Chrome: CISA alerta por vulnerabilidad crítica explotada (CVE-2025-4664)

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha emitido una alerta urgente dirigida a todas las agencias federales y profesionales de ciberseguridad, advirtiendo sobre ataques en curso que explotan activamente una vulnerabilidad crítica en el navegador Google Chrome.

CVE-2025-4664: Falla de alta gravedad en el componente Loader

La vulnerabilidad, identificada como CVE-2025-4664, fue descubierta por el investigador de seguridad Vsevolod Kokorin de Solidlab. El 5 de mayo de 2025, Kokorin compartió los detalles técnicos de esta falla, la cual afecta al componente Loader de Chrome debido a una aplicación insuficiente de políticas de seguridad.

Google respondió rápidamente con una actualización de seguridad lanzada el miércoles, corrigiendo el fallo que permitía a atacantes remotos filtrar datos de origen cruzado mediante páginas HTML diseñadas con fines maliciosos.

Riesgo de filtración de datos sensibles

Según Kokorin, la vulnerabilidad permite explotar el encabezado link en las solicitudes de subrecursos. Este comportamiento particular de Chrome —diferente de otros navegadores— puede ser aprovechado para definir políticas como unsafe-url y así capturar parámetros de consulta sensibles.

Citar"Los parámetros de consulta pueden incluir datos confidenciales, como tokens en flujos de OAuth. Esto podría facilitar el secuestro de cuentas si un atacante logra interceptarlos mediante una imagen alojada en un recurso de terceros", explicó Kokorin.

Exploit público y alerta de explotación activa

Aunque Google no confirmó si CVE-2025-4664 fue explotado antes de hacerse público, reconoció en su aviso de seguridad que ya existe un exploit disponible públicamente, una señal común de que hay explotación activa.

El jueves siguiente, CISA confirmó oficialmente que esta vulnerabilidad está siendo explotada en ataques reales, agregándola a su Catálogo de Vulnerabilidades Conocidas Explotadas (KEV), una base de datos que destaca las amenazas que requieren acción inmediata.

Requisitos de mitigación según la directiva BOD 22-01

En cumplimiento con la Directiva Operativa Vinculante 22-01, todas las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar el parche de seguridad antes del 7 de mayo de 2025, con el fin de mitigar cualquier riesgo de compromiso.

Aunque esta normativa es obligatoria solo para organismos gubernamentales, CISA recomienda encarecidamente a todas las organizaciones públicas y privadas actualizar inmediatamente sus instalaciones de Google Chrome.

Citar"Este tipo de vulnerabilidades representan vectores comunes de ataque para actores cibernéticos maliciosos y suponen un riesgo significativo para la infraestructura federal y empresarial", advirtió CISA.

Segundo día cero de Chrome explotado en 2025

Esta es la segunda vulnerabilidad de día cero en Chrome que ha sido explotada en lo que va de 2025. La anterior, CVE-2025-2783, fue utilizada en ataques dirigidos contra organizaciones gubernamentales rusas, medios de comunicación y centros educativos, como parte de campañas de ciberespionaje avanzado.

En esa ocasión, los investigadores de Kaspersky informaron que los atacantes usaron el exploit para eludir las protecciones de sandbox de Chrome e infectar los sistemas con malware personalizado.

Recomendaciones para proteger tu sistema

Para prevenir la explotación de CVE-2025-4664 en tu entorno, sigue estas recomendaciones:

• Actualiza Google Chrome inmediatamente a la última versión disponible.
• Implementa soluciones de seguridad perimetral que detecten actividad anómala relacionada con exfiltración de datos.
• Supervisa el tráfico saliente para identificar intentos de acceso a recursos maliciosos.
• Revisa la política de contenido (CSP) en tus aplicaciones web para limitar cargas de recursos externos.

En fin, la vulnerabilidad CVE-2025-4664 en Google Chrome representa una amenaza real, especialmente debido a su explotación activa en la naturaleza. Tanto organismos públicos como empresas privadas deben actuar con rapidez y aplicar los parches de seguridad correspondientes para prevenir fugas de información y accesos no autorizados.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta