La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) ha actualizado su catálogo de vulnerabilidades explotadas conocidas (KEV) para incluir dos nuevas fallas que están siendo activamente utilizadas en ataques. Esta acción forma parte del esfuerzo continuo por exigir a las agencias federales que apliquen parches y medidas de mitigación de forma prioritaria, con fecha límite fijada para el 23 de septiembre de 2025.
CVE-2020-24363: Vulnerabilidad en TP-Link TL-WA855RE
La primera vulnerabilidad incorporada es CVE-2020-24363, que afecta al extensor Wi-Fi TP-Link TL-WA855RE. Con una puntuación de 8.8 en la escala CVSS, este fallo permite a un atacante remoto omitir los mecanismos de autenticación mediante el envío de una petición POST TDDP_RESET, lo que restablece el dispositivo a los valores de fábrica. Luego, el atacante puede establecer una contraseña administrativa personalizada, tomando el control completo del dispositivo.
Aunque TP-Link lanzó una actualización de firmware (TL-WA855RE(EU)_V5_200731) para corregir este problema, el modelo ya ha sido clasificado como fin de vida útil (EoL), lo que significa que ya no recibe soporte oficial. Por ello, se recomienda sustituirlo por hardware más reciente y seguro.
CVE-2025-55177: Explotación combinada en WhatsApp y Apple
La segunda vulnerabilidad añadida es CVE-2025-55177, localizada en la aplicación WhatsApp y calificada con un CVSS de 5.4. Este fallo fue utilizado en una campaña de spyware dirigida, combinándose con una vulnerabilidad independiente de Apple (CVE-2025-43300, CVSS 8.8) que afecta a iOS, iPadOS y macOS.
El encadenamiento de ambas vulnerabilidades permitió a los atacantes comprometer dispositivos de forma avanzada, casi sin necesidad de interacción por parte del usuario. Según WhatsApp, menos de 200 cuentas fueron notificadas como potencialmente afectadas, lo que apunta a una operación altamente selectiva y sofisticada.
Frente a este escenario, CISA ha reiterado que las agencias federales civiles deben aplicar las actualizaciones o mitigaciones correspondientes antes del 23 de septiembre. Este requerimiento se enmarca en la Directiva Operativa Vinculante (BOD) 22-01, cuyo objetivo es reducir la superficie de ataque en sistemas gubernamentales ante vulnerabilidades que ya están siendo activamente explotadas en entornos reales.
