Underc0de - La Casa de los Informáticos

La Cybersecurity and Infrastructure Security Agency, conocida como CISA, añadió oficialmente dos nuevas vulnerabilidades críticas que afectan a Langflow y Trend Micro Apex One a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de explotación activa en ataques reales.

La decisión refleja la creciente preocupación de las autoridades estadounidenses por el aumento de campañas de ciberataques dirigidas contra plataformas empresariales, entornos cloud y soluciones de inteligencia artificial que manejan información sensible.

Las vulnerabilidades identificadas son:

• CVE-2025-34291 – Vulnerabilidad crítica en Langflow con puntuación CVSS 9.4.
• CVE-2026-34926 – Vulnerabilidad de recorrido de directorios en Trend Micro Apex One con puntuación CVSS 6.7.

CISA ordenó a las agencias federales estadounidenses aplicar las mitigaciones y actualizaciones necesarias antes del 4 de junio de 2026 para reducir riesgos de compromiso.

¿Qué significa entrar en el catálogo KEV de CISA?

El catálogo KEV (Known Exploited Vulnerabilities) de la Cybersecurity and Infrastructure Security Agency reúne vulnerabilidades que están siendo explotadas activamente por actores maliciosos en el mundo real.

Cuando una vulnerabilidad es añadida al listado KEV, normalmente implica que:

• Existen ataques confirmados en curso.
• La explotación representa una amenaza significativa para organizaciones públicas y privadas.
• Las agencias federales deben aplicar parches de forma obligatoria dentro de plazos establecidos.

La inclusión de Langflow y Trend Micro Apex One en este catálogo evidencia el alto nivel de riesgo asociado a ambas fallas.

CVE-2025-34291: vulnerabilidad crítica en Langflow permite ejecución remota de código

La vulnerabilidad más grave del anuncio corresponde a CVE-2025-34291, una falla crítica en Langflow con una puntuación CVSS de 9.4.

Langflow es una plataforma utilizada para desarrollar aplicaciones basadas en modelos de lenguaje (LLM) e inteligencia artificial mediante interfaces visuales y automatización de flujos de trabajo.

Según investigaciones de Obsidian Security publicadas en diciembre de 2025, la vulnerabilidad combina tres debilidades críticas:

• Configuración CORS excesivamente permisiva.
• Ausencia de protección CSRF.
• Un endpoint que permite ejecución de código por diseño.

La combinación de estos factores posibilita que un atacante remoto ejecute código arbitrario y obtenga control completo del sistema comprometido.

El impacto de la vulnerabilidad en Langflow puede ser devastador

Los expertos de Obsidian Security advirtieron que el impacto potencial de CVE-2025-34291 va mucho más allá del compromiso de una sola instancia.

La explotación exitosa podría permitir el acceso a:

• Tokens de acceso cloud
• Claves API
• Credenciales SaaS
• Secretos empresariales
• Integraciones automatizadas
• Entornos DevOps conectados

CitarLa empresa explicó que:

"La explotación exitosa no solo compromete la instancia de Langflow, sino que también expone todos los tokens de acceso sensibles y las claves API almacenadas en el espacio de trabajo".

Esto podría desencadenar compromisos en cascada sobre múltiples servicios cloud integrados dentro de la infraestructura corporativa.

Grupo iraní MuddyWater explota activamente la vulnerabilidad

La situación se volvió aún más crítica después de que investigadores de Ctrl-Alt-Intel revelaran en marzo de 2026 que el grupo patrocinado por el Estado iraní MuddyWater estaba explotando activamente CVE-2025-34291.

Según el análisis, los atacantes utilizaron la vulnerabilidad como vector inicial de acceso para infiltrarse en redes objetivo.

MuddyWater es conocido por ejecutar operaciones avanzadas de ciberespionaje dirigidas contra:

• Gobiernos
• Infraestructura crítica
• Empresas tecnológicas
• Entidades financieras
• Organizaciones de telecomunicaciones

La explotación de plataformas de IA como Langflow demuestra cómo los actores estatales están ampliando rápidamente sus objetivos hacia tecnologías emergentes basadas en inteligencia artificial.

Trend Micro Apex One también bajo explotación activa

La segunda vulnerabilidad añadida por CISA corresponde a CVE-2026-34926, una falla de recorrido de directorios que afecta versiones locales de Trend Micro Apex One.

Según Trend Micro, la vulnerabilidad podría permitir que un atacante local preautenticado modifique una tabla de claves interna del servidor para desplegar código malicioso hacia agentes instalados en la red corporativa.

CitarLa compañía confirmó además que:

"Observó al menos un caso de intento de explotación activa en la naturaleza".

Aunque la explotación requiere acceso administrativo previo al servidor Apex One, el riesgo sigue siendo elevado debido a que estas plataformas poseen amplios privilegios dentro de entornos empresariales.

Plataformas EDR se convierten en objetivos prioritarios

Las soluciones EDR y plataformas de protección de endpoints como Trend Micro Apex One se han convertido en objetivos extremadamente atractivos para actores maliciosos.

Esto ocurre porque dichas herramientas:

• Poseen acceso privilegiado a endpoints corporativos.
• Controlan políticas de seguridad.
• Gestionan múltiples dispositivos simultáneamente.
• Pueden distribuir software dentro de redes empresariales.

Un compromiso exitoso permitiría a los atacantes desplegar malware, ransomware o puertas traseras a gran escala dentro de organizaciones afectadas.

CISA ordena mitigaciones inmediatas antes del 4 de junio

Debido al riesgo asociado a ambas vulnerabilidades, la Cybersecurity and Infrastructure Security Agency estableció como fecha límite el 4 de junio de 2026 para que las agencias del Poder Ejecutivo Civil Federal (FCEB) implementen las actualizaciones y mitigaciones necesarias.

Las autoridades recomiendan:

• Aplicar inmediatamente los parches disponibles.
• Restringir accesos administrativos.
• Supervisar logs y actividad sospechosa.
• Segmentar sistemas críticos.
• Rotar credenciales comprometidas.
• Implementar autenticación multifactor (MFA).

La explotación activa de vulnerabilidades críticas sigue siendo uno de los principales vectores utilizados por ciberdelincuentes y grupos patrocinados por Estados para comprometer infraestructuras corporativas.

Las plataformas de IA y seguridad están en la mira de los atacantes

El nuevo movimiento de CISA confirma una tendencia cada vez más evidente dentro del panorama de amenazas actual: los atacantes están enfocándose agresivamente en plataformas estratégicas utilizadas para automatización, inteligencia artificial y protección empresarial.

La explotación de fallos en Langflow y Trend Micro Apex One demuestra que los actores de amenazas buscan maximizar impacto atacando herramientas con acceso privilegiado a datos, pipelines cloud y redes corporativas.

A medida que las organizaciones aceleran la adopción de tecnologías IA y automatización DevOps, la superficie de ataque continúa expandiéndose, obligando a empresas y gobiernos a reforzar sus estrategias de ciberseguridad frente a campañas cada vez más sofisticadas y persistentes.

Fuente: https://thehackernews.com/