Redazione RHC : 30 agosto 2025 09:38
Según un informe de Kaspersky Lab, el uso de vulnerabilidades aumentó significativamente en el segundo trimestre de 2025: casi todos los subsistemas de los ordenadores modernos fueron atacados, desde la UEFI hasta los controladores de navegador, los sistemas operativos y las aplicaciones.
Como antes, los atacantes continúan explotando estas vulnerabilidades en ataques reales para acceder a los dispositivos de los usuarios y combinarlas activamente con marcos C2 en operaciones complejas dirigidas. Un análisis de las estadísticas de CVE de los últimos cinco años muestra un aumento constante en el número total de vulnerabilidades registradas. Si bien a principios de 2024 había alrededor de 2600, esta cifra superó las 4000 en enero de 2025.
La única excepción fue mayo; por lo demás, el impulso continuó en aumento. Al mismo tiempo, algunos CVE pueden estar registrados con identificadores de años anteriores, pero solo se publicaron en 2025. Lo que resulta particularmente alarmante es que el número de vulnerabilidades críticas con una puntuación CVSS superior a 8,9 también aumentó significativamente en el primer semestre de 2025. Aunque no todas las vulnerabilidades se evalúan en esta escala, se observa una tendencia positiva: los errores críticos suelen ir acompañados de descripciones detalladas y se convierten en objeto de análisis público, lo que puede contribuir a una mitigación de riesgos más rápida.
Las vulnerabilidades más explotadas en Windows durante el segundo trimestre fueron, una vez más, antiguas vulnerabilidades de Microsoft Office: CVE-2018-0802, CVE-2017-11882 y CVE-2017-0199, que afectan al componente Editor de ecuaciones.
Se encontraron los siguientes exploits para WinRAR (CVE-2023-38831), una vulnerabilidad en el Explorador de Windows (CVE-2025-24071), que permite el robo de hashes NetNTLM, y un error en el controlador ks.sys (CVE-2024-35250), que permite a un atacante ejecutar código arbitrario.Todas estas vulnerabilidades se utilizan tanto para el acceso principal como para la escalada de privilegios.
Para Linux, los exploits más comunes fueron Dirty Pipe (CVE-2022-0847), CVE-2019-13272, que implica privilegios heredados, y CVE-2021-22555, una vulnerabilidad de montón en el subsistema Netfilter que utiliza la técnica Use-After-Free mediante manipulaciones con msg_msg. Esto confirma el continuo crecimiento del interés de los atacantes en los sistemas Linux, principalmente debido a la expansión de la base de usuarios.
Los exploits de sistemas operativos siguen dominando las fuentes públicas, mientras que este trimestre no se han publicado nuevas vulnerabilidades sobre Microsoft Office. En cuanto a los ataques dirigidos, las operaciones APT a menudo han explotado vulnerabilidades en herramientas de acceso remoto, editores de documentos y subsistemas de registro. Las herramientas de bajo código/sin código, e incluso los frameworks para aplicaciones de inteligencia artificial, están a la vanguardia, lo que indica un creciente interés de los atacantes en las herramientas de desarrollo modernas. Curiosamente, los errores detectados no afectaron al código generado, sino al propio software de infraestructura.
Según Kaspersky, los frameworks C2 en el primer semestre de 2025, Sliver, Metasploit, Havoc y Brute Ratel C4, fueron los líderes, respaldan directamente los exploits y ofrecen a los atacantes amplias oportunidades de persistencia, control remoto y mayor automatización. Las herramientas restantes se adaptaban manualmente para ataques específicos.
A partir del análisis de ejemplos de exploits y agentes C2, se han identificado las siguientes vulnerabilidades clave utilizadas en operaciones APT: CVE-2025-31324 en SAP NetWeaver Visual Composer Meta Data Uploader (ejecución remota de código, CVSS 10.0), CVE-2024-1709 en ConnectWise ScreenConnect (omisión de autenticación, CVSS 10.0), CVE-2024-31839 y CVE-2024-30850 en CHAOS v5.0.1 (XSS y RCE), y CVE-2025-33053 en Windows, que permite la ejecución de código arbitrario mediante el procesamiento incorrecto de accesos directos.
Estos exploits permitieron tanto la introducción inmediata de código malicioso como un enfoque gradual, comenzando con la recolección de credenciales.
Las vulnerabilidades publicadas recientemente también merecen especial atención. CVE-2025-32433 es un error de ejecución remota de comandos (RCE) en el servidor SSH del framework Erlang/OTP, que permite la ejecución remota de comandos sin verificación, incluso por parte de usuarios no autorizados. CVE-2025-6218 es otra vulnerabilidad de navegación de directorios en WinRAR, similar a CVE-2023-38831: permite modificar la ruta de descompresión del archivo y ejecutar código al iniciar el sistema operativo o la aplicación.
La vulnerabilidad CVE-2025-3052 en UEFI permite eludir el arranque seguro mediante la gestión insegura de las variables NVRAM. La vulnerabilidad CVE-2025-49113 en Roundcube Webmail es un problema clásico de deserialización insegura que requiere acceso autorizado. Finalmente, la vulnerabilidad CVE-2025-1533 en el controlador AsIO3.sys provoca un bloqueo del sistema al trabajar con rutas de más de 256 caracteres: los desarrolladores no tuvieron en cuenta que el límite actual de NTFS es de 32 767 caracteres.
La conclusión es clara: el número de vulnerabilidades sigue creciendo, especialmente las críticas.
Por lo tanto, es importante no solo instalar las actualizaciones a tiempo, sino también supervisar los sistemas comprometidos para detectar la presencia de agentes C2, prestar atención a la protección de los endpoints y establecer una política flexible de gestión de parches.
Esta es la única manera de reducir eficazmente los riesgos de explotación y garantizar la estabilidad de la infraestructura.
RedazioneSe ha descubierto una falla crítica de día cero, clasificada como CVE-2025-6543, en los sistemas Citrix NetScaler. Esta vulnerabilidad ha sido explotada activamente por hackers maliciosos desde mayo...
Una falla de seguridad en las apps de mensajería de WhatsApp para iOS y macOS de Apple ha sido corregida, según informó la compañía, tras ser probablemente explotada ampliamente junto con una vul...
NetScaler ha alertado a los administradores sobre tres nuevas vulnerabilidades en NetScaler ADC y NetScaler Gateway, una de las cuales ya se está utilizando en ataques activos. Hay actualizaciones di...
Un Jueves Negro para millones de usuarios de Microsoft Teams en todo el mundo. Una función clave de la plataforma de colaboración, la apertura de documentos incrustados de Office, ha sido repentinam...
Mientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la aparición de un ...
