La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el lunes tres fallas de seguridad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) basándose en evidencia de explotación activa.
La lista de vulnerabilidades es la siguiente:
CVE-2021-22054 (Puntuación CVSS: 7,5): una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Omnissa Workspace One UEM (anteriormente VMware Workspace One UEM) podría permitir que un atacante malicioso con acceso a la red de UEM envíe solicitudes sin autenticación y acceda a información confidencial. CVE-2025-26399 (Puntuación CVSS: 9,8): vulnerabilidad de deserialización de datos no confiables en el componente AjaxProxy de SolarWinds Web Help Desk podría permitir a un atacante ejecutar comandos en la máquina host. CVE-2026-1603 (Puntuación CVSS: 8,6): la omisión de autenticación utilizando una ruta alternativa o una vulnerabilidad de canal en Ivanti Endpoint Manager podría permitir que un atacante remoto y no autenticado revele ciertos datos de credenciales almacenados.
La adición de CVE-2025-26399 sigue a informes de Microsoft y Huntress de que los actores de amenazas están explotando fallas de seguridad en la mesa de ayuda web de SolarWinds para obtener acceso inicial. Se cree que esta actividad es obra del equipo de ransomware Warlock.
Mientras tanto, GreyNoise informó que CVE-2021-22054 en marzo de 2025 estaba siendo explotada junto con varias otras vulnerabilidades SSRF en otros productos como parte de una campaña coordinada.
En este momento, se desconocen los detalles sobre cómo CVE-2026-1603 se convierte en arma. Al momento de escribir este artículo, el boletín de seguridad de Ivanti no se ha actualizado para reflejar el exploit.
Para combatir los riesgos que plantean las amenazas activas, se ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen parches a la mesa de ayuda web de SolarWinds antes del 12 de marzo de 2026 y a otros dos antes del 23 de marzo de 2026.
«Este tipo de vulnerabilidades son vectores de ataque frecuentes para ciberatacantes maliciosos y plantean riesgos importantes para las empresas federales», dijo CISA.
Source link
