CISA ha emitido una alerta urgente con respecto a la explotación activa de las vulnerabilidades críticas de Microsoft SharePoint por presuntos actores de amenaza china.
La campaña de ataque, denominada “Shellshell”, aprovecha una cadena de vulnerabilidad que involucra a CVE-2025-49706 (falsificación de la red) y CVE-2025-49704 (ejecución de código remoto) para obtener acceso no autorizado a los servidores de SharePoint en las instalaciones.
El ataque sofisticado permite a los actores maliciosos lograr el acceso no autenticado del sistema y el acceso autenticado a través de técnicas de suplantación de redes.
Control de llave
1. Hackers chinos que explotan SharePoint CVE-2025-49706 y CVE-2025-49704 para el acceso completo al sistema.
2. Patches de emergencia lanzados el 22 de julio, y dos vulnerabilidades de derivación de parches identificadas.
3. Aplique parches de inmediato, configure AMSI y desconecte los sistemas SharePoint de al final de la vida.
Una vez comprometidos, los atacantes pueden acceder completamente al contenido de SharePoint, incluidos los sistemas de archivos y las configuraciones internas, al tiempo que ejecutan código arbitrario en toda la infraestructura de red.
Investigadores de seguridad de la Unidad de Securidad y Palo Alto Networks 42 han proporcionado un análisis detallado de los métodos de explotación que se están empleando.
Actualizaciones de seguridad de emergencia publicadas
Microsoft respondió rápidamente a la explotación activa al publicar una guía y parches integrales de seguridad el 22 de julio de 2025.
La compañía también ha identificado dos vulnerabilidades de derivación de parche adicionales: CVE-2025-53771 y CVE-2025-53770, lo que podría eludir las soluciones iniciales para las vulnerabilidades primarias.
Se recomienda encarecidamente a las organizaciones que implementen las actualizaciones de seguridad de Microsoft de inmediato y configuren la interfaz de escaneo de antimalware (AMSI) dentro de los entornos de SharePoint.
Los pasos de mitigación críticos incluyen las teclas de la máquina ASP.NET giratorias tanto antes como después de aplicar parches, luego reiniciar los servidores web IIS para garantizar una protección completa.
CVETITLECVSS 3.1 ScoreSeverityCVE-2025-49706 Network Spliting Vulnerability6.5MediumCve-2025-49704 REMOTE CODE Ejecución (RCE) Vulnerabilidad8.8High
Recomendaciones de CISA
CISA ha proporcionado indicadores específicos de compromiso para que las organizaciones monitoreen. Los equipos de seguridad deben buscar solicitudes de publicación sospechosas al punto final /_layouts/15/toolpane.aspx?displaymode=Edit, que se ha identificado como un vector de ataque primario.
Además, las organizaciones deben buscar conexiones de tres direcciones IP específicas: 107.191.58 (.) 76, 104.238.159 (.) 149 y 96.9.125 (.) 147, particularmente centrándose en la actividad entre el 18 y el 19 de julio, 2025.
La agencia recomienda implementar las reglas integrales de registro de registro y actualizar las reglas de sistemas de prevención de intrusiones (IPS) y firewall de aplicaciones web (WAF) para detectar y bloquear los patrones de explotación.
Las organizaciones que operan las versiones de SharePoint al final de la vida, como SharePoint Server 2013, deben desconectar de inmediato estos sistemas de las redes orientadas a Internet.
Las tres vulnerabilidades principales se han agregado al catálogo de vulnerabilidades explotadas (KEV) conocidas de CISA, enfatizando la naturaleza crítica de esta amenaza.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}