Underc0de - La Casa de los Informáticos

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta urgente sobre la explotación activa de una vulnerabilidad crítica en Adobe Experience Manager (AEM), una de las plataformas más utilizadas a nivel empresarial para la gestión de experiencias digitales y formularios web. Esta falla, identificada como CVE-2025-54253, permite la ejecución remota de código (RCE) y ya está siendo aprovechada por actores de amenazas para comprometer sistemas que no han sido actualizados.

Una vulnerabilidad crítica con impacto global

De acuerdo con CISA, CVE-2025-54253 afecta específicamente a Adobe Experience Manager Forms en las versiones 6.5.23 y anteriores basadas en JEE (Java Enterprise Edition). El problema radica en una configuración incorrecta dentro del componente de Struts DevMode, que deja expuestos servicios internos del sistema a solicitudes externas no autenticadas.

Esta debilidad puede ser explotada de manera remota, sin interacción del usuario y con baja complejidad técnica, lo que la convierte en un blanco atractivo para campañas automatizadas y ataques dirigidos. En caso de explotación exitosa, el atacante puede eludir los mecanismos de autenticación y ejecutar código arbitrario con privilegios del sistema, abriendo la puerta a la instalación de malware, robo de datos sensibles o control completo del servidor afectado.

Descubrimiento y demora en el parcheo

La vulnerabilidad fue descubierta por los investigadores Adam Kues y Shubham Shah, de Searchlight Cyber, quienes notificaron a Adobe sobre tres fallos críticos en abril de 2025:

• CVE-2025-54253 – Omitir autenticación y ejecutar código remoto (RCE).
• CVE-2025-54254 – Inyección de comandos a través de variables no sanitizadas.
• CVE-2025-49533 – Vulnerabilidad corregida parcialmente en abril.

Pese a la notificación responsable, Adobe solo parcheó uno de los tres problemas en abril, dejando los otros sin resolver durante más de 90 días. Los investigadores decidieron entonces publicar el 29 de julio un informe técnico detallando el funcionamiento de las vulnerabilidades, incluyendo ejemplos de explotación y medidas de mitigación.

Tras la publicación del artículo y la creciente preocupación en la comunidad de seguridad, Adobe lanzó actualizaciones el 9 de agosto de 2025 para mitigar la vulnerabilidad CVE-2025-54253, confirmando que ya existía un exploit de prueba de concepto (PoC) disponible públicamente.

Detalles técnicos del exploit

Según Searchlight Cyber, el ataque aprovecha el modo de desarrollo de Apache Struts (DevMode) para ejecutar comandos de manera no autenticada. Este vector de ataque se origina cuando la instancia de AEM Forms está expuesta directamente a Internet y opera en un entorno donde DevMode no ha sido deshabilitado, lo que brinda a los atacantes un punto de entrada.

La explotación del fallo permite ejecutar scripts maliciosos, manipular formularios, acceder a datos almacenados e incluso instalar webshells para obtener persistencia dentro del servidor. Por ello, los expertos recomiendan restringir el acceso externo a los sistemas AEM Forms y limitar su exposición pública, especialmente en entornos donde no sea posible aplicar de inmediato las actualizaciones de seguridad.

CISA incluye CVE-2025-54253 en su catálogo de vulnerabilidades explotadas

Debido a la gravedad del fallo y su explotación activa, CISA añadió CVE-2025-54253 a su Catálogo de Vulnerabilidades Explotadas Conocidas (Known Exploited Vulnerabilities Catalog). Esto activa automáticamente la aplicación de la Directiva Operativa Vinculante (BOD) 22-01, que obliga a las agencias del Poder Ejecutivo Civil Federal (FCEB) de Estados Unidos a corregir el fallo antes del 5 de noviembre de 2025.

Aunque la directiva se aplica principalmente a entidades gubernamentales federales, CISA insta también a las organizaciones privadas a priorizar el parcheo inmediato y a seguir las recomendaciones del proveedor para reducir la superficie de ataque.

Citar"Aplique mitigaciones según las instrucciones del proveedor, siga la guía BOD 22-01 aplicable para los servicios en la nube o suspenda el uso del producto si las mitigaciones no están disponibles", advirtió CISA.

La agencia subrayó que vulnerabilidades como esta "son vectores de ataque frecuentes para los actores cibernéticos maliciosos y plantean riesgos significativos para la infraestructura digital, tanto pública como privada".

Recomendaciones de seguridad y mitigación

Para minimizar el riesgo de compromiso, los expertos de CISA y Searchlight Cyber recomiendan las siguientes acciones inmediatas:

• Actualizar a la versión más reciente de AEM Forms JEE (6.5.24 o superior) publicada por Adobe el 9 de agosto de 2025.
• Deshabilitar Struts DevMode en todos los entornos de producción.
• Restringir el acceso externo a AEM Forms mediante listas de control de acceso (ACL) o túneles VPN.
• Monitorear los logs en busca de actividad sospechosa relacionada con solicitudes HTTP inusuales o ejecución de código remoto.
• Implementar WAFs (firewalls de aplicaciones web) que bloqueen patrones de explotación conocidos.

Establecer una política de actualización continua, asegurando que todos los sistemas AEM mantengan configuraciones seguras y parches recientes.

En fin...

La vulnerabilidad CVE-2025-54253 representa un recordatorio claro de cómo las configuraciones inseguras pueden transformar entornos corporativos complejos como Adobe Experience Manager en puntos de entrada para ataques críticos. La respuesta tardía de los proveedores, combinada con la divulgación pública de los exploits, ha acelerado la explotación activa por parte de ciberdelincuentes.

En este contexto, actualizar y endurecer los sistemas AEM debe ser una prioridad inmediata. Las organizaciones que dependan de esta plataforma deben aplicar los parches oficiales, limitar su exposición a Internet y reforzar la monitorización de seguridad para evitar convertirse en el próximo objetivo de esta amenaza.

Fuente: https://www.bleepingcomputer.com/