30 por día en condiciones normales — un aumento de nueve veces en la actividad sospechosa.
GreyNoise analizó los datos de los últimos tres meses y contabilizó 1.004 direcciones IP únicas implicadas en actividades de reconocimiento dirigidas a las soluciones ICS/IPS de Ivanti. De ellas, 244 fueron clasificadas como maliciosas, 634 como sospechosas y 126 consideradas inofensivas. Las IP maliciosas provienen principalmente de nodos de salida de la red Tor o de servicios de alojamiento populares, a menudo utilizados para ocultar el origen real de los ataques. Por su parte, las IP sospechosas suelen estar vinculadas a proveedores VPS o servicios en la nube menos conocidos o de nicho.
Una fase de reconocimiento que podría preceder un ataque
Según los expertos de GreyNoise, esta repentina intensificación de los escaneos podría representar una fase de preparación previa a una campaña de explotación. «Aún no se ha identificado una vulnerabilidad específica (CVE) relacionada con esta actividad, pero ya se han observado picos similares antes de ataques reales en el pasado», explican.
Ante esta situación, los especialistas recomiendan a los equipos de ciberseguridad extremar la vigilancia. Se aconseja examinar cuidadosamente los registros para detectar intentos de conexión inusuales, bloquear las direcciones IP sospechosas o maliciosas conocidas, vigilar cualquier actividad anormal en los VPN de Ivanti, y por supuesto, aplicar de inmediato los parches y actualizaciones disponibles para las soluciones ICS e IPS.
Apasionado de la ciberseguridad. Redactor para Revista VPN.
Advertencia: Es posible que recibamos comisiones de afiliados por productos y servicios recomendados, sin costo adicional para ti. Más información...
