Exploits y vulnerabilidades en el tercer trimestre de 2025

Los atacantes siguieron explotando los problemas de seguridad de WinRAR en el tercer trimestre, y el número total de vulnerabilidades reportadas volvió a aumentar. En este informe, examinaremos las estadísticas sobre vulnerabilidades y exploits publicados, los problemas de seguridad más comunes en Windows y Linux, y las vulnerabilidades que se explotaron en ataques APT que conducen al lanzamiento de frameworks C2 comunes. El informe utiliza datos anonimizados de Kaspersky Security Network, proporcionados de forma voluntaria por nuestros usuarios, así como información de fuentes abiertas.

Estadísticas: vulnerabilidades registradas

Esta sección contiene estadísticas de las vulnerabilidades registradas. Los datos se obtuvieron del portal cve.org.

Veamos el número de CVE registradas por mes durante los últimos 5 años (hasta el tercer trimestre de 2025 inclusive).

Número total de vulnerabilidades publicadas por mes, 2021– 2025 (descargar)

El gráfico muestra que el número de vulnerabilidades publicadas por mes en el tercer trimestre de 2025 sigue siendo superior al de años anteriores. En total, en tres meses se publicaron más de 1000 vulnerabilidades más que en el mismo periodo de 2024. El final del trimestre marca una tendencia al alza del número de CVE reportados, y creemos que el crecimiento continuará en el cuarto trimestre. Sin embargo, es probable que a finales de año el número total de vulnerabilidades publicadas disminuya con respecto al valor de septiembre.

Si observamos la distribución por meses de las vulnerabilidades calificadas como críticas (CVSS > 8,9) en el momento del registro, podemos ver que la cifra del tercer trimestre de 2025 fue un poco inferior a la de 2024.

Número total de vulnerabilidades críticas publicadas cada mes, 2021– 2025 (descargar)

Estadísticas sobre la explotación de vulnerabilidades

La sección contiene estadísticas de uso de exploits para el tercer trimestre de 2025. Los datos correspondientes se obtuvieron de fuentes de acceso público y mediante nuestra telemetría.

Explotación de vulnerabilidades en Windows y Linux

En el tercer trimestre de 2025, los exploits más comunes siguieron siendo los que tenían como objetivo a los productos vulnerables de Microsoft Office.

En la plataforma Windows, las soluciones de Kaspersky detectaron el mayor número de exploits para las siguientes vulnerabilidades:

• CVE-2018-0802: vulnerabilidad de ejecución remota de código en el componente Editor de ecuaciones.
• CVE-2017-11882: otra vulnerabilidad de ejecución remota de código que también afecta a Editor de ecuaciones;
• CVE-2017-0199: vulnerabilidad en Microsoft Office y WordPad que permite a un atacante tomar el control del sistema.

Estas vulnerabilidades suelen ser explotadas por los atacantes con más frecuencia que otras, como mencionamos en informes anteriores. En el tercer trimestre, también vimos que los ciberdelincuentes explotaron vulnerabilidades de tipo Directory Traversal, que se producen al descomprimir archivos en WinRAR. Aunque los exploits que se publicaron al principio para estas vulnerabilidades no representaban una amenaza en entornos reales, los atacantes los modificaron para adaptarlos a sus necesidades.

• CVE-2023-38831: vulnerabilidad de WinRAR que consiste en el manejo incorrecto de objetos que se encuentran en el archivo comprimido. Analizamos en detalle esta vulnerabilidad en el informe del año pasado;
• CVE-2025-6218 (ZDI-CAN-27198), una vulnerabilidad que permite especificar una ruta relativa y descomprimir archivos en un directorio arbitrario. Los ciberdelincuentes pueden desempaquetar el archivo en el directorio de aplicaciones del sistema o el de ejecución automática y ejecutar código malicioso. En el informe del segundo trimestre se ofrece un desglose más detallado de la vulnerabilidad;
• CVE-2025-8088, una vulnerabilidad de día cero similar a CVE-2025-6128, fue detectada durante el análisis de ataques APT. Los atacantes utilizaban NTFS Streams como mecanismo para eludir el control del directorio al que se extraen los archivos. Esta vulnerabilidad se analizará con más detalle más adelante.

Cabe señalar que las vulnerabilidades detectadas en 2025 están por alcanzar la popularidad de la vulnerabilidad de 2023.

Todas las CVE mencionadas pueden emplearse para obtener acceso inicial a sistemas vulnerables. Recomendamos instalar a su debido tiempo las actualizaciones para el software correspondiente.

Evolución del número de usuarios de Windows que se enfrentaron a exploits, T1 2023 – T3 2025. El 100% es el número de usuarios que se enfrentaron a exploits en el primer trimestre de 2023 (descargar)

Según nuestros datos de telemetría, el número de usuarios de Windows que se toparon con exploits en el tercer trimestre aumentó en relación con el período cubierto por el informe anterior. Asimismo, esta cifra es inferior a la del tercer trimestre de 2024.

