CISA acelera parches críticos: 8 CVEs en KEV con plazos federales de 2026

Introducción

Los equipos de DevOps e Infraestructura suelen priorizar parches según CVSS o fechas de lanzamiento, pero cuando CISA (Cybersecurity and Infrastructure Security Agency) añade un CVE al catálogo Known Exploited Vulnerabilities (KEV), la prioridad se convierte en requisito legal. En su última actualización del 14 de abril de 2026, CISA incorporó 8 vulnerabilidades explotadas en la naturaleza, incluyendo tres fallas críticas en Cisco Catalyst SD-WAN Manager, y estableció plazos federales obligatorios para su mitigación: 23 de abril de 2026 para las tres CVE de Cisco y 4 de mayo de 2026 para el resto. Esto no solo afecta a agencias federales de EE.UU., sino que sirve como alerta temprana para cualquier organización que utilice los productos afectados.

La inclusión en KEV implica que existe evidencia de explotación activa en entornos reales, lo que reduce drásticamente el tiempo para actuar. Por ejemplo, CVE-2023-27351 ya fue vinculada a ataques de Lace Tempest (asociada a ransomware Cl0p y LockBit) en abril de 2023, mientras que CVE-2025-32975 fue explotada por actores desconocidos contra sistemas SMA (Secure Mail Appliance) sin parchear en marzo de 2026. Para equipos de infraestructura, esto significa que la ventana de riesgo ya no es «si» sino «cuándo» ocurrirá un incidente.

Qué ocurrió

Las 8 CVEs añadidas al catálogo KEV

CISA publicó el 14 de abril de 2026 la actualización del catálogo KEV, incluyendo ocho vulnerabilidades con explotación confirmada. Las fallas más relevantes para equipos de infraestructura y DevOps son:

Otro caso crítico es CVE-2025-48700 y CVE-2025-66376 en Zimbra Collaboration Suite (ZCS), explotadas por el actor UAC-0233 contra objetivos en Ucrania desde septiembre de 2025. Según el informe H2 2025 de CERT-UA, tras comprometer los sistemas, los atacantes accedieron a:

• Contenido de buzones de correo (empaquetado en archivos TGZ).
• Códigos de backup de MFA.
• Contraseñas de aplicaciones.
• Libro de direcciones global.

Este ataque está vinculado al actor UAC-0250, que también fue responsable de incidentes similares en 2024. Para equipos de DevOps, esto subraya que las vulnerabilidades en suites de colaboración (como ZCS o Microsoft Exchange) son blancos prioritarios para actores estatales y cibercriminales.

Impacto para DevOps / Infraestructura / Cloud / Seguridad

1. Plazos federales: ¿Qué significa para equipos no federales?

Aunque los plazos (23/04/2026 y 04/05/2026) son obligatorios solo para agencias federales de EE.UU. (FCEB), la inclusión en KEV establece un estándar de referencia global. Empresas de sectores críticos (banca, salud, energía) suelen adoptar estos plazos como benchmark interno para gestionar riesgos. Ignorarlos puede traducirse en:

• Exposición a ataques automatizados: Herramientas como Metasploit o Cobalt Strike ya incluyen exploits para varias de estas CVEs (ej: CVE-2023-27351 tiene un módulo en Metasploit desde 2023).
• Multas por incumplimiento: Sectores regulados (como salud en EE.UU. bajo HIPAA) pueden enfrentar sanciones si no parchean en plazos similares.
• Riesgo de ransomware: CVE-2023-27351 ya fue usada para distribuir Cl0p y LockBit. Su inclusión en KEV sugiere que el exploit está disponible públicamente.

• CVE-2023-27351 (PaperCut MF/NG) tiene un score CVSS 9.8 (Crítico) y fue explotada masivamente en 2023. Según shodan.io, en abril de 2026 aún hay ~12,000 instancias de PaperCut expuestas en internet.
• CVE-2024-27198 (JetBrains TeamCity) afecta a versiones 2023.11.3 y anteriores. CISA la añadió a KEV en marzo de 2024, pero en 2026 aún hay servidores sin parchear (ej: según Censys, ~8,500 instancias en línea).

