### Vulnerabilidades Explotadas Activamente **CISA** ha agregado dos vulnerabilidades a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), enfatizando la necesidad urgente de remediación: * **CVE-2025-66376** (puntuación CVSS: 7.2): Una vulnerabilidad de cross-site scripting (XSS) almacenada en la Interfaz de Usuario Clásica de **ZCS**. Los atacantes pueden explotar esta falla utilizando directivas de Hojas de Estilo en Cascada (CSS) @import dentro de un correo electrónico HTML. Este problema se abordó en las versiones **Zimbra** 10.0.18 y 10.1.13, lanzadas en noviembre de 2025. * **CVE-2026-20963** (puntuación CVSS: 8.8): Una vulnerabilidad de deserialización de datos no confiables en **Microsoft Office SharePoint**. Esta vulnerabilidad permite a atacantes no autorizados ejecutar código arbitrario de forma remota. **Microsoft** emitió un parche para esta falla en enero de 2026. ### Operación GhostMail: Explotación de XSS en Zimbra La adición de **CVE-2025-66376** al catálogo KEV sigue a un informe de **Seqrite Labs**, que descubrió una campaña denominada "Operación GhostMail". Esta campaña, atribuida a un presunto actor de amenazas patrocinado por el estado ruso, se dirigió al Servicio Hidrográfico Estatal de Ucrania (hydro.gov[.]ua). **Seqrite Labs** detalló cómo los atacantes utilizaron una consulta de pasantía socialmente diseñada para entregar un payload de JavaScript ofuscado incrustado directamente en el cuerpo del correo electrónico. Cuando una víctima abre el correo electrónico en una sesión vulnerable de webmail de **Zimbra**, el payload explota **CVE-2025-66376**. "El correo electrónico de phishing no tiene archivos adjuntos maliciosos, ni enlaces sospechosos, ni macros. Toda la cadena de ataque vive dentro del cuerpo HTML de un solo correo electrónico, no hay archivos adjuntos maliciosos." Este malware de JavaScript está diseñado para recopilar información sensible, incluyendo credenciales, tokens de sesión, códigos de recuperación de autenticación de dos factores (2FA) de respaldo, contraseñas guardadas en el navegador y el contenido del buzón de la víctima de los últimos 90 días. Los datos robados se exfiltran a través de DNS y HTTPS. La campaña se alinea con ataques previos de actores patrocinados por el estado ruso, como la Operación RoundPress, que aprovechó vulnerabilidades XSS en software de webmail para comprometer organizaciones ucranianas. **Seqrite Labs** enfatiza que "La Operación GhostMail demuestra la continua evolución de la intrusión centrada en webmail, donde los atacantes confían completamente en stealers residentes en el navegador en lugar de binarios de malware tradicionales. Al incrustar JavaScript ofuscado directamente dentro de un correo electrónico HTML y explotar una condición XSS de webmail de **Zimbra**, el actor de amenazas logra una intercepción completa de sesión sin soltar archivos, explotar macros o activar detecciones basadas en el endpoint." ### Explotación de Vulnerabilidad en SharePoint Actualmente, no hay informes públicos que detallen la explotación de **CVE-2026-20963**, incluida la identidad del actor de amenazas o el alcance de los ataques. Sin embargo, debido a su explotación activa, **CISA** aconseja encarecidamente a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen los parches necesarios para **CVE-2025-66376** antes del 1 de abril de 2026, y para **CVE-2026-20963** antes del 23 de marzo de 2026. ### Ransomware Interlock y Zero-Day de Cisco Esta divulgación coincide con noticias de **Amazon** de que los actores de amenazas asociados con el ransomware **Interlock** han estado explotando una falla de seguridad crítica en el software de gestión de firewalls de **Cisco** (**CVE-2026-20131**, puntuación CVSS: 10.0) desde el 26 de enero de 2026, antes de su divulgación pública. Según **Amazon**, "**Interlock** ha apuntado históricamente a sectores específicos donde la interrupción operativa crea la máxima presión para el pago", incluyendo educación, ingeniería, arquitectura, construcción, manufactura, industrial, atención médica y entidades gubernamentales. Este incidente subraya la tendencia persistente de los actores de amenazas de apuntar a dispositivos de red de borde de varios proveedores, como **Cisco**, **Fortinet** e **Ivanti**, para obtener acceso inicial a las redes objetivo. La weaponización de **CVE-2026-20131** como un exploit zero-day demuestra la inversión significativa que los atacantes están haciendo para descubrir vulnerabilidades previamente desconocidas que brindan acceso elevado. ### CISA Agrega Falla de Cisco al Catálogo KEV El 19 de marzo de 2026, **CISA** agregó **CVE-2026-20131** a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo que las agencias FCEB actualicen sus sistemas a la última versión antes del 22 de marzo de 2026. Además, a finales del mes pasado, **CISA** emitió una directiva de emergencia instando a las agencias FCEB a mitigar las vulnerabilidades recientemente divulgadas en los sistemas Cisco Catalyst SD-WAN (**CVE-2026-20127**, **CVE-2022-20775**, **CVE-2026-20122** y **CVE-2026-20128**) que están bajo explotación activa. Las agencias debían informar "todo el registro syslog" y otros registros de nube relevantes antes del 23 de marzo de 2026. ### Análisis de VulnCheck de la Falla de Cisco SD-WAN Un informe publicado la semana pasada por **VulnCheck** reveló que **CVE-2026-20133**, otra vulnerabilidad en Catalyst SD-WAN, representa un "riesgo mayor de lo que los defensores pueden darse cuenta" y es probable que sea explotada por atacantes. **VulnCheck** declaró que el acceso al sistema de archivos otorgado por la vulnerabilidad puede ser explotado para extraer la clave privada del usuario "vmanage-admin", comprometiendo el Protocolo de Configuración de Red (NETCONF) utilizado para configurar y administrar dispositivos SD-WAN. Adicionalmente, la vulnerabilidad puede ser weaponizada para filtrar confd_ipc_secret, permitiendo a cualquier usuario local escalar a un shell root sin restricciones. Los investigadores de **VulnCheck**, Caitlin Condon y Josh Shomo, advirtieron que "Los exploits tempranos y la atención de la industria en amenazas emergentes pueden ser útiles para comprender las rutas de explotación probables y los matices de las vulnerabilidades, pero también pueden desviar a las organizaciones cuando confían en artefactos de investigación no probados o en un enfoque excesivamente estrecho en rutas de ataque específicas."