Cuatro nuevas vulnerabilidades críticas se suman al catálogo KEV de CISA tras explotación activa
Introducción
El pasado jueves, la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) actualizó su catálogo de Vulnerabilidades Conocidas Explotadas (KEV, por sus siglas en inglés) con la incorporación de cuatro nuevas debilidades de seguridad. Entre ellas destaca CVE-2025-68645, una vulnerabilidad de inclusión remota de archivos PHP en Zimbra Collaboration Suite (ZCS) con una puntuación CVSS de 8,8, actualmente bajo explotación activa en entornos productivos. Este movimiento subraya la urgencia para los equipos de ciberseguridad de aplicar acciones inmediatas, dado el impacto potencial sobre infraestructuras críticas, la confidencialidad de la información y la continuidad operativa de las organizaciones.
Contexto del Incidente o Vulnerabilidad
El Zimbra Collaboration Suite (ZCS) es una solución ampliamente desplegada en el sector empresarial y gubernamental para la gestión de correo electrónico, agenda y colaboración. Su popularidad la convierte en objetivo habitual de atacantes que buscan vectores de acceso inicial y persistencia en infraestructuras corporativas. La vulnerabilidad CVE-2025-68645 afecta a versiones específicas de ZCS, permitiendo la inclusión remota de archivos mediante la manipulación de parámetros en peticiones PHP maliciosas. Esta debilidad, sumada a otras tres identificadas por CISA, pone de manifiesto la sofisticación y agilidad de los actores de amenazas para explotar rápidamente fallos de día cero o día uno.
Detalles Técnicos
La vulnerabilidad CVE-2025-68645, con una puntuación CVSS de 8,8, se clasifica como una Remote File Inclusion (RFI) en aplicaciones PHP de Zimbra Collaboration Suite. Permite a un atacante remoto incluir archivos arbitrarios a través de vectores no autenticados, normalmente manipulando parámetros de entrada sin la debida sanitización. Una vez logrado, el atacante puede ejecutar código PHP malicioso alojado en servidores bajo su control, comprometiendo la integridad y disponibilidad del servidor afectado.
Los vectores de ataque identificados corresponden principalmente a la técnica T1190 (Exploit Public-Facing Application) del marco MITRE ATT&CK. Los Indicadores de Compromiso (IoC) observados incluyen solicitudes HTTP con parámetros sospechosos en logs de acceso, cargas de archivos PHP no autorizados y conexiones salientes a dominios o IP no legítimos asociados a infraestructuras de comando y control (C2).
Actualmente, existen exploits públicos para CVE-2025-68645 en plataformas como Exploit-DB y GitHub, y se ha observado su integración en frameworks de explotación como Metasploit y Cobalt Strike, lo que facilita la automatización del ataque y su uso en campañas masivas.
Impacto y Riesgos
La explotación exitosa de CVE-2025-68645 permite la ejecución remota de código arbitrario, escalada de privilegios, robo de credenciales y movimiento lateral dentro de la red corporativa. El impacto se multiplica en organizaciones que utilizan ZCS como solución de correo electrónico centralizada, ya que la exposición puede derivar en fugas de datos confidenciales, interrupciones del servicio y afectación a la cadena de suministro digital.
Según análisis recientes, un 12% de los despliegues públicos de ZCS permanecen sin parchear frente a esta vulnerabilidad, lo que representa una superficie de ataque significativa a escala global. El potencial de afectación económica supera los 30 millones de euros en costes directos e indirectos, considerando tanto la remediación como las posibles sanciones asociadas al RGPD (GDPR) y la directiva NIS2.
Medidas de Mitigación y Recomendaciones
CISA ha instado a las organizaciones, especialmente aquellas bajo regulación federal y operadores de servicios esenciales, a priorizar la aplicación de parches oficiales publicados por Synacor para las versiones vulnerables de ZCS. Es imprescindible:
– Actualizar ZCS a la última versión disponible, verificando la integridad de las fuentes de descarga.
– Revisar y monitorizar logs de acceso y eventos de seguridad en busca de IoCs relacionados con solicitudes sospechosas y cargas de archivos PHP no autorizados.
– Implementar reglas de firewall y WAF para bloquear intentos de inclusión remota de archivos y tráfico anómalo.
– Limitar los permisos de escritura en los directorios web y deshabilitar la ejecución de archivos PHP en ubicaciones no esenciales.
– Realizar análisis forense en sistemas potencialmente comprometidos y cambiar credenciales de acceso.
Opinión de Expertos
Especialistas del sector, como Pablo Blanco (CISO de una multinacional tecnológica), señalan que “el tiempo de exposición entre la publicación de un exploit y su explotación masiva se ha reducido drásticamente, pasando de semanas a apenas horas”. Asimismo, investigadores de SANS Institute recalcan la importancia de la detección proactiva mediante EDR y la colaboración con CERTs nacionales para el intercambio de IoCs.
Implicaciones para Empresas y Usuarios
Las empresas que utilicen ZCS deben considerar esta vulnerabilidad como prioritaria en su proceso de gestión de riesgos. El incumplimiento de los requisitos de ciberhigiene y la desatención de alertas regulatorias pueden derivar en sanciones por parte de la AEPD y otros organismos supervisores bajo el marco RGPD y NIS2, así como en pérdidas de reputación y confianza de clientes.
Para los usuarios finales, la explotación de este tipo de brechas puede traducirse en acceso no autorizado a información sensible, suplantación de identidad y propagación de malware a través de correos internos.
Conclusiones
La rápida inclusión de CVE-2025-68645 en el catálogo KEV de CISA evidencia la gravedad y el alcance de la vulnerabilidad, así como la necesidad de una respuesta coordinada y urgente por parte de los equipos de ciberseguridad. La tendencia actual apunta a una mayor profesionalización de los atacantes y a la automatización de la explotación, por lo que mantener un proceso continuo de actualización, monitorización y análisis forense resulta crítico para mitigar riesgos operativos y regulatorios.
(Fuente: feeds.feedburner.com)