En los dispositivos Linux, se detectaron con mayor frecuencia exploits de las siguientes vulnerabilidades del núcleo del sistema operativo:

• CVE-2022-0847, vulnerabilidad conocida como Dirty Pipe, que permite elevar privilegios e interceptar el control de aplicaciones en ejecución;
• CVE-2019-13272: vulnerabilidad de manejo incorrecto de privilegios heredados, que puede utilizarse para elevar privilegios;
• CVE-2021-22555: vulnerabilidad de desbordamiento de montículo (heap overflow) en el subsistema del núcleo Netfilter. La amplia difusión de esta vulnerabilidad se debe a que para explotarla se utilizaron metodologías bastante populares de modificación de memoria, las manipulaciones con los primitivos msg_msg, que conducen a Use-After-Free.

Evolución del número de usuarios de Linux que se enfrentaron a exploits, T1 de 2023 – T3 de 2025. El 100% es el número de usuarios que se enfrentaron a exploits en el primer trimestre de 2023 (descargar)

Si nos fijamos en el número de usuarios que se enfrentaron a exploits, vemos que sigue creciendo y que en el tercer trimestre de 2025 ya es más de seis veces superior que en el primer trimestre de 2023.

Esto confirma una vez más que es crucial mantener actualizados los parches de seguridad en Linux, pues los atacantes lo eligen cada vez más, año tras año. Esto se debe, ante todo, al creciente número de dispositivos Linux.

Los exploits publicados más difundidos

En el tercer trimestre de 2025, los exploits para vulnerabilidades del sistema operativo siguieron prevaleciendo sobre los exploits de otros tipos de software que monitorizamos como parte de nuestras investigaciones públicas, noticias y monitorización de PoC. Cabe señalar, sin embargo, que la proporción de ataques a navegadores aumentó de forma notable en el tercer trimestre y llegó a igualar la proporción de ataques a otros tipos de software que no forman parte del sistema operativo

Distribución de los exploits publicados para vulnerabilidades por plataforma, T1 de 2025 (descargar)

Distribución de los exploits publicados para vulnerabilidades por plataforma, T2 de 2025 (descargar)

Distribución de los exploits publicados para vulnerabilidades por plataforma, T3 de 2025 (descargar)

Cabe destacar que en el tercer trimestre de 2025, al igual que en el segundo trimestre, no se publicaron nuevos exploits para productos de Microsoft Office, pero sí para vulnerabilidades de Microsoft Sharepoint. Dado que estas mismas vulnerabilidades también afectan a componentes del sistema operativo, las clasificamos como vulnerabilidades del sistema operativo.

Uso de vulnerabilidades en ataques APT

Llevamos a cabo un análisis de los datos sobre vulnerabilidades explotadas en ataques de grupos APT en el tercer trimestre de 2025. Las siguientes clasificaciones incluyen datos que recibimos de nuestra telemetría, investigación y fuentes públicas.

Las 10 principales vulnerabilidades explotadas en ataques APT, tercer trimestre de 2025 (descargar)

En el tercer trimestre de 2025, en los ataques APT predominan vulnerabilidades de día cero que se revelaron durante investigaciones de incidentes aislados. Una vez publicadas, empezó una gran oleada de exploits. A juzgar por la lista de programas que contienen estas vulnerabilidades, estamos asistiendo a la formación de un nuevo “kit estándard” para el acceso inicial a la infraestructura y la ejecución de código tanto en dispositivos periféricos como dentro de los sistemas operativos. Además, cabe señalar que las vulnerabilidades “veteranas”, como CVE-2017-11882, por ejemplo, permiten utilizar diferentes formatos de datos y ofuscar el exploit para eludir la detección. A su vez, la mayoría de las nuevas vulnerabilidades requieren un formato de datos de entrada específico, lo que hace que los exploits sean más fáciles de detectar y permite un seguimiento más preciso de su uso en infraestructuras protegidas. No obstante, el riesgo de explotación es bastante alto, por lo que recomendamos aplicar las actualizaciones que los proveedores ya han publicado.

Frameworks C2

En esta sección analizaremos los frameworks C2 más populares utilizados por atacantes y las vulnerabilidades y exploits que interactuaron con agentes C2 en ataques APT.

La gráfica siguiente muestra la frecuencia de casos documentados de uso de frameworks C2 en ataques lanzados durante el tercer trimestre de 2025, según fuentes abiertas.

