La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha actualizado su Catálogo de Vulnerabilidades Explotadas Conocidas al incluir dos nuevas vulnerabilidades que han sido identificadas como objeto de explotación activa. Estas vulnerabilidades son:
- CVE-2025-24200: Esta es una vulnerabilidad relacionada con la autorización incorrecta en los sistemas Apple iOS e iPadOS.
- CVE-2024-41710: Esta vulnerabilidad afecta a los sistemas de comunicación SIP de Mitel, permitiendo la inyección de argumentos maliciosos.
Ambas vulnerabilidades representan vectores de ataque comunes que pueden ser aprovechados por actores cibernéticos maliciosos, y su identificación resalta los riesgos significativos que estas fallas de seguridad plantean, especialmente para las agencias federales.
La Directiva Operativa Vinculante (BOD) 22-01, titulada "Reducción del riesgo significativo de vulnerabilidades explotadas conocidas", establece un marco regulatorio para gestionar estos riesgos. Esta directiva instituye el catálogo de vulnerabilidades explotadas como una lista en constante actualización de vulnerabilidades y exposiciones comunes (CVE) que representan un riesgo significativo para las entidades gubernamentales. Es importante destacar que BOD 22-01 exige que las agencias federales de la rama ejecutiva civil (FCEB) aborden y remedien las vulnerabilidades listadas antes de una fecha determinada. Esta acción es crucial para mejorar la protección de las redes FCEB frente a amenazas cibernéticas activas.
Para aquellos interesados en más detalles sobre la BOD 22-01, CISA ha proporcionado una hoja informativa que es accesible para su consulta. Aunque la directiva es de cumplimiento obligatorio solo para las agencias de FCEB, CISA también hace un llamado a todas las organizaciones, públicas y privadas, a que prioricen la remediación de las vulnerabilidades de su Catálogo. Se fomenta la adopción de prácticas de gestión de vulnerabilidades que incluyan una respuesta oportuna a las riesgos identificados.
CISA ha dejado claro que continuará incorporando nuevas vulnerabilidades a su catálogo a medida que se descubran y se verifique su explotación activa. Esta tarea se enmarca dentro de un esfuerzo más amplio por reducir la superficie de ataque y la exposición al riesgo que enfrentan las organizaciones en un entorno cada vez más hostil en términos cibernéticos.
Las agencias y organizaciones son instadas a implementar medidas preventivas eficaces y a asegurarse de que sus sistemas estén actualizados y protegidos contra estas vulnerabilidades. La detección y remediación proactiva de riesgos es fundamental para evitar que se conviertan en exploits exitosos que puedan afectar la integridad y la confidencialidad de la información sensible y crítica. Las entidades deben priorizar la gestión de vulnerabilidades como una parte integral de su taller de aprendizaje y adaptación ante las constantes evoluciones en el paisaje de amenazas cibernéticas.
En resumen, con la inclusión de CVE-2025-24200 y CVE-2024-41710 en su catálogo, CISA reafirma su compromiso de ayudar a las organizaciones a identificar y gestionar los riesgos asociados con las vulnerabilidades cibernéticas. La proactividad en la seguridad cibernética y la colaboración entre entidades públicas y privadas son esenciales para mitigar las amenazas emergentes en el ámbito de la seguridad informática.