CISA agrega 4 fallos explotados a KEV y establece plazo federal en mayo de 2026

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) añadió el viernes cuatro vulnerabilidades que afectan a SimpleHelp, Samsung MagicINFO 9 Server y routers D-Link serie DIR-823X a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de explotación activa. La lista de vulnerabilidades es la siguiente:

• CVE-2024-57726 (CVSS 9.9): Vulnerabilidad de falta de autorización en SimpleHelp que permite a técnicos con pocos privilegios crear claves API con permisos excesivos, lo que puede usarse para escalar privilegios al rol de administrador del servidor.
• CVE-2024-57728 (CVSS 7.2): Vulnerabilidad de path traversal en SimpleHelp que permite a administradores subir archivos arbitrarios en cualquier lugar del sistema de archivos mediante un archivo zip manipulado (zip slip), explotable para ejecutar código arbitrario en el contexto del usuario del servidor SimpleHelp.
• CVE-2024-7399 (CVSS 8.8): Vulnerabilidad de path traversal en Samsung MagicINFO 9 Server que permite a un atacante escribir archivos arbitrarios como autoridad del sistema.
• CVE-2025-29635 (CVSS 7.5): Vulnerabilidad de inyección de comandos en routers D-Link serie DIR-823X al final de su vida útil que permite a un atacante autenticado ejecutar comandos arbitrarios en dispositivos remotos mediante una solicitud POST a /goform/set_prohibiting a través de la función correspondiente.

Aunque ambos fallos de SimpleHelp están marcados como "Desconocido" en el indicador "Se sabe que se utiliza en campañas de ransomware" del catálogo KEV, informes de Field Effect y Sophos revelaron a principios del año pasado que los problemas fueron explotados como precursor de ataques de ransomware. Una de esas campañas se atribuyó a la operación de ransomware DragonForce.

La explotación de CVE-2024-7399 se ha vinculado a actividades maliciosas que implementaron el botnet Mirai en el pasado. En cuanto a CVE-2025-29635, Akamai reveló esta semana que registró intentos contra dispositivos D-Link para distribuir una variante del botnet Mirai llamada "tuxnokill".

Para mitigar las amenazas activas, se recomienda a las agencias de la Rama Ejecutiva Civil Federal (FCEB) aplicar las correcciones o, en el caso de CVE-2025-29635, discontinuar el uso del dispositivo antes del 8 de mayo de 2026.