La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha ampliado su Catálogo de Vulnerabilidades Explotadas Conocidas (CVE) al incorporar cinco nuevas vulnerabilidades que representan un riesgo significativo, basado en evidencia de explotación activa. Estas vulnerabilidades son:
- CVE-2025-25181: Una vulnerabilidad de inyección SQL en Veracore.
- CVE-2024-57968: Una vulnerabilidad de carga de archivos sin restricciones en Veracore.
- CVE-2024-13159: Una vulnerabilidad de traversal de ruta absoluta en Ivanti Endpoint Manager (EPM).
- CVE-2024-13160: Otra vulnerabilidad de traversal de ruta absoluta en EPM.
- CVE-2024-13161: Una tercera vulnerabilidad de traversal de ruta absoluta en EPM.
Las vulnerabilidades de inyección SQL y las de carga de archivos sin restricciones son comunes en los ataques cibernéticos y, junto con las vulnerabilidades de traversal de ruta, plantean riesgos significativos para la seguridad de las entidades federales. Estas brechas de seguridad son frecuentemente explotadas por actores maliciosos para acceder a sistemas críticos, lo que a su vez representa amenazas para la integridad y confidencialidad de la información.
La Directiva Operativa Vinculante (BOD) 22-01 establece un marco normativo para abordar estas vulnerabilidades. Esta directiva tiene como objetivo reducir el riesgo significativo de las vulnerabilidades explotadas conocidas en las agencias del gobierno federal, creando un catálogo que sirve como una lista en tiempo real de las vulnerabilidades y exposiciones comunes que deben ser remediadas de inmediato. BOD 22-01 exige que las agencias federales de la rama ejecutiva civil (FCEB) aborden las vulnerabilidades identificadas en este catálogo antes de la fecha límite establecida. Tal acción es esencial para salvaguardar las redes FCEB contra amenazas cibernéticas activas.
Es importante resaltar que, aunque BOD 22-01 aplica directamente a las agencias FCEB, CISA recomienda que todas las organizaciones, independientemente de su sector, prioricen la remediación oportuna de las vulnerabilidades listadas en el catálogo. Esto se debe a que la efectividad de una gestión de vulnerabilidades adecuada puede reducir drásticamente la exposición a ataques cibernéticos, promoviendo así una cultura de seguridad proactiva.
Las nuevas adiciones al catálogo ilustran la naturaleza dinámica de las amenazas cibernéticas y la necesidad de que las organizaciones estén alerta y preparadas para mitigar los riesgos asociados. CISA continúa su labor de identificar y agregar vulnerabilidades al catálogo basándose en criterios específicos que evidencian su explotación activa.
La responsiva rápida ante estas vulnerabilidades no solo protege a las entidades gubernamentales, sino que también sirve como un ejemplo de mejores prácticas de seguridad que pueden ser adoptadas por el sector privado. Adicionalmente, CISA proporciona recursos, guías y hojas informativas para ayudar a las organizaciones a comprender mejor el impacto de estas vulnerabilidades y los pasos que pueden tomar para mitigarlas efectivamente.
Para aquellas organizaciones que no forman parte de la FCEB, el seguimiento y la acción ante las vulnerabilidades de este catálogo debe verse como una parte esencial de una gestión de riesgos integral. Una respuesta rápida y efectiva ante este tipo de amenazas puede ser fundamental para proteger la infraestructura crítica y mantener la confianza del público en la seguridad de los sistemas y servicios digitales.
Por lo tanto, la comunidad cibernética en su conjunto debe colaborar para asegurar un entorno seguro, donde la identificación y remediación de vulnerabilidades sea una prioridad continua.