La agencia de ciberseguridad de EE. UU. (CISA) ha actualizado su catálogo KEV con cuatro vulnerabilidades que ya están siendo utilizadas por hackers, estableciendo una fecha límite de remediación para el 12 de febrero de 2026.
No es solo infraestructura de red; ahora van por los desarrolladores. La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha añadido este jueves, 23 de enero de 2026, cuatro nuevas entradas a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV).
Esta actualización es particularmente alarmante porque diversifica los objetivos: los atacantes no solo están golpeando servidores de correo (Zimbra) y orquestadores de red (Versa), sino que están envenenando la cadena de suministro de desarrollo de software explotando herramientas populares como Vite y paquetes de Prettier.
Los 4 Jinetes del KEV
CISA ha dado a las agencias federales (y recomienda a todas las empresas) hasta el 12 de febrero de 2026 para parchar o desconectar los sistemas afectados por las siguientes fallas:
- Zimbra Collaboration Suite: La Puerta Trasera PHP
- CVE: CVE-2025-68645 (CVSS 8.8)
- El Fallo: Una vulnerabilidad de Inclusión Remota de Archivos (RFI) en el endpoint /h/rest.
- El Ataque: Permite a un atacante no autenticado incluir archivos arbitrarios desde el directorio raíz web. Según reportes, la explotación activa comenzó el 14 de enero, permitiendo a los hackers ejecutar código PHP malicioso en servidores de correo corporativos sin necesidad de contraseñas.
- Versa Concerto: Secuestro del SD-WAN
- CVE: CVE-2025-34026 (CVSS 9.2 – Crítica)
- El Fallo: Bypass de Autenticación en la plataforma de orquestación Versa Concerto.
- El Ataque: Dado que este software gestiona redes SD-WAN distribuidas, la explotación otorga al atacante acceso a endpoints administrativos. Básicamente, entrega las llaves de la red extendida de la organización. Aunque se parcheó en abril de 2025, muchas organizaciones siguen expuestas.
- Prettier (eslint-config-prettier): Veneno en el Código
- CVE: CVE-2025-54313 (CVSS 7.5)
- El Fallo: Código Malicioso Incrustado.
- El Ataque: Este es un ataque clásico de cadena de suministro. Versiones específicas del paquete eslint-config-prettier contenían un script install.js malicioso. Al instalarse en un entorno de desarrollo (Windows), desplegaba una DLL maliciosa (node-gyp.dll) diseñada para robar tokens de autenticación y secretos del desarrollador.
- Vite (Vitejs): Fuga de Información en Desarrollo
- CVE: CVE-2025-31125 (CVSS 5.3)
- El Fallo: Control de Acceso Incorrecto.
- El Ataque: Afecta a servidores de desarrollo que han sido expuestos imprudentemente a la red. Un atacante puede manipular los parámetros de consulta (?inline&import) para leer archivos del sistema que no deberían ser accesibles, robando código fuente o configuraciones sensibles.
Análisis: Un cambio de táctica
La inclusión de vulnerabilidades en Vite y Prettier señala una tendencia peligrosa: los actores de amenazas están cazando activamente en el entorno “DevOps”. Ya no esperan a que la aplicación esté en producción; intentan comprometer la máquina del desarrollador para robar credenciales de nube o inyectar código antes de que llegue al servidor.
Recomendaciones
- Prioridad Zimbra y Versa: Si utilizas estas plataformas, verifica la versión instalada hoy mismo. Son puntos de entrada directa a la red y al correo.
- Limpieza de Entornos Dev: Ejecuta auditorías de dependencias (npm audit o herramientas SCA) para asegurar que no estás utilizando las versiones envenenadas de eslint-config-prettier.
- Aísla tus servidores de desarrollo: Asegúrate de que las instancias de Vite o cualquier servidor de pruebas no estén expuestos a Internet abierta. Deben estar detrás de una VPN o restringidos a localhost.
