La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) agregó el martes una vulnerabilidad crítica en SolarWinds Web Help Desk (WHD) a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), señalando que está siendo explotada activamente en ataques.
La vulnerabilidad, registrada como CVE-2025-40551 (puntuación CVSS 9.8), es una falla de deserialización de datos no confiables que podría allanar el camino para la ejecución remota de código. 'SolarWinds Web Help Desk contiene una vulnerabilidad de deserialización de datos no confiables que podría llevar a la ejecución remota de código, lo que permitiría a un atacante ejecutar comandos en la máquina anfitriona', indicó CISA. 'Esto podría explotarse sin autenticación'.
SolarWinds lanzó parches para la falla la semana pasada, junto con las vulnerabilidades CVE-2025-40536 (CVSS 8.1), CVE-2025-40537 (CVSS 7.5), CVE-2025-40552 (CVSS 9.8), CVE-2025-40553 (CVSS 9.8) y CVE-2025-40554 (CVSS 9.8), en la versión WHD 2026.1. Actualmente no hay informes públicos sobre cómo se está utilizando la vulnerabilidad en ataques, quiénes podrían ser los objetivos o la escala de dichos esfuerzos. Es la última ilustración de la rapidez con que los actores de amenazas se están moviendo para explotar fallas recién divulgadas.
Otras vulnerabilidades añadidas al catálogo KEV
- CVE-2019-19006 (CVSS 9.8): Vulnerabilidad de autenticación incorrecta en Sangoma FreePBX que permite potencialmente a usuarios no autorizados eludir la autenticación por contraseña y acceder a servicios del administrador de FreePBX.
- CVE-2025-64328 (CVSS 8.6): Vulnerabilidad de inyección de comandos del sistema operativo en Sangoma FreePBX que podría permitir a un usuario autenticado conocido inyectar comandos a través de la función testconnection -> check_ssh_connect() y obtener acceso remoto al sistema como usuario asterisk.
- CVE-2021-39935 (CVSS 7.5/6.8): Vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en GitLab Community y Enterprise Editions que podría permitir a usuarios externos no autorizados realizar solicitudes del lado del servidor a través de la API de CI Lint.
Es importante destacar que la explotación de CVE-2021-39935 fue señalada por GreyNoise en marzo de 2025, como parte de un aumento coordinado en el abuso de vulnerabilidades SSRF en múltiples plataformas, incluyendo DotNetNuke, Zimbra Collaboration Suite, Broadcom VMware vCenter, ColumbiaSoft DocumentLocator, BerriAI LiteLLM e Ivanti Connect Secure. Por otro lado, el abuso de CVE-2019-19006 se remonta a noviembre de 2020, cuando Check Point reveló detalles de una operación de fraude cibernético con nombre en código INJ3CTOR3 que aprovechaba la falla para comprometer servidores VoIP y vender el acceso al mejor postor. Tan recientemente como la semana pasada, Fortinet reveló que el actor de amenazas detrás de la actividad ha utilizado CVE-2025-64328 desde principios de diciembre de 2025 para distribuir un web shell con nombre en código EncystPHP.
'En 2022, el actor de amenazas cambió su enfoque al sistema Elastix a través de CVE-2021-45461', dijo el investigador de seguridad Vincent Li. 'Estos incidentes comienzan con la explotación de una vulnerabilidad de FreePBX, seguida de la implementación de un web shell PHP en los entornos objetivo'. Una vez lanzado, EncystPHP intenta recopilar la configuración de la base de datos de FreePBX, establece persistencia creando un usuario de nivel raíz llamado newfpbx, restablece múltiples contraseñas de cuentas de usuario y modifica el archivo 'authorized_keys' de SSH para asegurar el acceso remoto. El web shell también expone una interfaz interactiva que admite varios comandos operativos predefinidos, incluyendo enumeración del sistema de archivos, inspección de procesos, consulta de canales Asterisk activos, listado de pares SIP de Asterisk y recuperación de múltiples archivos de configuración de FreePBX y Elastix.
Al aprovechar los contextos administrativos de Elastix y FreePBX, el web shell opera con privilegios elevados, lo que permite la ejecución arbitraria de comandos en el host comprometido e inicia actividad de llamadas salientes a través del entorno PBX. Debido a que puede mezclarse con los componentes legítimos de FreePBX y Elastix, esta actividad puede evadir la detección inmediata, dejando los sistemas afectados expuestos a riesgos bien conocidos, incluyendo persistencia a largo plazo, acceso administrativo no autorizado y abuso de recursos telefónicos.
Las agencias de la Rama Ejecutiva Civil Federal (FCEB) deben corregir CVE-2025-40551 antes del 6 de febrero de 2026 y las demás antes del 24 de febrero de 2026, de acuerdo con la Directiva Operativa Vinculante (BOD) 22-01: Reducción del Riesgo Significativo de Vulnerabilidades Explotadas Conocidas.
