La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA)
añadió el miércoles dos fallos de seguridad que afectan a Microsoft Office y
Hewlett Packard Enterprise (HPE) OneView a su catálogo de Vulnerabilidades
Explotadas Conocidas (KEV), citando evidencia de explotación activa.
Las vulnerabilidades se enumeran a continuación:
-
CVE-2009-0556
(CVSS: 8,8): Una vulnerabilidad de inyección de código en Microsoft Office
PowerPoint que permite a atacantes remotos ejecutar código arbitrario
mediante corrupción de memoria. -
CVE-2025-37164
(CVSS: 10,0): Una vulnerabilidad de inyección de código en HPW OneView que
permite a un usuario remoto no autenticado ejecutar código de forma remota.
Los
detalles de CVE-2025-37164 surgieron el mes pasado, cuando HPE declaró que la vulnerabilidad afecta a todas las versiones del
software anteriores a la 11.00.
La compañía también puso a disposición correcciones urgentes para las
versiones 5.20 a 10 de OneView.
El alcance y el origen de los ataques dirigidos a ambas vulnerabilidades no
están claros actualmente, y no parece haber informes públicos que hagan
referencia a su explotación. Sin embargo,
un
informe de eSentire
del 23 de diciembre de 2025 reveló la publicación de una prueba de concepto
(PoC) detallada para CVE-2025-37164.
«La disponibilidad pública del código de explotación de la PoC aumenta
significativamente el riesgo para las organizaciones que ejecutan versiones
afectadas de la aplicación. Dado que la vulnerabilidad afecta a todas las
versiones anteriores a la 11.0, se recomienda encarecidamente a las
organizaciones que apliquen las actualizaciones necesarias para mitigar el
posible riesgo de explotación», declaró eSentire.
Falla de HPE OneView explotada por la botnet RondoDox
En un informe publicado el 15 de enero de 2026, Check Point afirmó haber
identificado una campaña de explotación activa a gran escala dirigida a
CVE-2025-37164 que distribuye la
botnet RondoDox. Añadió que reportó la actividad a CISA el 7 de enero de 2026, lo que motivó
su inclusión en el catálogo KEV ese mismo día.
La explotación implicó más de 40.000 intentos de ataque entre las 05:45 y
las 09:20 UTC del 7 de enero de 2026, lo que indica una escalada drástica.
Se considera que los intentos son una explotación automatizada impulsada por
la botnet.
«La mayor parte de la actividad observada se originó en una única dirección
IP holandesa que se ha reportado ampliamente en línea como sospechosa»,
declaró Check Point.
«La campaña afectó a organizaciones de múltiples sectores, con la mayor
concentración de actividad observada en organizaciones gubernamentales,
seguidas de los sectores de servicios financieros y fabricación
industrial».
Estados Unidos experimentó el mayor volumen de ataques, seguido de Australia,
Francia, Alemania y Austria.
Los hallazgos ilustran que la botnet basada en Linux está incorporando
activamente vulnerabilidades recién descubiertas a su arsenal de exploits
para atacar sistemas sin parches
y ampliar su alcance.
Fuente:
THN