La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) ha advertido a las agencias federales de EE. UU. que aseguren sus sistemas contra ataques que explotan vulnerabilidades en Cisco y Windows.
Vulnerabilidad de Cisco: CVE-2023-20118
CVE-2023-20118 permite a los atacantes ejecutar comandos arbitrarios en varios routers VPN Cisco (modelos RV016, RV042, RV042G, RV082, RV320, y RV325).
La explotación requiere credenciales administrativas válidas, pero puede lograrse mediante una cadena de explotación utilizando CVE-2023-20025, que permite privilegios de root.
Vulnerabilidad Win32k en Windows: CVE-2018-8639 ️
CVE-2018-8639 es un fallo de elevación de privilegios en Win32k que permite a los atacantes locales ejecutar código arbitrario en el modo kernel.
Su explotación exitosa da a los atacantes la capacidad de modificar datos o crear cuentas falsas con privilegios completos, tomando el control de los dispositivos vulnerables.
CISA añade estas vulnerabilidades al catálogo de vulnerabilidades explotadas
CISA ha añadido ambas vulnerabilidades a su catálogo de Vulnerabilidades Conocidas Explotadas, que lista fallos de seguridad que están siendo explotados activamente.
Según el BOD 22-01, las agencias del Federal Civilian Executive Branch (FCEB) tienen un plazo de tres semanas, hasta el 23 de marzo, para asegurar sus redes contra estas explotaciones.
Advertencia de CISA sobre el riesgo para agencias federales
CISA advirtió que este tipo de vulnerabilidades son vectores de ataque frecuentes para actores maliciosos y representan graves riesgos para las agencias federales. Las agencias gubernamentales deben actuar rápidamente para mitigar las amenazas.
Microsoft y Cisco no actualizan sus avisos de seguridad
Hasta el momento, tanto Microsoft como Cisco no han actualizado sus avisos de seguridad después de que CISA etiquetara estas vulnerabilidades como activamente explotadas.
Vulnerabilidad de Outlook también explotada
En febrero de 2025, CISA también informó sobre una vulnerabilidad crítica de Microsoft Outlook (CVE-2024-21413), que estaba siendo explotada en ataques activos. Las agencias federales debían parchar sus sistemas antes del 27 de febrero.