CISA es consciente de la explotación activa de una nueva vulnerabilidad de ejecución de código remoto (RCE) que permite el acceso no autorizado a los servidores de SharePoint locales. Mientras el alcance y el impacto continúan siendo evaluados, las nuevas vulnerabilidades y exposiciones comunes (CVE), CVE-2025-53770es una variante de la vulnerabilidad existente CVE-2025-49706 y representa un riesgo para las organizaciones. Esta actividad de explotación, informada públicamente como «Shellshell», proporciona acceso no autorenticado a los sistemas y permite a los actores maliciosos acceder a contenido de SharePoint, incluidos los sistemas de archivos y las configuraciones internas, y ejecutar código a través de la red.
CISA recomienda las siguientes acciones para reducir los riesgos asociados con el compromiso de RCE:
Para obtener información sobre la detección, la prevención y las medidas avanzadas de caza de amenazas, consulte Microsoft’s Orientación del cliente para la vulnerabilidad de SharePoint y consultivo para CVE-2025-49706. Se alienta a las organizaciones a revisar todos los artículos y actualizaciones de seguridad publicadas por Microsoft el 8 de julio de 2025, relevante para la plataforma SharePoint implementada en su entorno.
Monitorear publicaciones para /_layouts/15/ToolPane.aspx?DisplayMode=Edit
Conducir escaneo para IPS 107.191.58(.)76, 104.238.159(.)149y 96.9.125(.)147particularmente entre el 18 y el 19 de julio de 2025.
Actualizar el sistema de prevención de intrusiones y las reglas de firewall de aplicación web para bloquear los patrones de explotación y el comportamiento anómalo. Para obtener más información, consulte CISA’s Orientación sobre la implementación de SIEM e SOAR.
Implementar el registro integral para identificar la actividad de explotación. Para obtener más información, consulte CISA’s Las mejores prácticas para el registro de eventos y la detección de amenazas.
Auditar y minimizar el diseño y los privilegios de administración.
Para obtener más información sobre esta vulnerabilidad, consulte la seguridad de los ojos informes y la unidad de Palo Alto42 correo.
Nota: Esta alerta puede actualizarse para reflejar una nueva orientación emitida por CISA u otras partes.
Las organizaciones deben informar incidentes y actividad anómala al centro de operaciones de CISA en Report@cisa.gov o (888) 282-0870.
Descargo de responsabilidad:
La información en este informe se proporciona «tal cual» solo para fines informativos. CISA no respalda ninguna entidad comercial, producto, empresa o servicio, incluidas las entidades, productos o servicios vinculados en este documento. Cualquier referencia a entidades comerciales específicas, productos, procesos o servicios por marca de servicio, marca registrada, fabricante o de otro tipo, no constituye ni implica respaldo, recomendación o favorita por CISA.