CISA advierte sobre vulnerabilidades críticas en Apple y CMS Craft
Publicado el
La CISA señala vulnerabilidades críticas
La Agencia de Ciberseguridad e Infraestructura de EE.UU. (CISA) ha añadido cinco vulnerabilidades de seguridad a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), afectando a productos de Apple, Craft CMS y Laravel Livewire. La CISA ha instado a las agencias federales a implementar parches antes del 3 de abril de 2026 para mitigar el riesgo de explotación.
Detalles de las vulnerabilidades
Las vulnerabilidades identificadas incluyen:
- CVE-2025-31277 (CVSS: 8.8): Falla en Apple WebKit que podría provocar corrupción de memoria al procesar contenido web malicioso. Esta vulnerabilidad se solucionó en julio de 2025. - CVE-2025-43510 (CVSS: 7.8): Corruptibilidad de memoria en el componente del kernel de Apple, permitiendo que una aplicación maliciosa realice cambios inesperados en la memoria compartida entre procesos. Se solucionó en diciembre de 2025. - CVE-2025-43520 (CVSS: 8.8): Otra vulnerabilidad de corrupción de memoria en el kernel de Apple que podría permitir a aplicaciones maliciosas causar terminaciones inesperadas del sistema o escribir en la memoria del kernel, también arreglada en diciembre de 2025. - CVE-2025-32432 (CVSS: 10.0): Vulnerabilidad de inyección de código en Craft CMS, que podría permitir a un atacante remoto ejecutar código arbitrario. Se solucionó en abril de 2025. - CVE-2025-54068 (CVSS: 9.8): Inyección de código en Laravel Livewire, permitiendo a atacantes no autenticados ejecutar comandos de forma remota en ciertas condiciones. Esta falla se solucionó en julio de 2025.
Contexto de explotación
El añadido de estas vulnerabilidades en el catálogo KEV se produce tras informes del Google Threat Intelligence Group (GTIG), iVerify y Lookout, que alertan sobre un kit de explotación para iOS denominado DarkSword. Este kit utiliza las vulnerabilidades mencionadas para desplegar diversas familias de malware, como GHOSTBLADE, GHOSTKNIFE y GHOSTSABER, con el objetivo de robar datos.
La CVE-2025-32432 ha sido explotada como un zero-day por actores de amenaza desconocidos desde febrero de 2025, según Orange Cyberdefense SensePost. Además, un conjunto de intrusiones denominado Mimo (también conocido como Hezb) ha sido observado utilizando esta vulnerabilidad para desplegar un minero de criptomonedas y proxyware residencial.
Por otro lado, la CVE-2025-54068 ha sido recientemente identificada en ataques por el grupo de hackers patrocinado por el estado iraní, MuddyWater (también llamado Boggy Serpens). Este grupo ha sido señalado por su enfoque en la ciberespionaje, atacando infraestructuras críticas en el Medio Oriente y otras regiones estratégicas a nivel mundial.
Técnicas y herramientas de MuddyWater
Según un informe de Palo Alto Networks Unit 42, MuddyWater ha aumentado sus capacidades tecnológicas, utilizando herramientas de malware mejoradas por IA y técnicas de anti-análisis para garantizar una persistencia a largo plazo. Su arsenal incluye una plataforma de orquestación web personalizada que permite automatizar el envío masivo de correos electrónicos, manteniendo control sobre las identidades de los remitentes y las listas de objetivos.
Este grupo ha llevado a cabo campañas dirigidas contra compañías energéticas y marítimas en los EAU, realizando múltiples oleadas de ataques desde agosto de 2025 hasta febrero de 2026, utilizando diversos tipos de malware como GhostBackDoor y Nuso.
La actividad reciente de MuddyWater demuestra una evolución en su perfil de amenaza, integrando metodologías establecidas con mecanismos refinados para mantener una operativa efectiva. Utilizando lenguajes de programación modernos como Rust y flujos de trabajo asistidos por IA, el grupo asegura la redundancia necesaria para sostener un ritmo operativo elevado.