Los posibles atacantes pasaron 2025 nadando en un mar de más de 40.000 vulnerabilidades recientemente publicadas, dijo VulnCheck en un informe publicado el miércolespero sólo el 1% de esos defectos, apenas 422, fueron explotados en la naturaleza.

A medida que la avalancha de vulnerabilidades crece cada año y las calificaciones CVSS pierden importancia para la priorización de la gestión de vulnerabilidades, algunos defensores están recurriendo a la investigación de vulnerabilidades explotadas conocidas para limitar su alcance de trabajo y poner más énfasis en los riesgos verificados.

«El crecimiento en el volumen de CVE es ridículo, no necesariamente infundado, pero es grande. Los defensores no saben a qué prestar atención», dijo a CyberScoop Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck. «La priorización sigue siendo un gran problema».

Demasiados defensores e investigadores están prestando atención a defectos y conceptos de explotación sin fundamento que no merecen su tiempo, añadió Condon. “Los indicadores de riesgo que antes eran semiconfiables, ahora ya no lo son”.

Las tecnologías explotadas por los atacantes son desarrolladas y vendidas por muchos reincidentes. Algunos de los proveedores que figuran en la lista de VulnCheck de las vulnerabilidades más habituales disfrutan de grandes cuotas de mercado.

Otros proveedores, especialmente aquellos en el espacio de dispositivos de borde de red, se han visto inundados de actividad maliciosa durante años y siguen siendo el punto de intrusión preferido para todos los ataques.

Los dispositivos de borde de red fueron responsables de 191 de los 672 productos afectados por nuevas vulnerabilidades explotadas conocidas el año pasado, lo que representa el 28% de las principales tecnologías atacadas en 2025, según VulnCheck.

«Cualquier cosa que esté en esa posición de estar en el borde de la red, protegiendo el acceso a las redes corporativas, a menudo en un lugar privilegiado para una comunicación segura», es naturalmente un gran objetivo, dijo Condon.

Este problema se ve exacerbado por el hecho de que muchos dispositivos de red funcionan con bases de código que no han cambiado radicalmente en aproximadamente una década. Mientras tanto, los atacantes tienen copias de ese software y utilizan canales de análisis totalmente automatizados para identificar rápidamente nuevas vulnerabilidades.

«Los actores de amenazas están mucho más organizados actualmente que todos nosotros colectivamente en defensa», dijo Condon. Los defensores tienen que asumir que habrá un nuevo día cero en cualquier dispositivo de red en cualquier momento, y los parches se revertirán para el desarrollo de exploits en poco tiempo, añadió.

cada uno de los 50 vulnerabilidades principales VulnCheck señalado en su informe fueron explotados libremente el año pasado con al menos 20 exploits públicos funcionales, ataques originados por al menos dos grupos de amenazas de delitos cibernéticos o patrocinados por el estado. Las principales vulnerabilidades explotadas también estaban vinculadas a al menos una variante de ransomware y aparecieron en al menos dos casos de actividad de botnet conocida.

Cuatro de las 10 vulnerabilidades más atacadas de forma rutinaria el año pasado: CVE-2025-53770 y CVE-2025-53771que son variantes de vulnerabilidades previamente reveladas CVE-2025-49706 y CVE-2025-49704 – estaban contenidos en Microsoft SharePoint. Las cuatro vulnerabilidades de día cero fueron explotadas en masa e inicialmente comprometieron a más de 400 organizaciones, incluidos los Departamentos de Energía, Seguridad Nacional y Salud y Servicios Humanos.

VulnCheck confirmó un total combinado de 69 exploits conocidos para el cuarteto de vulnerabilidades de SharePoint. Los investigadores atribuyeron las vulnerabilidades explotadas a un total de 29 grupos de amenazas y 18 variantes de ransomware; sin embargo, los atacantes involucrados probablemente apuntaron a más de uno de los días cero, lo que resultó en cierta superposición.

Microsoft encabezó la lista con nueve de las 50 vulnerabilidades atacadas habitualmente que aparecieron en sus productos el año pasado. Ivanti fue responsable de cinco, o el 10% de las vulnerabilidades más atacadas el año pasado. Fortinet ocupó el tercer lugar en la lista de VulnCheck con cuatro vulnerabilidades, seguido de VMware con tres, mientras que SonicWall y Oracle ocuparon cada uno un lugar destacado en la lista con dos defectos explotados.

La vulnerabilidad más atacada de 2025 pertenece a React2Shell, un defecto de máxima gravedad en los componentes del servidor React que acumuló 236 exploits públicos válidos antes de fin de año, menos de un mes después de que Meta y React lo revelaran públicamente.

Más de 200 de esos exploits públicos fueron validados por VulnCheck a mediados de diciembre, cuando la Unidad 42 de Palo Alto Networks confirmó que más de 60 organizaciones se vieron afectadas por una ola inicial de ataques.

La investigación de VulnCheck subraya que la tecnología, en última instancia, en todas sus formas, es el problema.

«Estamos en un punto en el que no estamos hablando de un solo proveedor o tecnología. Estamos hablando de grandes cosas, estamos siendo derrotados. Tenemos que comenzar a evaluar despiadadamente e inmediatamente cómo la tecnología necesita evolucionar para ser más resistente a estos ataques en el largo plazo», dijo Condon.

