**Nueva ola de ataques explota vulnerabilidad crítica en Adobe Experience Manager: CVE-2025-54253 bajo el foco de CISA**
—
### Introducción
El 26 de junio de 2024, la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) incorporó una vulnerabilidad crítica de Adobe Experience Manager (AEM) a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). La inclusión responde a pruebas fehacientes de explotación activa en entornos de producción. Dicha vulnerabilidad, identificada como CVE-2025-54253 y con una puntuación CVSS de 10.0, afecta a implementaciones ampliamente utilizadas en sectores empresariales, gubernamentales y de servicios digitales.
—
### Contexto del Incidente o Vulnerabilidad
Adobe Experience Manager es una plataforma líder para la gestión de contenidos web, presente en miles de organizaciones a nivel global. Su integración con servicios críticos y su exposición en superficies públicas la convierten en objetivo recurrente de actores maliciosos.
El fallo CVE-2025-54253 ha sido clasificado como una vulnerabilidad de configuración incorrecta (“misconfiguration bug”) que permite la ejecución arbitraria de código. Su aparición y posterior explotación activa subraya la tendencia creciente de los cibercriminales de aprovechar errores de configuración en grandes suites empresariales para obtener acceso privilegiado y persistencia.
La decisión de CISA de incluir esta vulnerabilidad en el catálogo KEV obliga a todas las agencias federales de EE.UU., bajo la Directiva Operacional Vinculante (BOD) 22-01, a aplicar parches y mitigar riesgos en un plazo máximo de 21 días. Aunque la directiva es estadounidense, la peligrosidad de la vulnerabilidad y su explotación activa la convierten en una prioridad global.
—
### Detalles Técnicos
**Identificador:** CVE-2025-54253
**CVSS:** 10.0 (Crítico)
**Vector de ataque:** Red (remoto, sin autenticación)
**Componentes afectados:** Instalaciones de Adobe Experience Manager en versiones anteriores a la 6.5.19.0 y 6.4.17.0
El fallo reside en la incorrecta gestión de los permisos de ejecución de scripts dentro del entorno AEM. Un atacante puede explotar esta debilidad enviando peticiones HTTP especialmente manipuladas al servidor AEM, lo que le permite cargar y ejecutar código arbitrario con los permisos del proceso de la aplicación, generalmente elevados.
**TTPs MITRE ATT&CK asociadas:**
– **Initial Access:** Exploitation of Public-Facing Application (T1190)
– **Execution:** Command and Scripting Interpreter (T1059)
– **Persistence:** Implantation of Web Shells (T1505.003)
**Indicadores de compromiso (IoC):**
– Solicitudes HTTP POST o PUT inusuales hacia endpoints `/apps/`, `/libs/` y `/crx/de/`
– Aparición de archivos .jsp, .groovy o .class no autorizados en el árbol de recursos
– Procesos hijos inesperados ejecutados bajo el proceso “java.exe” o “javaw.exe” del servidor AEM
Se han detectado exploits públicos en foros underground y la vulnerabilidad ya ha sido añadida a frameworks como Metasploit y Cobalt Strike, facilitando tanto pruebas de penetración como ataques reales.
—
### Impacto y Riesgos
El riesgo potencial de CVE-2025-54253 es extremo, dado que permite la ejecución remota de código sin necesidad de autenticación previa. En entornos donde AEM está expuesto a Internet, un atacante podría tomar control total del servidor, pivotar hacia otros sistemas internos, exfiltrar información sensible, modificar contenido web o desplegar ransomware.
Según estimaciones de Shodan y Censys, más de 8.000 instancias de AEM están expuestas en Internet. El 40% de ellas ejecutan versiones vulnerables. El impacto económico es significativo: en 2023, incidentes similares produjeron pérdidas medias de 2,1 millones de euros por fuga de datos y costes asociados a interrupciones del servicio.
Cumplir con normativas como el RGPD (GDPR) y la directiva NIS2 exige a las organizaciones demostrar diligencia en la protección de estos sistemas, so pena de sanciones que pueden alcanzar el 4% de la facturación global anual.
—
### Medidas de Mitigación y Recomendaciones
– **Actualización inmediata** a las versiones corregidas (AEM 6.5.19.0 o 6.4.17.0).
– Restricción de acceso a interfaces administrativas y endpoints sensibles mediante segmentación de red y autenticación multifactor.
– Implementación de WAF con reglas específicas para bloquear carga de archivos sospechosos y patrones de explotación conocidos.
– Monitorización continua de logs en busca de IoCs asociados y análisis forense en caso de actividad anómala.
– Realización de auditorías periódicas de configuración y pruebas de penetración orientadas a la detección de errores de configuración.
—
### Opinión de Expertos
Expertos del sector, como el SANS Institute y la comunidad de OWASP, coinciden en señalar que las vulnerabilidades de configuración siguen siendo la “puerta trasera” más explotada. “La rapidez con la que esta vulnerabilidad ha sido weaponizada y explotada demuestra la madurez del cibercrimen organizado”, destaca Sergio de los Santos, responsable de Innovación en Ciberseguridad de Telefónica Tech.
—
### Implicaciones para Empresas y Usuarios
El incidente refuerza la necesidad de una gestión proactiva de vulnerabilidades y una estrategia de hardening sistemático en aplicaciones críticas. Las empresas deben invertir en formación técnica, automatización de despliegues seguros y colaboración con equipos de respuesta ante incidentes.
Para los usuarios finales, aumenta el riesgo de manipulación de contenidos web, robo de credenciales y afectación a servicios digitales esenciales.
—
### Conclusiones
La explotación activa de CVE-2025-54253 en Adobe Experience Manager evidencia la importancia de una gestión rigurosa de la superficie de ataque y la actualización continua de plataformas críticas. Organizaciones de todos los sectores deben priorizar la mitigación de esta amenaza, reforzando controles técnicos y revisando políticas de seguridad, para evitar consecuencias legales, económicas y de reputación.
(Fuente: feeds.feedburner.com)