Se ha identificado una exposición masiva de los servidores de Microsoft SharePoint a los ataques basados en Internet, con más de 17,000 servidores expuestos y 840 específicamente vulnerables a la vulnerabilidad crítica del día cero CVE-2025-53770, según nuevos hallazgos de la Fundación Shadowserver.
La vulnerabilidad, denominada “Cellina de herramientas” por los investigadores, tiene una puntuación crítica de CVSS de 9.8 y permite a los atacantes no autenticados ejecutar el código arbitrario de forma remota en los servidores de SharePoint locales. Lo más alarmante es que los investigadores ya han identificado al menos 20 servidores con redes web activas, lo que indica compromisos exitosos.
Microsoft ha atribuido los ataques a tres actores de amenazas chinos: Linen Typhoon (APT27), Violet Typhoon (APT31) y Storm-2603. La campaña de explotación ha estado activa desde el 7 de julio de 2025, con investigadores observando una escalada rápida después del descubrimiento inicial.
Eye Security, que informó por primera vez los ataques el 18 de julio, confirmó a más de 400 organizaciones de víctimas en múltiples sectores, incluidos el gobierno, la atención médica, las finanzas y la educación.
El alcance parece mucho más grande, y los expertos advierten que “el número real es casi seguro más alto” debido a la naturaleza sigilosa de los ataques.
Actualización situacional de SharePoint: en colaboración con @Validinllc Y @certbund Mejoramos la detección de VHOST y Versiones de instancias de SharePoint, lo que resulta en ~ 17k IPS observado expuesto. 840 con CVE-2025-53770-Detección basada en la versión solamente. Al menos 20 con webshells. pic.twitter.com/m8ecguwqqa
– La Fundación Shadowserver (@shadowserver) 31 de julio de 2025
Agencias gubernamentales entre las víctimas
Varias agencias federales de los Estados Unidos han sido confirmadas como víctimas, incluida la Administración Nacional de Seguridad Nuclear del Departamento de Energía, el Departamento de Seguridad Nacional, el Departamento de Salud y Servicios Humanos y el Departamento de Educación. Las agencias gubernamentales estatales y locales también se han visto afectadas en todo el país.
Los ataques explotan una secuencia de vulnerabilidad encadenada que evita la autenticación por completo. Los atacantes envían solicitudes de publicación diseñadas al punto final de compra de herramientas de SharePoint, implementando Webshells maliciosas que típicamente se llaman “SpinStall0.aspx” y variantes.
Estos proyectiles permiten a los atacantes robar las claves de la máquina ASP.NET, proporcionando un acceso persistente incluso después del parche.
Storm-2603, uno de los grupos chinos involucrados, se ha observado desplegar ransomware de brujo en sistemas comprometidos, escalando la amenaza más allá del robo de datos a la interrupción operativa.
El grupo utiliza técnicas sofisticadas, incluida Mimikatz para la cosecha de credenciales y herramientas de movimiento lateral como PSEXEC.
Microsoft ha lanzado parches de emergencia para todas las versiones compatibles de SharePoint, pero los expertos enfatizan que los parches solo son insuficientes. Las organizaciones deben rotar las claves de la máquina, habilitar la interfaz de escaneo anti-malware (AMSI) y realizar evaluaciones de seguridad exhaustivas.
CISA ha agregado CVE-2025-53770 a su catálogo de vulnerabilidades explotados conocidos con una fecha límite de remediación de emergencia, lo que subraya la gravedad de la amenaza a la infraestructura crítica.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
