CISA advierte sobre vulnerabilidades en Zimbra y SharePoint; ataque a Cisco
Publicado el
La CISA (Agencia de Seguridad Cibernética y de Infraestructura de EE.UU.) ha emitido una advertencia a las agencias gubernamentales sobre dos vulnerabilidades de seguridad en el Synacor Zimbra Collaboration Suite (ZCS) y Microsoft Office SharePoint, que están siendo explotadas de forma activa en el entorno. Las vulnerabilidades identificadas son:
- CVE-2025-66376 (Puntuación CVSS: 7.2): Se trata de una vulnerabilidad de cross-site scripting almacenado en la interfaz clásica de ZCS, donde los atacantes pueden abusar de las directivas @import de CSS en un mensaje de correo electrónico HTML. Esta vulnerabilidad fue corregida en las versiones 10.0.18 y 10.1.13 en noviembre de 2025.
- CVE-2026-20963 (Puntuación CVSS: 8.8): Esta vulnerabilidad de deserialización de datos no confiables en Microsoft Office SharePoint permite a un atacante no autorizado ejecutar código a través de una red. Se solucionó en enero de 2026.
Hasta el momento, no existen informes públicos que detallen la explotación de estas vulnerabilidades, quiénes las están aprovechando ni la magnitud de estos esfuerzos. A la luz de la explotación activa, se recomienda a las agencias del Federal Civilian Executive Branch (FCEB) aplicar los parches para CVE-2025-66376 antes del 1 de abril de 2026, y para CVE-2026-20963 antes del 23 de marzo de 2026.
Esta advertencia coincide con la revelación de Amazon sobre la explotación de una vulnerabilidad crítica que afecta al software de gestión de cortafuegos de Cisco (CVE-2026-20131, Puntuación CVSS: 10.0), la cual ha sido utilizada por actores de amenazas asociados con el ransomware Interlock desde el 26 de enero de 2026, más de un mes antes de su divulgación pública.
Amazon ha indicado que Interlock ha dirigido históricamente sus ataques a sectores específicos donde la interrupción de las operaciones genera una presión máxima para el pago. Estos sectores incluyen educación, ingeniería, arquitectura, construcción, manufactura, salud y entidades gubernamentales.
Este ataque resalta un patrón persistente en el que los actores de amenazas apuntan a dispositivos de red de diferentes proveedores, incluyendo Cisco, Fortinet, Ivanti y otros, para obtener acceso inicial a las redes objetivo. El hecho de que CVE-2026-20131 haya sido utilizado como un zero-day demuestra que los atacantes están invirtiendo tiempo y recursos en encontrar fallos desconocidos que les otorguen acceso elevado.
La situación exige una atención inmediata por parte de las organizaciones afectadas para mitigar los riesgos asociados a estas vulnerabilidades y proteger sus infraestructuras de posibles ataques.