TOP 10 de frameworks C2 utilizados por grupos APT para comprometer sistemas de usuarios, tercer trimestre de 2025 (descargar)

La lista de los frameworks C2 más populares del último trimestre está encabezada por Metasploit, cuya cuota creció con respecto al segundo trimestre, seguido de Sliver y Mythic. El framework Empire, que no estuvo activo en el último periodo de referencia, también ha vuelto a la lista. Adaptix C2 merece una mención especial, ya que, aunque de reciente aparición, se utilizó casi de inmediato en ataques reales. Las fuentes examinadas y las muestras de agentes C2 maliciosos mostraron que se utilizaron las siguientes vulnerabilidades para lanzarlos y luego introducirlos en la red de la víctima:

• CVE-2020-1472, una vulnerabilidad conocida como ZeroLogon permite comprometer un sistema operativo vulnerable y ejecutar comandos como usuario con privilegios;
• CVE-2021-34527, una vulnerabilidad conocida como PrintNightmare, aprovecha fallos en el subsistema de impresoras del sistema operativo Windows. Además, permite el acceso remoto a un sistema operativo vulnerable y la ejecución de comandos en él con privilegios elevados;
• CVE-2025-6218 o CVE-2025-8088 son vulnerabilidades similares de Directory Traversal que permiten descomprimir archivos comprimidos en una ruta predefinida sin que el archivador muestre ningún mensaje al usuario. La primera fue descubierta por investigadores, pero luego fue adoptada por los ciberdelincuentes. La segunda es una vulnerabilidad de día cero.

Vulnerabilidades interesantes

Esta sección contiene las vulnerabilidades más interesantes que se publicaron en el tercer trimestre de 2025 y tienen una descripción puesta a disposición del público.

ToolShell (CVE-2025-49704 y CVE-2025-49706, CVE-2025-53770 y CVE-2025-53771) provoca la deserialización insegura y la elusión del mecanismo de autenticación

ToolShell es un conjunto de vulnerabilidades en Microsoft SharePoint que permite eludir la autenticación y obtener el control total del servidor.

• CVE-2025-49704 afecta la deserialización insegura de datos no fiables, lo que permite a los ciberdelincuentes ejecutar código malicioso en un servidor vulnerable
• CVE-2025-49706 permite acceder a un servidor saltándose la autenticación
• CVE-2025-53770 permite eludir el parche para CVE-2025-49704
• CVE-2025-53771 permite eludir el parche para CVE-2025-49706

Estas vulnerabilidades son uno de los paquetes favoritos de los atacantes, ya que permiten usar unas cuantas solicitudes para comprometer los servidores Sharepoint disponibles en la red. Todas ellas fueron parchadas en julio. Esto subraya una vez más la importancia de instalar a tiempo los parches críticos. Encontrará una descripción detallada de las vulnerabilidades de ToolShell en nuestro blog.

CVE-2025-8088 es una vulnerabilidad de catálogo en WinRAR

CVE-2025-8088 es muy similar a CVE-2025-6218, sobre la que escribimos en nuestro informe anterior. En ambos casos, los atacantes utilizan rutas relativas para forzar a WinRAR a extraer el contenido de los archivos a directorios del sistema. La única diferencia de esta vulnerabilidad es que el ciberdelincuente explota el mecanismo de flujos de datos alternativos (ADS) y puede utilizar variables de entorno en la ruta donde se descomprimirá el archivo.

CVE-2025-41244 es una vulnerabilidad de escalada de privilegios en VMware Aria Operations y VMware Tools

Los detalles sobre esta vulnerabilidad han sido publicados por investigadores que afirman que fue explotada en ataques reales en 2024.

La esencia de la vulnerabilidad radica en que un atacante puede sustituir la orden utilizada para lanzar el componente de descubrimiento de servicios (Service Discovery) de la consola VMware Aria o del conjunto de utilidades VMware Tools. Como resultado, un atacante sin privilegios puede obtener privilegios ilimitados en una máquina virtual. La vulnerabilidad en sí reside en una expresión regular mal escrita en el script get-versions.sh del componente Service Discovery, que se encarga de identificar la versión del servicio y se ejecuta cada vez que se pasa un nuevo comando.

Conclusiones y recomendaciones

En el tercer trimestre de 2025, el número de vulnerabilidades notificadas sigue creciendo, y algunas de ellas son detectadas casi de inmediato por los atacantes. Es probable que esta tendencia continúe en el futuro.

Los exploits más comunes para Windows se utilizan para la penetración inicial en el sistema. También es durante esta fase cuando las APT explotan nuevas vulnerabilidades. Para evitar el acceso de los atacantes a la infraestructura, las organizaciones deben revisar sus sistemas de forma regular en busca de vulnerabilidades y aplicar parches de manera oportuna. Estas medidas pueden simplificarse y automatizarse con Kaspersky Systems Management. Además, Kaspersky Symphony puede proporcionar una protección completa y flexible contra ciberataques de cualquier nivel de complejidad.