La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha instado a las agencias gubernamentales a corregir dos fallas de seguridad que afectan a Synacor Zimbra Collaboration Suite (ZCS) y Microsoft Office SharePoint, diciendo que están siendo explotadas activamente en la naturaleza.
Las vulnerabilidades en cuestión son:
CVE-2025-66376 (Puntuación CVSS: 7.2): una vulnerabilidad de secuencias de comandos entre sitios almacenadas en la interfaz de usuario clásica de ZCS permite a un atacante explotar las directivas @import de hojas de estilo en cascada (CSS) en mensajes de correo electrónico HTML. (Solucionado en noviembre de 2025 en las versiones 10.0.18 y 10.1.13) CVE-2026-20963 (puntuación CVSS: 8,8): la vulnerabilidad de deserialización de datos no confiables en Microsoft Office SharePoint permite a un atacante sin privilegios ejecutar código a través de la red. (revisado en enero de 2026)
En este momento, no hay informes públicos que aborden la explotación de la falla antes mencionada, quién la está explotando o su escala. A la luz de la explotación activa, se alienta a las agencias del Poder Ejecutivo Civil Federal (FCEB) a aplicar el parche para CVE-2025-66376 antes del 1 de abril de 2026 y el parche para CVE-2026-20963 antes del 23 de marzo de 2026.
Esta divulgación se produce después de que Amazon revelara que los atacantes asociados con el ransomware Interlock habían estado explotando una falla de seguridad de máxima gravedad (CVE-2026-20131, puntuación CVSS: 10.0) que afectaba al software de administración de firewall de Cisco desde el 26 de enero de 2026, más de un mes antes de que se hiciera público.
«Históricamente, Interlock se ha dirigido a sectores específicos donde las interrupciones operativas ejercerían la mayor presión sobre los pagos», dijo Amazon. Estos sectores incluyen educación, ingeniería, arquitectura, construcción, manufactura, industria, atención médica y gobierno.
Este ataque resalta una vez más un patrón persistente de atacantes que apuntan a dispositivos de red perimetrales de una variedad de proveedores, incluidos Cisco, Fortinet e Ivanti, para obtener acceso inicial a las redes de destino. El hecho de que CVE-2026-20131 haya sido utilizado como arma de día cero indica que los atacantes están invirtiendo tiempo y recursos para encontrar fallas previamente desconocidas que podrían permitir un acceso elevado.
Source link
