CISA confirma explotación activa de vulnerabilidades críticas en Ubiquiti UniFi y Lantronix

La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) ha elevado el nivel de alerta al confirmar que actores maliciosos están aprovechando en la práctica fallos de gravedad máxima presentes en dos familias de productos de red ampliamente desplegados: los sistemas Ubiquiti con UniFi OS y los servidores de conversión serial-ethernet de Lantronix.

¿Qué está ocurriendo?

CISA ha incluido estas vulnerabilidades en su catálogo de vulnerabilidades explotadas conocidas (KEV), lo que implica que existe evidencia verificada de explotación activa en entornos reales —no se trata de pruebas de concepto teóricas. La calificación de severidad máxima (puntuaciones CVSS de 10.0 o muy cercanas) refleja el potencial de compromiso completo de los dispositivos afectados sin necesidad de autenticación previa en algunos casos.

Ubiquiti UniFi OS es la plataforma base de una amplia gama de equipos de red orientados tanto a entornos domésticos avanzados como a pequeñas y medianas empresas. Por su parte, los servidores Lantronix permiten conectar dispositivos serie legados a redes IP, siendo habituales en infraestructuras industriales y de gestión remota.

¿Por qué es relevante para equipos de IT y seguridad?

Ambas familias de productos suelen operar en segmentos de red con privilegios elevados o acceso a infraestructura crítica. La explotación exitosa podría permitir a un atacante:

  • Tomar el control total del dispositivo afectado.
  • Moverse lateralmente hacia otros sistemas de la red interna.
  • Interrumpir servicios de conectividad o acceder a tráfico sensible en tránsito.
  • Establecer persistencia en equipos de red que habitualmente reciben menos supervisión que los servidores o endpoints convencionales.

El hecho de que CISA emita esta advertencia implica que las agencias federales estadounidenses tienen un plazo obligatorio para remediar, pero la recomendación se extiende a cualquier organización que utilice estos equipos.

Medidas de mitigación recomendadas

  1. Inventariar todos los dispositivos Ubiquiti UniFi OS y Lantronix expuestos, especialmente aquellos accesibles desde Internet o desde redes no confiables.
  2. Aplicar los parches y actualizaciones de firmware publicados por los fabricantes a la mayor brevedad posible.
  3. Restringir el acceso a las interfaces de administración mediante listas de control de acceso (ACL) y segmentación de red.
  4. Revisar los registros de acceso y autenticación en busca de actividad inusual, especialmente intentos de acceso desde IPs no reconocidas.
  5. Deshabilitar funcionalidades no necesarias que amplíen la superficie de ataque.

¿Estás cubierto en DefensOps?

Aunque esta alerta no tiene técnicas MITRE ATT&CK específicas publicadas en el momento de redacción, la explotación de dispositivos de red sigue patrones de comportamiento detectables. El motor de correlación de DefensOps (disponible desde el plan Essential) aplica cobertura genérica que permite identificar anomalías en el tráfico de red, patrones de acceso inusuales a dispositivos de infraestructura y comportamientos propios de movimiento lateral o escalada de privilegios.

Si gestionas entornos con equipos Ubiquiti o Lantronix, te recomendamos revisar las alertas generadas por el motor de correlación y asegurarte de que los logs de estos dispositivos están siendo ingestados correctamente en tu instancia de DefensOps.

👉 Consulta nuestros planes y solicita una demo en DefensOps Precios para saber cómo adaptar la cobertura a tu infraestructura.


Fuente: BleepingComputer – CISA warns of max severity Ubiquiti flaws exploited in attacks