«Necesitamos empezar a ser mucho más realistas sobre el estado de nuestra tecnología y lo que eso significa para la ciberseguridad».

Los atacantes han estado explotando un par de vulnerabilidades de día cero en el software de red de Cisco durante al menos tres años, y la campaña global está en curso, dijeron las autoridades a través de una serie de advertencias publicadas el miércoles.

La Agencia de Seguridad de Infraestructura y Ciberseguridad emitió un directiva de emergencia sobre los ataques globales y emitidos Orientación conjunta con los Cinco Ojos. para ayudar a los defensores a responder y buscar evidencia de compromiso.

Esto marca la segunda serie de múltiples vulnerabilidades de día cero explotadas activamente en la tecnología de punta de Cisco desde la primavera pasada. Ambas campañas dieron lugar a directivas de emergencia de CISA meses después de que se detectaran los ataques por primera vez, y ambas oleadas de ataques estuvieron en marcha durante al menos un año antes de que fueran identificadas.

Las autoridades se abstuvieron de atribuir los ataques a ningún estado nación o grupo amenazador. Los investigadores de Cisco Talos asignaron los exploits y la actividad posterior al compromiso a UAT-8616, al que sólo describieron como un “actor de amenazas altamente sofisticado”.

El «intento de explotación del grupo de actividades indica una tendencia continua de apuntar a dispositivos de borde de red por parte de actores de amenazas cibernéticas para establecer puntos de apoyo persistentes en organizaciones de alto valor, incluidos sectores de infraestructura críticos», dijo Cisco Talos en un aviso de amenazas.

La actividad maliciosa vinculada a esta campaña tiene un gran alcance y los atacantes han explotado las vulnerabilidades en sistemas específicos para acceder y potencialmente comprometer las redes federales, dijo Nick Andersen, subdirector ejecutivo de ciberseguridad de CISA, durante una conferencia de prensa el miércoles.

Andersen se negó a decir cuándo CISA tuvo conocimiento de esta actividad por primera vez y no proporcionó detalles sobre las víctimas potenciales, y agregó que los funcionarios están trabajando en las etapas iniciales de mitigación.

En la guía de búsqueda de amenazas publicada conjuntamente, Five Eyes dijo que todos los miembros estaban conscientes de que el día cero más reciente… CVE-2026-20127 – fue identificado y confirmado como explotado activamente a fines de 2025. Los funcionarios y Cisco no explicaron por qué tomó al menos dos meses revelar y parchear la vulnerabilidad, y compartir orientación de mitigación de emergencia.

Los atacantes están obteniendo el control total de un sistema en una cadena al explotar CVE-2026-20127 para evitar la autenticación y luego degradar el software a una versión vulnerable a CVE-2022-20775 para aumentar los privilegios, dijo Douglas McKee, director de inteligencia de vulnerabilidades en Rapid7.

«Ese segundo paso les permite pasar del control administrativo a la raíz del sistema operativo subyacente. Ese paso a la degradación muestra un conocimiento deliberado de las versiones del producto y del historial de parches», dijo a CyberScoop. «Esto no es un escaneo oportunista. Es un arte estructurado».

CISA agregó CVE-2022-20775 y CVE-2026-20127 a su catálogo de vulnerabilidades explotadas conocidas Miércoles.

La brecha de tres años entre los ataques iniciales conocidos y la explotación detectada de los días cero muestra el uso quirúrgico de las vulnerabilidades por parte de los atacantes y la naturaleza altamente dirigida de su campaña, dijo Ben Harris, fundador y director ejecutivo de watchTowr.

La línea de tiempo y la ruta de ataque conocida también indican una disciplina operativa que permitió a los atacantes mantener el acceso a largo plazo en la infraestructura de red crítica sin activar alarmas, dijo McKee. Esas actividades se alinean “más estrechamente con el espionaje patrocinado por el Estado que con delitos con motivación financiera”, añadió.

La directiva de emergencia de CISA requiere que las agencias federales realicen un inventario de todos los sistemas Cisco SD-WAN vulnerables, recopilen registros de esos sistemas, apliquen las actualizaciones de seguridad de Cisco, busquen evidencia de compromiso y sigan La guía de Cisco para el viernes.

La última campaña dirigida a la tecnología de borde de red de Cisco comparte muchas similitudes con otra serie de ataques sobre los que Cisco advirtió en septiembre. Esos ataques, que involucraron al menos dos días cero explotados activamente, estuvieron en marcha durante al menos un año antes de ser descubiertos por primera vez en mayo.

Cisco no respondió preguntas sobre posibles conexiones entre las campañas. El vendedor y los funcionarios también han evitado hasta ahora compartir detalles sobre lo que ocurrió detrás de escena durante estos ataques sostenidos.

Un portavoz de Cisco instó a los clientes a actualizar el software y seguir orientación de su asesor.

Desafortunadamente, es demasiado tarde para que algunos clientes de Cisco SD-WAN apliquen parches, dijo Harris. «El consejo de Cisco de reconstruir completamente y buscar señales previas de intrusión debe tomarse en serio».