CVE-2025–27364 en MITRE Caldera: Explotación de una Nueva Vulnerabilidad RCE de Máxima Gravedad a través de la Manipulación de Bandera de Enlazador Puede Conducir a la Compromiso Completo del Sistema
Una nueva vulnerabilidad de máxima gravedad RCE vulnerabilidad (CVE-2025-27364) en MITRE Caldera plantea un grave riesgo de compromiso del sistema. La falla también puede combinarse con otro problema de seguridad de Parallels Desktop, CVE-2024-34331, para duplicar los riesgos de amenazas. Si se explotan, estos problemas de seguridad podrían proporcionar a los hackers el control total del sistema, causando acceso no autorizado, violaciones de datos y movimientos laterales adicionales dentro de una red afectada.
Con el rápido aumento de los CVEs militarizados, la necesidad de detección proactiva de amenazas nunca ha sido más urgente. A principios de 2025, el NIST NVD ya ha registrado 6,480 nuevos problemas de seguridad, muchos de los cuales ya se han aprovechado en ataques del mundo real. A medida que las ciberamenazas continúan evolucionando, los equipos de seguridad de todo el mundo deben priorizar estrategias de detección temprana para adelantarse a los intentos de explotación y mitigar los riesgos de manera efectiva.
La Plataforma SOC Prime para la defensa cibernética colectiva empodera a los equipos de seguridad con un feed global de amenazas activas, CTI en tiempo real y algoritmos de detección curados para detectar y mitigar ataques que aprovechan los CVEs militarizados en sus etapas más tempranas. Regístrese en la Plataforma para acceder a una extensa biblioteca de reglas Sigma respaldada por un conjunto completo de productos para la detección y caza avanzadas de amenazas. También puede consultar nuestra biblioteca de reglas filtradas con la etiqueta “CVE” haciendo clic en Explorar Detecciones a continuación, para no perderse ninguna amenaza que pueda desafiar su negocio, ya que se agregan detecciones diariamente.
Todas las reglas se pueden utilizar en múltiples soluciones de analítica de seguridad y están mapeadas al marco MITRE ATT&CK para facilitar la investigación de amenazas. Además, las detecciones se enriquecen con metadatos detallados, que incluyen CTI referencias, cronologías de ataque, recomendaciones de triaje y más.
Análisis de CVE-2025-27364
Los defensores han revelado recientemente una nueva falla RCE en las versiones de MITRE Caldera hasta 4.2.0 y 5.0.0 (antes del commit 35bc06e) rastreada como CVE-2025-27364 (CVSS 10.0). Esta última afecta la capacidad del servidor para compilar agentes dinámicos (implantes). Esta falla de máxima gravedad es especialmente peligrosa ya que no requiere autenticación para que los atacantes la militaricen. Los hackers pueden aprovechar la API afectada para insertar código malicioso en el proceso de compilación, resultando en la instalación de agentes Sandcat o Manx no autorizados. Los adversarios pueden militarizar esta falla abusando de la bandera del enlazador gcc -extldflags con sub-comandos. Dado el extenso papel de Caldera en las pruebas de penetración y emulación de adversarios, esta falla de seguridad representa un riesgo considerable para las empresas que dependen de la plataforma para agrupamiento rojo y automatización de seguridad.
La publicación de un PoC de CVE-2025-27364 incrementa significativamente los riesgos de explotación en el mundo real. Ejecutar un comando curl específico hace que la falla sea fácil de explotar. Un ataque exitoso lanza un shell inverso, ejecutando un script de Python que proporciona a los actores de amenazas acceso root.
Notablemente, CVE-2025-27364 también puede aprovecharse en la cadena de ataque junto con CVE-2024-34331, un problema de seguridad más antiguo y no resuelto en Parallels Desktop, que puede llevar a una escalada de privilegios local en sistemas macOS. Si se explotan, ambas fallas podrían permitir a los hackers obtener control total del sistema objetivo, llevando a accesos no autorizados, violaciones de datos y compromiso de red.
Para abordar oportunamente los riesgos de explotación de CVE-2025-27364, se recomienda a los defensores actualizar rápidamente a la última versión corregida sacando el Master branch o la versión 5.1.0 y superiores. Además, para proteger redes potencialmente vulnerables a la explotación de CVE-2025-27364, también se insta a los usuarios a restringir el acceso a la API de Caldera con segmentación de red y controles rígidos y a mantener un seguimiento constante de compilaciones de agentes inusuales o actividad de la API para detectar proactivamente amenazas. Plataforma SOC Prime para la defensa cibernética colectiva ayuda a las organizaciones a superarse a las ciberamenazas sin importar su sofisticación, confiando en su conjunto completo de productos impulsado por IA, inteligencia de amenazas accionable y capacidades automatizadas avanzadas para adoptar sin problemas una estrategia de SOC de próxima generación.
