La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) añadió el miércoles dos fallos de seguridad que afectan a Microsoft Office y Hewlett Packard Enterprise (HPE) OneView a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de explotación activa.
Las vulnerabilidades se enumeran a continuación:
- CVE-2009-0556 (CVSS: 8,8): Una vulnerabilidad de inyección de código en Microsoft Office PowerPoint que permite a atacantes remotos ejecutar código arbitrario mediante corrupción de memoria.
- CVE-2025-37164 (CVSS: 10,0): Una vulnerabilidad de inyección de código en HPW OneView que permite a un usuario remoto no autenticado ejecutar código de forma remota.
Los detalles de CVE-2025-37164 surgieron el mes pasado, cuando HPE declaró que la vulnerabilidad afecta a todas las versiones del software anteriores a la 11.00. La compañía también puso a disposición correcciones urgentes para las versiones 5.20 a 10 de OneView.
El alcance y el origen de los ataques dirigidos a ambas vulnerabilidades no están claros actualmente, y no parece haber informes públicos que hagan referencia a su explotación. Sin embargo, un informe de eSentire del 23 de diciembre de 2025 reveló la publicación de una prueba de concepto (PoC) detallada para CVE-2025-37164.
"La disponibilidad pública del código de explotación de la PoC aumenta significativamente el riesgo para las organizaciones que ejecutan versiones afectadas de la aplicación. Dado que la vulnerabilidad afecta a todas las versiones anteriores a la 11.0, se recomienda encarecidamente a las organizaciones que apliquen las actualizaciones necesarias para mitigar el posible riesgo de explotación", declaró eSentire.
Falla de HPE OneView explotada por la botnet RondoDox
En un informe publicado el 15 de enero de 2026, Check Point afirmó haber identificado una campaña de explotación activa a gran escala dirigida a CVE-2025-37164 que distribuye la botnet RondoDox. Añadió que reportó la actividad a CISA el 7 de enero de 2026, lo que motivó su inclusión en el catálogo KEV ese mismo día.
La explotación implicó más de 40.000 intentos de ataque entre las 05:45 y las 09:20 UTC del 7 de enero de 2026, lo que indica una escalada drástica. Se considera que los intentos son una explotación automatizada impulsada por la botnet.
"La mayor parte de la actividad observada se originó en una única dirección IP holandesa que se ha reportado ampliamente en línea como sospechosa", declaró Check Point. "La campaña afectó a organizaciones de múltiples sectores, con la mayor concentración de actividad observada en organizaciones gubernamentales, seguidas de los sectores de servicios financieros y fabricación industrial".
Estados Unidos experimentó el mayor volumen de ataques, seguido de Australia, Francia, Alemania y Austria. Los hallazgos ilustran que la botnet basada en Linux está incorporando activamente vulnerabilidades recién descubiertas a su arsenal de exploits para atacar sistemas sin parches y ampliar su alcance.
Fuente: THN
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!