Oleada en el catálogo KEV de CISA: Tres fallos explotados activamente fuerzan respuesta urgente de fabricantes

Un aumento significativo en la explotación activa ha llevado a la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) de EE.UU. a añadir simultáneamente tres vulnerabilidades críticas y distintas a su catálogo de la Directiva Operativa Obligatoria (BOD) 22-01, comúnmente conocido como la lista de Vulnerabilidades Explotadas Conocidas (KEV). Esta acción coordinada subraya una tendencia preocupante de rápida conversión en arma de los fallos y resalta los mandatos urgentes de parcheo para los productos afectados de Cisco, SonicWall y ASUS. Las agencias del Poder Ejecutivo Civil Federal (FCEB) están ahora obligadas a remediar estas fallas antes de fechas límite específicas, estableciendo un precedente crítico para todas las organizaciones del sector público y privado a nivel global.

La más grave del trío es una vulnerabilidad de día cero crítica en el software AsyncOS de Cisco para sus Appliances de Seguridad de Correo Electrónico (ESA), identificada como CVE-2025-51797. Este fallo, con una puntuación CVSS de 9.6, es una omisión de autenticación que permite a un atacante remoto no autenticado obtener acceso administrativo no autorizado a la interfaz de gestión web del dispositivo afectado. Cisco ha confirmado la explotación activa y dirigida de esta vulnerabilidad en la naturaleza. En un contundente aviso, el gigante de las redes atribuyó estos ataques a un sofisticado actor de amenazas que identifica como Velvet Ant, el cual se evalúa como un grupo patrocinado por el estado que opera desde China. Una explotación exitosa otorga al atacante control completo sobre la puerta de enlace de seguridad de correo, permitiendo la interceptación, exfiltración o manipulación del tráfico de correo electrónico, un objetivo principal para campañas de espionaje y robo de datos.

De manera concurrente, SonicWall se ha movido con rapidez para parchear una vulnerabilidad de alta gravedad en sus appliances de la serie Secure Mobile Access (SMA) 100, identificada como CVE-2025-40602. Esta falla, también presente en la lista KEV de CISA, es un problema de control de acceso inadecuado que podría permitir a un usuario autenticado realizar acciones con privilegios elevados. SonicWall confirmó evidencia de una explotación limitada y dirigida en la naturaleza. Los appliances SMA son críticos para proporcionar acceso remoto seguro a las redes corporativas, lo que los convierte en un objetivo de alto valor para actores de amenazas que buscan un punto de apoyo inicial en la red. La compañía ha lanzado versiones corregidas del firmware de la serie SMA 100 e insta encarecidamente a todos sus clientes a actualizar inmediatamente.

Completando el trío se encuentra una vulnerabilidad de escalada de privilegios local de alta gravedad en el software Live Update de ASUS, catalogada como CVE-2025-43047. Presente en versiones del software para ciertos modelos de portátiles ASUS, este fallo podría permitir a un atacante local con privilegios bajos ejecutar código arbitrario con privilegios de nivel SYSTEM. CISA añadió esta falla al catálogo KEV después de confirmar evidencia de explotación activa. Aunque requiere acceso local, una vulnerabilidad de este tipo suele encadenarse con otras exploits o usarse en ataques dirigidos para comprometer completamente un dispositivo después de una brecha inicial. ASUS ha lanzado versiones actualizadas del software Live Update e instrucciones detalladas para que los usuarios eliminen manualmente las versiones vulnerables.

La inclusión simultánea en KEV de estas tres fallas de fabricantes importantes no es una coincidencia. Refleja el papel de CISA en el seguimiento de tendencias de explotación transversales y en la exigencia de acción frente a las amenazas más apremiantes. La inclusión en el catálogo KEV tiene un peso significativo; aunque es legalmente vinculante solo para las agencias federales estadounidenses, sirve como una señal crítica de priorización para equipos de seguridad en todo el mundo. Las organizaciones que se adhieren a los plazos de remediación de KEV de CISA reducen significativamente su exposición a amenazas activas y conocidas.

Este incidente ofrece varias lecciones clave para la comunidad de ciberseguridad. En primer lugar, demuestra el continuo enfoque de los grupos de amenazas persistentes avanzadas (APT), particularmente aquellos vinculados a China, en dispositivos del perímetro de red como puertas de enlace de seguridad de correo y appliances VPN. Estos dispositivos ofrecen un punto de pivote estratégico hacia las redes empresariales. En segundo lugar, la rápida transición desde el descubrimiento de la vulnerabilidad hasta su explotación activa—en algunos casos, como días cero—comprime dramáticamente la ventana de parcheo para los defensores. En tercer lugar, resalta la necesidad de un programa robusto de gestión de vulnerabilidades que incorpore fuentes de inteligencia de amenazas externas autorizadas, como el KEV de CISA, para priorizar eficazmente los esfuerzos de parcheo.

La mitigación y la respuesta son ahora las prioridades inmediatas. Para los usuarios de Cisco ESA, el fabricante ha publicado avisos de seguridad con software corregido. Hasta que se puedan aplicar los parches, Cisco recomienda estrictas medidas de control de acceso a la red, incluida la restricción del acceso a la interfaz de gestión a direcciones IP de origen confiables. Los administradores de SonicWall SMA deben actualizar a las versiones de firmware parcheadas (por ejemplo, 10.2.1.12-83sv o posteriores). Los usuarios de portátiles ASUS deben verificar la versión de su software Live Update y aplicar la actualización proporcionada en el sitio web de soporte de ASUS, o seguir las instrucciones del fabricante para la eliminación manual.

En conclusión, la oleada en el catálogo KEV de CISA que involucra a las vulnerabilidades de Cisco, SonicWall y ASUS representa una ola concentrada de amenazas activas que exige atención inmediata. La atribución de la explotación de Cisco a un actor patrocinado por el estado chino añade una capa de contexto geopolítico a la urgencia técnica. Los líderes de seguridad deben tratar estas inclusiones en KEV como una llamada directa a la acción, verificando su exposición, aplicando parches con celeridad e implementando controles defensivos en capas para proteger la infraestructura crítica de estas fallas ahora convertidas en armas de conocimiento público. La velocidad de la respuesta de los fabricantes es encomiable, pero la responsabilidad última de la mitigación recae en cada organización que utilice estos productos ampliamente desplegados.