La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves dos fallas de seguridad que afectan a los productos de Hikvision y Rockwell Automation a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
Las vulnerabilidades de dificultad crítica se enumeran a continuación:
- CVE-2017-7921 (Puntuación CVSS: 9,8): una vulnerabilidad de autenticación inadecuada que afecta a múltiples productos Hikvision y que podría permitir a un afortunado malintencionado prosperar privilegios en el sistema y obtener acercamiento a información confidencial.
- CVE-2021-22681 (Puntuación CVSS: 9,8): una vulnerabilidad de credenciales insuficientemente protegidas que afecta a múltiples controladores Rockwell Automation Studio 5000 Logix Designer, RSLogix 5000 y Logix que podría permitir que un afortunado no competente con acercamiento a la red del regulador omita el mecanismo de demostración y se autentique con él, así como incluso altere su configuración y/o código de aplicación.
La incorporación de CVE-2017-7921 al catálogo KEV se produce más de cuatro meses luego de que SANS Internet Storm Center revelara que había detectado intentos de explotación contra cámaras Hikvision susceptibles a la rotura. Sin secuestro, no parece activo ningún referencia conocido que describa los ataques que involucren a CVE-2021-22681.
A la luz de la explotación activa, se recomienda a las agencias del Poder Ejecutor Civil Federal (FCEB) modernizar a las últimas versiones de software compatibles ayer del 26 de marzo de 2026, como parte de la Directiva Operativa Vinculante (BOD) 22-01.
“Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y plantean riesgos significativos para la empresa federal”, dijo CISA.
“Aunque BOD 22-01 solo se aplica a las agencias FCEB, CISA insta insistentemente a todas las organizaciones a resumir su exposición a ataques cibernéticos priorizando la remediación oportuna de las vulnerabilidades del Catálogo KEV como parte de su actos de trámite de vulnerabilidades”.
