Vulnerabilidades críticas de Hikvision y Rockwell Automation en el catálogo de CISA
Publicado el
La Agencia de Seguridad Cibernética e Infraestructura de EE. UU. (CISA) ha incluido recientemente dos vulnerabilidades críticas que afectan a los productos de Hikvision y Rockwell Automation en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV). Este movimiento se produce tras evidencias de explotación activa, lo que subraya la urgencia de abordar estos problemas.
Vulnerabilidades identificadas
Las fallas críticas que han sido añadidas son las siguientes:
- CVE-2017-7921 (puntuación CVSS: 9.8): Esta vulnerabilidad de autenticación inadecuada afecta a múltiples productos de Hikvision, permitiendo a un atacante elevar privilegios en el sistema y acceder a información sensible.
- CVE-2021-22681 (puntuación CVSS: 9.8): Se trata de una vulnerabilidad relacionada con credenciales insuficientemente protegidas en varios productos de Rockwell Automation, incluyendo Studio 5000 Logix Designer, RSLogix 5000 y Logix Controllers. Esta falla podría permitir a un usuario no autorizado, con acceso a la red, eludir mecanismos de verificación y autenticar con el controlador, además de modificar su configuración y/o código de aplicación.
La inclusión de CVE-2017-7921 en el catálogo KEV se produce más de cuatro meses después de que el SANS Internet Storm Center alertara sobre intentos de explotación en cámaras de Hikvision vulnerables. No obstante, hasta el momento no se han reportado ataques públicos que involucren CVE-2021-22681.
Recomendaciones para las organizaciones
Ante la explotación activa de estas vulnerabilidades, se recomienda a las agencias del Federal Civilian Executive Branch (FCEB) actualizar a las versiones de software más recientes y soportadas antes del 26 de marzo de 2026, como parte de la Directiva Operativa Vinculante (BOD) 22-01. CISA ha señalado que "este tipo de vulnerabilidades son vectores de ataque frecuentes para actores maliciosos y representan riesgos significativos para el sector federal".
Aunque la BOD 22-01 se aplica exclusivamente a las agencias FCEB, CISA instó a todas las organizaciones a reducir su exposición a ciberataques priorizando la remediación oportuna de las vulnerabilidades del catálogo KEV como parte de su práctica de gestión de vulnerabilidades.
Las organizaciones deben estar atentas y actuar con rapidez para proteger sus sistemas frente a las amenazas emergentes, dado que estas vulnerabilidades no solo afectan a entidades gubernamentales, sino que pueden tener un impacto amplio en diversos sectores industriales.