La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes cuatro vulnerabilidades que afectan a los enrutadores de la serie SimpleHelp, Samsung MagicINFO 9 y D-Link DIR-823X a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
La lista de vulnerabilidades se encuentra a continuación:
- CVE-2024-57726 (Puntuación CVSS: 9,9): una vulnerabilidad de autorización faltante en SimpleHelp que podría permitir a técnicos con pocos privilegios crear claves API con permisos excesivos, que luego pueden usarse para escalar privilegios a la función de administrador del servidor.
- CVE-2024-57728 (Puntuación CVSS: 7.2): una vulnerabilidad de recorrido de ruta en SimpleHelp que permite a los usuarios administradores cargar archivos arbitrarios en cualquier lugar del sistema de archivos cargando un archivo zip diseñado (es decir, zip slip), que puede explotarse para ejecutar código arbitrario en el host en el contexto del usuario del servidor SimpleHelp.
- CVE-2024-7399 (Puntuación CVSS: 8,8): una vulnerabilidad de recorrido de ruta en Samsung MagicINFO 9 Server que podría permitir a un atacante escribir archivos arbitrarios como autoridad del sistema.
- CVE-2025-29635 (Puntuación CVSS: 7,5): una vulnerabilidad de inyección de comandos en enrutadores de la serie D-Link DIR-823X al final de su vida útil que permite a un atacante autorizado ejecutar comandos arbitrarios en dispositivos remotos enviando una solicitud POST a /goform/set_prohibiting a través de la función correspondiente.
Si bien ambas fallas de SimpleHelp se han marcado como «Desconocidas» frente a «¿Se sabe que se utilizan en campañas de ransomware?» Los indicadores, los informes de Field Effect y Sophos revelaron a principios del año pasado que los problemas fueron explotados como precursores de ataques de ransomware. Una de esas campañas se atribuyó a la operación de ransomware DragonForce.
La explotación de CVE-2024-7399 se ha relacionado con actividad maliciosa que implementaba la botnet Mirai en el pasado. En cuanto a CVE-2025-29635, Akamai reveló a principios de esta semana que registró intentos contra dispositivos D-Link para entregar una variante de botnet Mirai llamada «tuxnokill».
Para mitigar las amenazas activas, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) aplicar las correcciones o, en el caso de CVE-2025-29635, suspender el uso del dispositivo antes del 8 de mayo de 2026.
