La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) ha actualizado su catálogo de vulnerabilidades explotadas conocidas (KEV) para incluir dos fallos recientemente identificados como objeto de explotación activa. La medida se enmarca en el esfuerzo por obligar a las agencias federales a aplicar parches y medidas de mitigación de manera prioritaria, con fecha límite establecida para el 23 de septiembre de 2025.
El primer caso corresponde a la vulnerabilidad CVE-2020-24363, presente en el extensor Wi-Fi TP-Link TL-WA855RE. Este fallo, clasificado con una puntuación de 8.8 en la escala CVSS, permite a un atacante remoto omitir los mecanismos de autenticación mediante el envío de una petición POST TDDP_RESET, forzando el restablecimiento de fábrica del dispositivo. Posteriormente, el adversario puede definir una contraseña administrativa arbitraria, comprometiendo por completo el control de acceso. Aunque TP-Link liberó una actualización de firmware (TL-WA855RE(EU)_V5_200731) para mitigar este vector de ataque, el dispositivo se encuentra oficialmente en estado de fin de vida útil (EoL), lo que implica la ausencia de soporte y la recomendación de reemplazarlo por hardware más moderno y seguro.
La segunda vulnerabilidad añadida es CVE-2025-55177, identificada en la aplicación WhatsApp. Con una calificación CVSS de 5.4, esta brecha fue aprovechada en una campaña de spyware altamente dirigida, empleada en combinación con una vulnerabilidad independiente de Apple (CVE-2025-43300, CVSS 8.8), que afecta a iOS, iPadOS y macOS. El encadenamiento de ambas fallas permitió comprometer dispositivos de forma sofisticada y prácticamente sin interacción del usuario. Según WhatsApp, menos de 200 cuentas recibieron notificaciones de posible afectación directa, lo que evidencia un ataque selectivo de alta complejidad.
Ante esta situación, CISA ha reiterado que las agencias federales civiles deben aplicar las actualizaciones o medidas de mitigación necesarias antes de la fecha límite indicada. Este mandato, amparado en la Directiva Operativa Vinculante (BOD) 22-01, busca reducir la superficie de ataque en sistemas gubernamentales frente a amenazas activamente explotadas en el entorno real.
Más información
- CISA adds TP-Link and WhatsApp flaws to KEV catalog amid active exploitation
- WhatsApp Security Advisories
- CVE-2020-24363 INCIBE
La entrada CISA declara la guerra a los fallos de seguridad en TP-Link y WhatsApp se publicó primero en Una Al Día.
