AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

CISA alerta sobre explotación activa de vulnerabilidades críticas en Erlang/OTP SSH y Roundcube

admin

Introducción

El panorama de amenazas actual se caracteriza por la rápida explotación de vulnerabilidades críticas en componentes ampliamente utilizados. El pasado lunes, la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE. UU. (CISA) incorporó dos nuevas vulnerabilidades críticas, que afectan a Erlang/Open Telecom Platform (OTP) SSH y al gestor de correo Roundcube, a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV). Esta decisión se basa en evidencias de explotación activa detectadas en entornos reales, lo que subraya la necesidad de una respuesta inmediata por parte de los equipos de seguridad.

Contexto del Incidente o Vulnerabilidad

Erlang/OTP es una plataforma ampliamente utilizada para el desarrollo de sistemas distribuidos, con especial presencia en el ámbito de las telecomunicaciones, mensajería instantánea y sistemas de alta disponibilidad. Su subsistema SSH, encargado de la gestión de conexiones seguras, es crítico para la confidencialidad e integridad de las comunicaciones. Roundcube, por su parte, es uno de los clientes webmail más populares a nivel global, siendo empleado tanto por proveedores de servicios como por organizaciones privadas.

La inclusión de estas vulnerabilidades en el KEV de CISA implica que existen pruebas fehacientes de explotación activa, lo que incrementa de forma exponencial el riesgo para cualquier sistema expuesto sin las mitigaciones adecuadas. Este movimiento sigue la tendencia reciente de ataques dirigidos a infraestructuras de correo y componentes de conectividad segura, donde los actores de amenazas buscan acceso persistente o lateralidad dentro de redes corporativas.

Detalles Técnicos

El primero de los fallos, identificado como CVE-2025-32433 (con una puntuación CVSS máxima de 10.0), afecta al subsistema SSH de Erlang/OTP. El defecto radica en una ausencia de autenticación en la gestión de conexiones SSH, lo que permite a un atacante remoto ejecutar código arbitrario en los sistemas afectados sin necesidad de credenciales. La explotación de esta vulnerabilidad puede realizarse mediante el envío de paquetes SSH especialmente manipulados, aprovechando la falta de comprobación de identidad del usuario.

Aunque CISA no ha especificado aún la técnica exacta, se sospecha que los atacantes emplean técnicas de explotación automatizada a través de frameworks como Metasploit, así como herramientas personalizadas para la enumeración y explotación de servicios SSH mal configurados. En términos de MITRE ATT&CK, el vector de ataque corresponde a T1190 (Exploitation of Remote Services) y T1078 (Valid Accounts), dado que tras la explotación inicial, los atacantes suelen buscar persistencia mediante la creación de cuentas válidas o la instalación de puertas traseras.

En el caso de Roundcube, aunque los detalles técnicos de la vulnerabilidad añadida recientemente al KEV no han sido completamente desvelados en el aviso de CISA, históricamente las vulnerabilidades de este gestor de correo han estado relacionadas con la ejecución remota de código (RCE) a través de la manipulación de mensajes de correo maliciosos o la explotación de plugins inseguros. Los Indicadores de Compromiso (IoC) habituales incluyen registros de acceso anómalos, procesos sospechosos y modificaciones no autorizadas en los archivos de configuración de Roundcube.

Impacto y Riesgos

El impacto potencial de estas vulnerabilidades es severo. En el caso de Erlang/OTP, cualquier sistema expuesto a Internet podría ser completamente comprometido, permitiendo a los atacantes el acceso a datos sensibles, la interrupción de servicios críticos o el uso de los sistemas comprometidos como punto de partida para movimientos laterales. Dada la crítica dependencia de Erlang/OTP en aplicaciones de telecomunicaciones y mensajería, el riesgo para la continuidad del negocio es significativo.

Para Roundcube, la explotación puede traducirse en la exfiltración masiva de correos electrónicos, suplantación de identidad de usuarios, distribución de malware y acceso a infraestructuras internas. La explotación exitosa puede tener consecuencias directas sobre la privacidad de los usuarios y la confidencialidad de la información corporativa, afectando al cumplimiento de normativas como el GDPR y la Directiva NIS2.

Medidas de Mitigación y Recomendaciones

CISA recomienda la actualización inmediata a las versiones corregidas de Erlang/OTP SSH y Roundcube. En el caso de Erlang/OTP, se debe verificar que se está utilizando al menos la versión que corrige CVE-2025-32433, deshabilitando temporalmente el acceso SSH externo si no es imprescindible. Para Roundcube, se aconseja aplicar los parches publicados en el repositorio oficial y revisar los registros de actividad en busca de accesos anómalos o modificaciones no autorizadas.

Adicionalmente, se recomienda la monitorización activa de indicadores de compromiso, el despliegue de reglas de detección específicas en SIEM/SOC y la revisión exhaustiva de la segmentación de red y políticas de acceso. Herramientas como Cobalt Strike y Metasploit deben ser actualizadas en los entornos de prueba para simular los nuevos vectores y validar la eficacia de las medidas implementadas.

Opinión de Expertos

Diversos analistas de amenazas y responsables de seguridad han subrayado la gravedad de estas vulnerabilidades, especialmente por su facilidad de explotación y el elevado número de sistemas potencialmente expuestos. “La explotación automatizada de fallos críticos en servicios de infraestructura puede derivar en brechas masivas en cuestión de horas”, señala un CISO de una gran operadora europea. El sector coincide en que la rapidez en la aplicación de parches y la monitorización proactiva son actualmente las mejores defensas.

Implicaciones para Empresas y Usuarios

Las empresas que dependen de Erlang/OTP SSH o Roundcube deben considerar estas vulnerabilidades como críticas para la continuidad del negocio y la protección de datos. La obligación de notificación ante incidentes graves (GDPR, NIS2) puede conllevar sanciones económicas si no se toman medidas diligentes. Para los usuarios finales, el compromiso de cuentas de correo puede derivar en ataques de phishing, robo de información o suplantación de identidad.

Conclusiones

La incorporación de estas vulnerabilidades al catálogo KEV de CISA es una llamada de atención para todo el sector. La explotación activa y la criticidad de los fallos obligan a una respuesta inmediata y coordinada: actualización de sistemas, refuerzo de controles y monitorización continua. Sólo así se podrá mitigar el riesgo y evitar incidentes de gran impacto en los próximos meses.

(Fuente: feeds.feedburner.com)