La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos, conocida como CISA, ha anunciado la inclusión de dos vulnerabilidades graves en su base de datos de vulnerabilidades explotadas conocidas (KEV). Estas vulnerabilidades afectan a productos de Brocade, propiedad de Broadcom, y al servidor web de Commvault, dos tecnologías ampliamente utilizadas en entornos empresariales y gubernamentales. La medida responde a evidencias recientes que confirman la explotación activa de estas fallas en ataques reales, lo que subraya la urgencia de aplicar los parches correspondientes para evitar compromisos mayores en infraestructuras críticas. La primera vulnerabilidad está identificada como CVE-2025-1976, una falla de inyección de código que afecta a Broadcom Brocade Fabric OS. Esta vulnerabilidad permite que un usuario local con privilegios administrativos pueda ejecutar código arbitrario con privilegios root, lo que representa una escalada significativa de privilegios.
El problema radica en una falla en la validación de direcciones IP dentro del sistema, lo que abre la puerta a la ejecución de comandos arbitrarios o incluso la modificación del propio sistema operativo Fabric OS, incluyendo la posibilidad de añadir subrutinas maliciosas. El impacto de esta vulnerabilidad es considerable, dado que los sistemas afectados incluyen versiones desde la 9.1.0 hasta la 9.1.
1d6 de Fabric OS. Broadcom ha anunciado que la corrección está disponible desde la versión 9.1.1d7, e instó a los usuarios afectados a actualizar inmediatamente. A pesar de que para explotar la vulnerabilidad es necesario tener acceso administrativo local, CISA ha confirmado que la explotación en campo ya se ha registrado, lo que convierte esta falla en una amenaza tangible para la seguridad.
Por otro lado, la vulnerabilidad CVE-2025-3928 concierne al servidor web de Commvault y posee un puntaje de severidad semejante. Aunque la naturaleza exacta del fallo no se ha detallado públicamente, se sabe que permite a un atacante remoto autenticado crear y ejecutar web shells. Esto es especialmente preocupante, ya que los web shells pueden utilizarse para mantener acceso persistente, mover lateralmente dentro de redes comprometidas y ejecutar una variedad de ataques posteriores. Commvault ha aclarado que el atacante debe contar con credenciales válidas, lo que significa que la vulnerabilidad no es explotable sin autenticación. Para que un ataque tenga éxito sobre esta vulnerabilidad es necesario que el entorno Commvault sea accesible desde internet y que, además, haya ocurrido previamente un compromiso por medio de alguna vía que permita el acceso a credenciales legítimas.
Este escenario señala la importancia no solo de mitigar la falla en sí, sino también de fortalecer la gestión de accesos, la monitorización de credenciales y las barreras perimetrales de seguridad. La compañía responsable ha proporcionado detalles sobre las versiones afectadas y sus respectivas correcciones, cubriendo varios ciclos de lanzamiento, todas con parches disponibles para aplicar con rapidez. La recomendación explícita de CISA para agencias federales y otras organizaciones es aplicar las actualizaciones antes del 19 de mayo de 2025, fecha límite para evitar incidentes que podrían tener consecuencias graves. Estas actualizaciones se convierten en un recordatorio crucial de que, incluso sistemas considerados maduros y confiables, como los de Broadcom y Commvault, pueden presentar fallas críticas que requieren atención inmediata. La explotación en la naturaleza real de estas vulnerabilidades confirma que los atacantes están constantemente buscando vectores para elevar privilegios y mantener presencia en redes sensibles.
Es relevante destacar que, aunque todavía no se han divulgado detalles públicos sobre los métodos específicos empleados en estos ataques ni la identidad de los actores involucrados, la priorización de CISA para incluir estos fallos en la base KEV implica que la amenaza es activa y potencialmente generalizada. La falta de información pública generalmente obedece a esfuerzos coordinados para mitigar el riesgo mientras se desarrollan estrategias de respuesta. Este panorama pone en evidencia que las organizaciones deben adoptar una postura proactiva frente a las vulnerabilidades. No basta con esperar a que se evidencien ataques masivos para actuar, ya que la ventana de oportunidad para los atacantes suele ser pequeña pero muy efectiva. La integración de procesos automatizados de gestión de parches, junto con prácticas sólidas de ciberseguridad, es fundamental para reducir la superficie de ataque.
Además, la necesidad de asegurar el acceso a sistemas críticos como Commvault y Brocade Brocade Fabric OS es una invitación a revisar modelos de seguridad basados en el principio de menor privilegio, segmentación adecuada de redes y monitoreo continuo de actividades sospechosas. En particular, el control exhaustivo de credenciales, su rotación y verificación, cobra vital importancia para prevenir el abuso de acceso legítimo, como se demuestra en el caso de Commvault. En términos de impacto para el sector tecnológico y las empresas, estas vulnerabilidades destacan la alta criticidad de mantener infraestructuras actualizadas y con políticas de seguridad consistentes. La exposición a códigos maliciosos con privilegios elevados o la ejecución remota de comandos a través de web shells puede derivar en brechas de datos, interrupciones operativas, daños reputacionales y costos significativos de remediación. La comunidad de ciberseguridad, por su parte, debe permanecer alerta y compartir inteligencia para comprender más a fondo el modus operandi detrás de estas explotaciones, con el fin de anticipar movimientos de ataques y potenciar defensas.
La colaboración entre proveedores, agencias gubernamentales y usuarios finales es fundamental para mantener la resiliencia del ecosistema digital. Finalmente, el llamado a la acción que surge de la inclusión de estas vulnerabilidades en la base de datos KEV por parte de la CISA resuena con fuerza en un momento donde la sofisticación de los ataques no deja lugar a la complacencia. La seguridad debe ser un compromiso continuo y multidimensional, abarcando no solo la tecnología, sino también personas y procesos, para construir defensas efectivas que protejan la integridad y disponibilidad de sistemas críticos en un mundo cada vez más conectado.