2. Riesgo para infraestructura en la nube y híbrida

Las CVEs afectan principalmente a software local (Cisco SD-WAN, JetBrains TeamCity, Zimbra), pero su explotación puede comprometer entornos híbridos o cloud:

• Cisco Catalyst SD-WAN Manager: Usado para gestionar redes SD-WAN, que suelen conectar sucursales con centros de datos en cloud. Un RCE en este componente podría dar acceso a tráfico interno de la organización.
• JetBrains TeamCity: Herramienta de CI/CD muy usada en pipelines. Un atacante que comprometa un TeamCity local podría inyectar código malicioso en builds que luego se despliegan en cloud (AWS, Azure, GCP).
• Zimbra (ZCS): Si un actor accede a un buzón de correo corporativo, podría robar tokens de autenticación para acceder a servicios cloud (ej: AWS IAM, Azure AD).

Un equipo de DevOps que usa TeamCity en AWS y no parcheó CVE-2024-27198 desde 2024 enfrenta dos riesgos:

1. Compromiso del pipeline: Un atacante podría modificar un build para incluir un cryptominer o un backdoor en las imágenes de Docker desplegadas.
2. Movimiento lateral: Si el TeamCity tiene acceso a credenciales de AWS (ej: mediante IAM roles), el atacante podría escalar a s3, EC2 o Lambda.

Detalles técnicos

Vectores de ataque y componentes específicos

1. Cisco Catalyst SD-WAN Manager (CVE-2026-20122, CVE-2026-20128, CVE-2026-20133)

• Producto afectado:

• Vulnerabilidades:

– CVE-2026-20128: Comando arbitrario en el sistema operativo subyacente (Linux).

– CVE-2026-20133: Acceso no autorizado a archivos sensibles (ej: logs, configuraciones).

• Explotación confirmada:

• Comando de verificación (si aplica):

  # Verificar versión de Cisco SD-WAN Manager
  show version | include "Catalyst SD-WAN Manager"
  # Si la versión es <= 20.12.1, está vulnerable.
  

2. JetBrains TeamCity (CVE-2024-27198)

• Producto afectado:

• Vulnerabilidad:

– Impacto: Ejecución de código arbitrario en el servidor de TeamCity.

• Explotación histórica:

– Herramientas públicas: Exploits están disponibles en GitHub (ej: teamcity-exploit y módulos en Metasploit (exploit/multi/http/teamcity_auth_bypass).

• Comando de verificación:

  # Verificar versión de TeamCity (Linux)
  cat /opt/TeamCity/conf/buildServer.properties | grep "version"
  # Si version < 2023.11.4, está vulnerable.
  

3. PaperCut MF/NG (CVE-2023-27351)

• Producto afectado:

• Vulnerabilidad:

– Actores vinculados: Lace Tempest (asociada a Cl0p y LockBit).

• Explotación confirmada:

– Shodan: En abril de 2026, hay ~12,000 instancias de PaperCut expuestas en internet.

• Comando de verificación:

  # Verificar versión (Windows)
  reg query "HKLM\SOFTWARE\PaperCut Software\PaperCut MF" /v "Version"
  # Si version <= 22.0.5, está vulnerable.
  

4. Zimbra Collaboration Suite (CVE-2025-48700, CVE-2025-66376)

• Producto afectado:

• Vulnerabilidades:

– CVE-2025-66376: Acceso a archivos locales mediante Path Traversal (usado para robar credenciales).

• Explotación confirmada:

– CERT-UA: Los atacantes accedieron a ~5,000 buzones en un solo incidente.

