CISA ha emitido una alerta crítica con respecto a tres vulnerabilidades recientemente identificadas explotadas activamente por los actores de amenaza.
El 25 de agosto de 2025, CISA agregó estas vulnerabilidades y exposiciones comunes de alto riesgo (CVE) a su catálogo de vulnerabilidades explotadas (KEV) conocidas, lo que indica una preocupación inmediata para las agencias federales y las organizaciones privadas por igual.
Control de llave
1. CISA agregó dos cVes de grabación de sesión de Citrix y un cVE Git a su catálogo KEV.
2. Los defectos de Citrix requieren acceso local autenticado; Git Flaw Exploits Hooks Syminked para código arbitrario.
3. Las agencias federales deben parchear por BOD 22-01; Todas las organizaciones deben actualizarse de inmediato.
Vulnerabilidades de grabación de sesión de Citrix
Dos de las tres vulnerabilidades se dirigen a la infraestructura de registro de la sesión Citrix, que presentan riesgos de seguridad significativos para las organizaciones que utilizan esta solución de monitoreo empresarial.
CVE-2024-8069, clasificado como una deserialización de la vulnerabilidad de datos no confiable con un puntaje CVSS 4.0 de 5.1 (medio), permite la ejecución de código remoto limitado con privilegios de cuenta de NetworkService.
La vulnerabilidad aprovecha la debilidad CWE-502 (deserialización de los datos no confiables), lo que permite a los atacantes autenticados en la misma intranet que el servidor de grabación de sesión para ejecutar código arbitrario.
El vector de ataque requiere que el actor de amenaza sea un usuario autenticado dentro de la red de destino, utilizando el CVSS 4.0 Vector String CVSS: 4.0/AV: A/AC: L/AT: N/PR: L/UI: N/VC: L/VI: L/VA: L/SC: N/SI: N/SA: N.
Esto indica acceso a la red adyacente con baja complejidad, que requiere bajos privilegios pero sin interacción del usuario.
CVE-2024-8068 representa una vulnerabilidad de escalada de privilegios con una puntuación idéntica de CVSS, explotando CWE-269 (gestión de privilegios inadecuados).
Este defecto permite a los usuarios autenticados dentro del mismo dominio de Windows Active Directory para aumentar los privilegios al acceso a la cuenta de NetworkService, lo que puede comprometer toda la infraestructura de grabación de la sesión.
Ambas vulnerabilidades de Citrix afectan múltiples versiones de lanzamiento de servicio a largo plazo (LTSR), incluida 1912 LTSR antes de CU9 Hotfix 19.12.9100.6, 2203 LTSR antes de CU5 Hotfix 22.03.5100.11, 2402 LTSR antes de CU1 Hotfix 24.02.1200.16 y el lanzamiento actual de 2407 antes de la versión 24.
Git Link siguiendo la vulnerabilidad
La tercera adición, CVE-2025-48384, afecta los sistemas de control de versiones GIT con una puntuación CVSS 3.1 más alta de 8.1 (alta).
Esta vulnerabilidad explota CWE-59 (resolución de enlace inadecuado antes del acceso a los archivos) y CWE-436 (conflicto de interpretación), que permite la ejecución del código arbitrario a través de mecanismos de cotización de configuración rota.
El ataque aprovecha el manejo de GIT del retorno de carro y los caracteres de alimentación de línea (CRLF) en los valores de configuración.
Al inicializar los submódulos con caracteres RC finales en el camino, Git procesa incorrectamente la ruta alterada, lo que puede permitir los ataques basados en la enlace simbólica.
Si un atacante crea un enlace simbólico que apunta la ruta alterada al directorio de Submodule Hooks e incluye un gancho ejecutable posterior a la verificación, los scripts maliciosos pueden ejecutarse involuntariamente después de las operaciones de pago.
La vulnerabilidad afecta las versiones GIT antes de 2.43.7, 2.44.4, 2.45.4, 2.46.4, 2.47.3, 2.48.2, 2.49.1 y 2.50.1, con el CVSS Vector CVSS: 3.1/AV: N/AC: H/PR: L/UI: R/S: C/C: H/I: H/A: H indicando Network Network. impacto catastrófico.
CVETITLECVSS 3.1 ScoreSeverityCVE-2024-8069 Ejecución de código remoto limitado con NetworkService Privileges8.8 HighCVE-2024-8068Pivilege Escalation a NetworkService Access8.0HighCVE-2025-48384GIT permite el código de ejecución arbitraria a través de la configuración brota cotizando 8.1high
Mitigaciones
Bajo la Directiva Operativa vinculante (BOD) 22-01, las agencias federales de rama ejecutiva civil (FCEB) deben remediar estas vulnerabilidades cotizadas en KEV mediante sus fechas de vencimiento especificadas.
CISA fuertemente recomendado que todas las organizaciones priorizan la remediación de estas vulnerabilidades explotadas activamente.
La agencia continúa expandiendo el catálogo de KEV basado en la evidencia de la explotación en el desarrollo, enfatizando la naturaleza crítica de estos defectos de seguridad para las entidades del sector público y privado.
Las organizaciones deben evaluar inmediatamente su exposición a estas vulnerabilidades, particularmente aquellas que utilizan infraestructura de registro de sesión de Citrix o flujos de trabajo de desarrollo basados en GIT e implementan parches disponibles para evitar un compromiso potencial.
¡Encuentra esta historia interesante! Séguenos LinkedIn y incógnita Para obtener más actualizaciones instantáneas.
