Si tienes dispositivos Samsung o D‑Link, malas noticias: oficialmente son presa fáci
Registran ataques masivos contra equipos obsoletos de D-Link que aprovechan una vulnerabilidad recién descubierta.
La agencia estadounidense de ciberseguridad volvió a ampliar la lista de vulnerabilidades que ya se usan en ataques reales. En la actualización reciente aparecieron cuatro fallos en productos de Samsung, SimpleHelp y D-Link. Esos errores son especialmente peligrosos porque dan a los atacantes no una posibilidad teórica de ataque, sino una vía probada para la intrusión.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. incluyó en el catálogo KEV las vulnerabilidades CVE-2024-7399, CVE-2024-57726, CVE-2024-57728 y CVE-2025-29635. En este catálogo se incluyen las vulnerabilidades que se están explotando en ataques. Esa lista ayuda a los administradores a entender más rápido qué fallos deben corregir primero.
CVE-2024-7399 afecta a Samsung MagicINFO 9 Server en versiones hasta la 21.1050. Debido a un fallo en el manejo de rutas, un atacante con credenciales podría escribir un archivo arbitrario con privilegios del sistema. En la práctica, esa vulnerabilidad permite ejecutar código de forma remota en el servidor donde funciona MagicINFO.
Otras dos vulnerabilidades están relacionadas con SimpleHelp, una herramienta para soporte remoto y gestión de dispositivos.
CVE-2024-57726 permite a un técnico con permisos limitados crear claves de acceso con permisos excesivos y luego elevar privilegios hasta el nivel de administrador del servidor.
CVE-2024-57728 afecta a SimpleHelp versión 5.5.7 y anteriores: un administrador puede subir un archivo comprimido preparado especialmente y escribir archivos fuera del directorio permitido. Ese error, conocido como Zip Slip, permite ejecutar código arbitrario con los permisos del usuario que ejecuta el servidor SimpleHelp.
CVE-2025-29635 fue detectada en los routers D-Link DIR-823X con firmware 240126 y 240802. La vulnerabilidad permite la inyección de comandos: un atacante autenticado puede enviar una solicitud especial a la ruta /goform/set_prohibiting y ejecutar comandos en el dispositivo remoto. Según avisos públicos, este problema ya se ha relacionado con ataques a routers D-Link obsoletos y con la actividad del botnet Mirai.
El catálogo KEV surgió en el marco de la directiva BOD 22-01. El documento obliga a las agencias federales civiles de EE. UU. a corregir esas vulnerabilidades en los plazos establecidos, para proteger las redes gubernamentales de ataques activos. Formalmente los requisitos afectan solo a esas agencias, pero CISA insta a todas las organizaciones a usar el catálogo como referencia y corregir con urgencia los fallos más peligrosos.
La actualización muestra que los atacantes siguen apuntando no solo a grandes sistemas corporativos, sino también a herramientas de soporte remoto, servidores de gestión y dispositivos de red. Estos productos con frecuencia tienen acceso a partes críticas de la red, por lo que retrasar las actualizaciones puede convertir rápidamente una vulnerabilidad en una intrusión completa de la infraestructura.