Vulnerabilidad CVE-2025-1001 en Medixant RadiAnt DICOM Viewer Permite a Actores de Amenazas Realizar Ataques de Hombre en el Medio
Un nuevo día, una nueva amenaza para los defensores cibernéticos. Una vulnerabilidad novedosa en Medixant RadiAnt DICOM Viewer—un popular visor PACS DICOM para imágenes médicas—permite a los hackers ejecutar ataques de máquina en el medio (MitM).
GitHub informa que a finales de 2024, se divulgaron en promedio 115 CVEs diario, con un aumento del 124% en ciberataques que explotan vulnerabilidades en el tercer trimestre de 2024. Como resultado, la detección proactiva de explotaciones sigue siendo una prioridad principal para los equipos de ciberseguridad a nivel mundial.
Para detectar posibles ataques contra su organización a tiempo, SOC Prime Platform para la defensa cibernética colectiva organiza un gran conjunto de reglas Sigma enfocadas en la detección de explotación de vulnerabilidades. Presione el botón Explorar Detecciones a continuación y profundice de inmediato en un conjunto relevante de detecciones enriquecidas con contexto respaldadas por una suite de productos completa para caza de amenazas automatizada, ingeniería de detección impulsada por IA y detección de amenazas basada en inteligencia. Al revisar nuestra biblioteca de reglas Sigma con la etiqueta “CVE”, no se perderá amenazas en evolución que potencialmente desafían su negocio, ya que las detecciones se añaden a diario.
Todas las reglas son compatibles con múltiples soluciones SIEM, EDR y Data Lake y están mapeadas al marco MITRE ATT&CK para facilitar la investigación de amenazas. Además, las detecciones están enriquecidas con metadatos detallados, que incluyen CTI referencias, cronogramas de ataque, recomendaciones de triage y más.
Análisis CVE-2025-1001
Los defensores descubrieron una nueva vulnerabilidad en el Medixant RadiAnt DICOM Viewer. Identificada como CVE-2025-1001, este fallo de severidad media tiene una puntuación CVSS de 5.7. CVE-2025-1001 afecta a todas las versiones del producto antes de 2025.1 y surge debido a que la capacidad de actualización no verifica el certificado del servidor de actualizaciones. Esta falla podría ser explotada en ataques MitM, dando luz verde a los actores de amenaza para interceptar y manipular la respuesta del servidor, distribuyendo actualizaciones dañinas al usuario.
Si los hackers obtienen privilegios elevados en un sistema objetivo, podrían hacerse pasar por el servidor y modificar el contenido de la ventana de actualización. Esto ocurre si el usuario ignora una advertencia de desajuste de nombre de certificado y confirma la actualización falsa, permitiendo la descarga de un archivo armado. Este último se maneja a través del navegador web de Windows, y el usuario debe ejecutar manualmente el archivo. Como resultado, es probable que el software de seguridad marque el archivo como peligroso.
Actualmente no hay evidencia de explotación de CVE-2025-1001 en el entorno, pero los usuarios deben actualizar a la última versión o aplicar mitigaciones si no pueden actualizar de inmediato. El proveedor ha abordado el problema de manera oportuna y urge a los usuarios a actualizar a la versión v2025.1 o posterior del producto. Para los usuarios que no pueden instalar la actualización, deben implementarse precauciones para bloquear intentos de explotación potenciales. Más específicamente, para reducir los riesgos, los usuarios deben evitar que se apliquen actualizaciones deshabilitando la visualización de actualizaciones disponibles ejecutando el comando específico. and urges users to upgrade to product version v2025.1 or later. For users unable to install the update, precautions should be implemented to block potential exploitation attempts. More specifically, to reduce the risks, users should prevent updates from being applied by disabling the display of available updates by running the specific command.
Al aprovechar SOC Prime Platform para la defensa cibernética colectiva basada en inteligencia global de amenazas, crowdsourcing, confianza cero e IA, las organizaciones pueden asegurarse de identificar y abordar los CVEs conocidos y emergentes de manera oportuna para optimizar su postura de ciberseguridad ante riesgos. Con Attack Detective, las organizaciones con SaaS listo para empresas de SOC Prime pueden mejorar la visibilidad de amenazas, abordar oportunamente los puntos ciegos de defensa cibernética y elevar la capacidad de detección y caza de amenazas a escala para actuar más rápido que los atacantes.