• Comando de verificación:

  # Verificar versión (Linux)
  cat /opt/zimbra/.install_history | grep "ZCS"
  # Si version < 10.0.9, está vulnerable.
  

Qué deberían hacer los administradores y equipos técnicos

Pasos accionables (por producto)

1. Cisco Catalyst SD-WAN Manager

1. Actualizar a la versión parcheada:

– Comando de actualización (Linux):

     sudo apt update && sudo apt upgrade sdwan-manager -y
     

1. Verificar firmas de los binarios:

   # Listar archivos del paquete
   dpkg -L sdwan-manager | grep -E "\.so$|\.bin$"
   # Verificar firmas SHA-256 (comparar con advisory de Cisco)
   sha256sum /opt/cisco/sdwan/bin/*
   

1. Auditar configuraciones expuestas:

– Configurar firewall para restringir acceso solo desde IPs internas.

   # Ejemplo de iptables (limitar a red interna 192.168.1.0/24)
   iptables -A INPUT -p tcp --dport 8443 -s 192.168.1.0/24 -j ACCEPT
   iptables -A INPUT -p tcp --dport 8443 -j DROP
   

2. JetBrains TeamCity

1. Parchear a versión 2023.11.4 o superior:

   # Para instalaciones en Linux (paquete .deb)
   wget https://download.jetbrains.com/teamcity/TeamCity-2023.11.4.tar.gz
   tar -xzf TeamCity-2023.11.4.tar.gz -C /opt/
   systemctl restart teamcity-server
   

1. Auditar pipelines:

– Escanear imágenes Docker desplegadas con Trivy o Clair:

     trivy image --severity CRITICAL <tu-imagen>
     

1. Rotar credenciales:

   # Ejemplo para AWS (usar IAM roles en lugar de claves estáticas)
   aws sts get-caller-identity  # Verificar identidad actual
   aws iam delete-access-key --access-key-id AKIAEXAMPLE
   

3. PaperCut MF/NG

1. Actualizar a versión 22.0.6 o superior:

   # Instalador para Windows
   msiexec /i "PaperCutMF-22.0.6-x64.msi" /qn
   

1. Bloquear puertos expuestos:

– Firewall en Windows:

     New-NetFirewallRule -DisplayName "Deny PaperCut 9191" -Direction Inbound -Protocol TCP -LocalPort 9191 -Action Block
     

1. Auditar logs:

     grep -i "CVE-2023-27351" /var/log/papercut/*
     

4. Zimbra Collaboration Suite

1. Actualizar a versión 10.0.9 o superior:

   # Para Debian/Ubuntu
   wget https://files.zimbra.com/downloads/10.0.9/ZCS-10.0.9-GA_UBUNTU20_64.20251215122359.tgz
   tar -xzf ZCS-10.0.9-GA_UBUNTU20_64.20251215122359.tgz
   ./install.sh --platform-override
   

1. Auditar buzones:

     find /opt/zimbra/store -name "*.tgz" -mtime -30
     

1. Revisar permisos:

Recomendaciones adicionales para equipos de DevOps

1. Automatizar parches:

– Ejemplo con Ansible:

     - hosts: all
       tasks:
         - name: Actualizar TeamCity
           apt:
             name: teamcity-server
             state: latest
           when: "'teamcity-server' in ansible_facts.packages"
     

1. Monitorear exploits públicos:

– Usar SIEM (ej: Splunk, ELK) para detectar intentos de explotación.

1. Validar con herramientas de Red Team:

Conclusión

La inclusión de 8 CVEs en el catálogo KEV de CISA no es un ejercicio teórico: es una llamada de atención técnica que exige acción inmediata. Para equipos de DevOps e Infraestructura, esto significa:

1. Priorizar parches según los plazos de KEV, incluso si no son agencias federales.
2. Auditar configuraciones de productos críticos como Cisco SD-WAN, JetBrains TeamCity o Zimbra.
3. Automatizar procesos de actualización y monitoreo para reducir ventanas de exposición.

Fuentes

• The Hacker News: CISA Adds 8 Exploited Flaws to KEV, Sets April-May 2026 Federal Deadlines
• Chrome Releases Blog: Actualizaciones de seguridad en productos Google (No aplica directamente, pero se incluye por contexto de CVE en KEV)
• The Hacker News: Artículo original sobre KEV (Referencia general)