CISA (Cybersecurity and Infrastructure Security Agency) ha ampliado su Catálogo de Vulnerabilidades Explotadas (KEV) al incluir cinco nuevas vulnerabilidades detectadas con evidencia de explotación activa. Estas vulnerabilidades son frecuentes vectores de ataque utilizados por actores cibernéticos maliciosos, lo cual representa un riesgo considerable para las entidades federales. Las vulnerabilidades recién identificadas son:
- CVE-2021-32030: Relacionada con enrutadores ASUS, se clasifica como una vulnerabilidad de autenticación inadecuada.
- CVE-2023-39780: Se trata de una vulnerabilidad de inyección de comandos en el sistema operativo del enrutador ASUS RT-AX55.
- CVE-2024-56145: Una vulnerabilidad de inyección de código en Craft CMS.
- CVE-2025-3935: Se refiere a una vulnerabilidad de autenticación inadecuada en Connectwise ScreenConnect.
- CVE-2025-35939: Esta vulnerabilidad en Craft CMS se relaciona con el control externo de parámetros web inmutables.
Estas vulnerabilidades se han convertido en una preocupación considerable porque pueden ser explotadas por cibercriminales, amenazando la seguridad de las redes federales. Para abordar esta situación, CISA implementó la Directiva Operativa Vinculante (BOD) 22-01, que busca reducir el riesgo asociado con vulnerabilidades conocidas. BOD 22-01 establece al catálogo KEV como una lista activa de vulnerabilidades y exposiciones comunes (CVE) que suponen un riesgo significativo para la infraestructura federal. En virtud de esta directiva, las agencias federales de la rama ejecutiva civil (FCEB) deben remediar las vulnerabilidades mencionadas dentro de un plazo específico, con la finalidad de proteger sus redes de amenazas existentes.
Aunque la BOD 22-01 es aplicable únicamente a las agencias FCEB, CISA alienta a todas las organizaciones, tanto del sector público como privado, a minimizar su exposición a ataques cibernéticos. Esto se recomienda especialmente priorizando la rápida remediación de las vulnerabilidades listadas en el catálogo KEV, como parte de una estrategia integral de gestión de vulnerabilidades.
El catálogo KEV es una herramienta esencial que CISA seguirá enriqueciendo al agregar nuevas vulnerabilidades que cumplan con criterios específicos. De este modo, se facilita un enfoque proactivo ante la ciberseguridad, promoviendo que las organizaciones evalúen y mejoren su postura de seguridad frente a estas amenazas.
CISA también está interesada en recibir comentarios sobre sus iniciativas y actividades, invitando a las partes interesadas a participar en una encuesta anónima. Estas aportaciones son consideradas valiosas para mejorar sus servicios y abordar las necesidades del sector.
En resumen, la reciente inclusión de cinco nuevas vulnerabilidades al catálogo KEV resalta la importancia de la vigilancia constante en la ciberseguridad, así como el cumplimiento de normativas como la BOD 22-01 por parte de las agencias federales. La remediación oportuna de estas vulnerabilidades es fundamental para proteger a las redes de los ataques cibernéticos. CISA sigue comprometida en actualizar y expandir el catálogo, ofreciendo una herramienta vital para combatir las crecientes amenazas a la seguridad de la información.