Blog HackRTU

 

Aprende sobre vulnerabilidades, información técnica con una perspectiva diferente y estate a la última de todos los movimientos de HackRTU

 

Descubre los últimos artículos sobre ciberseguridad industrial, vulnerabilidades OT, análisis de dispositivos, investigaciones técnicas, 0‑days y noticias relevantes del sector. En el blog de HackRTU profundizamos en la seguridad de sistemas industriales, en la familia de estándares IEC 62443 y tendencias e investigación en el ámbito de la ciberseguridad industrial.

 

KEV: EL CONOCIMIENTO ES PODER

 

CNA

 

 

El término KEV o Known Exploited Vulnerabilities Catalog, hace referencia a un catálogo mantenido por la CISA (Cybersecurity and Infrastruture Security Agency) de EE.UU y creado en colaboración con el NIST (National Institute of Standards and Technology) en el año 2021 con el objetivo de proporcionar un listado dinámico de vulnerabilidades reportadas y activamente explotadas. Este listado permite a los responsables de ciberseguridad de las empresas, ya sean de ámbito industrial o no, conocer si las vulnerabilidades que tienen sus dispositivos pueden ser explotadas activamente mediante un exploit, lo que podría aumentar la necesidad de remediar o mitigar dichas vulnerabilidades.

Este término tiene una estrecha relación con tanto el SSVC como con el EPSS, aunque a diferencia de dichos términos, el KEV, únicamente proporciona un catálogo/listado de vulnerabilidades explotadas activamente, no un resultado o valoración sobre el impacto de la vulnerabilidad en una infraestructura o dispositivo objetivo.

 

KNOWN EXPLOTED VULNERABILITIES CATALOG

En el año 2021, la CISA, a través de una Directiva Operativa Vinculante en Estados Unidos, obliga a todas las agencias federales a remediar las vulnerabilidades que les afectasen y que estuvieran siendo explotadas activamente.

Para ello, la CISA publica en dicha directiva BOD 22-01, que las agencias deberán implementar, revisar y actualizar los procedimientos de gestión interna de vulnerabilidades. Además, establece unos puntos mínimos:

  • Establecer un proceso de remediación continua de vulnerabilidades que CISA identifique dentro de un periodo aceptable.
    • Para vulnerabilidades anteriores a la publicación del KEV en 2021, las agencias tendrían 6 meses.
    • Para vulnerabilidades explotadas activamente después de la publicación del KEV, tendrían 2 semanas.
  • Asignar roles y responsabilidades para la ejecución de las acciones establecidas por CISA.
  • Definir las acciones necesarias para permitir una respuesta rápida ante la detección de que una vulnerabilidad que está siendo explotada activamente.
  • Crear procedimientos internos de validación y aplicación.
  • Definir unos requisitos de seguimiento de la directiva y del listado de vulnerabilidades conocidas explotadas activamente (KEV).
  • Ayudar en la automatización e intercambio de información sobre vulnerabilidades entre CISA y agencias federales.

Por otra parte, la CISA, se comprometía a:

  • Proporcionar un catálogo de vulnerabilidades conocidas activamente explotadas a las organizaciones federales.
  • Mantener actualizado el KEV y alertar, en base a la información compartida por las agencias, a las que se puedan ver afectadas.
  • Proporcionar una guía para incluir y agregar vulnerabilidades al KEV.
  • Proporcionar anualmente un informe sobre los resultados del año.

En el año 2022, el KEV se consolida como herramienta de referencia, ya no solo para agencias federales, sino también para el sector público y en el año 2023 comienza a ser adoptado e incorporado por CERTs europeos y organismos reguladores como fuente oficial para priorizar el parcheo de vulnerabilidades.

Catálogo KEV

En la actualidad, el catálogo posee más de 1400 CVE que están siendo explotados activamente. Cabe destacar que actualmente, en agosto de 2025, de las más de 1400 vulnerabilidades publicadas que están siendo activamente explotadas, aproximadamente, 127 de las 1405 que hay, un 9% del total corresponden a vulnerabilidades industriales.

ICS Advisory Project for CISA KEV Catalog

Esta recopilación de vulnerabilidades explotadas activamente en el mundo industrial, como se puede ver en la imagen anterior, se puede visualizar de forma sencilla en diferentes proyectos públicos como el CISA Known Exploited Vulnerabilities (KEV) Catalog for CISA ICS Advisories Dashboard proporcionando a las empresas un filtro sencillo y visual de los activos y organizaciones afectadas por explotaciones activas.

 

APLICABILIDAD DEL CATÁLOGO KEV

La monitorización del catálogo es un aspecto vital para la gestión de todas las vulnerabilidades, concretamente, la monitorización de las vulnerabilidades activamente explotadas permitirá a las organizaciones y a sus responsables de ciberseguridad modificar la priorización de parcheo en base a las vulnerabilidades que aparezcan en el catálogo.

La aparición del catálogo en el año 2021, junto con otras herramientas o marcos de gestión de vulnerabilidades como el SSVC (Stakeholder-Specific Vulnerability Categorization), se complementan perfectamente, proporcionando ya no solo un resultado del riesgo y necesidad de en base al SSVC, sino, además, un repositorio actualizado (KEV) sobre las vulnerabilidades explotables. Además, desde el 2021, con la publicación del catálogo KEV, la gestión de vulnerabilidades ha podido y debería automatizarse en entornos industriales mediante diferentes herramientas que incorporen, cataloguen y prioricen automáticamente vulnerabilidades del catálogo KEV.

Pero, ¿Cómo se incluyen las vulnerabilidades en el catálogo? ¿Qué características debe cumplir una vulnerabilidad para ser incluida?

  • La vulnerabilidad debe tener un CVE asignado y publicado en la National Vulnerability Database (NVD) del National Institute of Standards and Technology (NIST).
  • La vulnerabilidad debe ser explotable y estar siendo explotada activamente. No vale con que la vulnerabilidad pueda ser explotada, sino que ha de estarse explotando activamente para que aparezca en el catálogo KEV. La CISA, cataloga como vulnerabilidad con una explotación activa, a aquellas vulnerabilidades para las que existen pruebas de que se ha ejecutado una ejecución de código malicioso en un sistema real y activo si el permiso del propietario (esto incluye, intentos de explotación y explotaciones exitosas).
  • Existe una guía clara de remediación. La CISA solo agrega vulnerabilidades explotadas activamente al catálogo si también existe una mitigación o solución por parte del fabricante. Un ejemplo claro es la guía publicada en 2022 sobre la “Mitigación de ataques contra dispositivos de suministro de energía ininterrumpida”.

 

PRIORIZACIÓN EN BASE A UN EJEMPLO

Para hacernos una idea de la importancia de la gestión de vulnerabilidades en base los CVE incluidos en el catálogo KEV, vamos a utilizar la vulnerabilidad con identificador CVE-2025-41362 reportada por uno de nuestros investigadores a mediados de 2025.

Para dar contexto, a continuación, se muestran algunos datos técnicos de la vulnerabilidad:

  • CVE: CVE-2025-41362
  • Descripción: Vulnerabilidad de inyección de código en IDF v0.10.0-0C03-03 y ZLF v0.10.0-0C03-04. Esta vulnerabilidad permite a un atacante almacenar carga maliciosa en el software que se ejecutará en el navegador de la víctima. Para explotar esta vulnerabilidad es necesario autenticarse en el dispositivo y ejecutar ciertos comandos que se pueden ejecutar con permiso de visualización
  • CVSS 4.0: AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
  • CVSS Score: 5.3
  • CWE: CWE-94 Improper Control of Generation of Code (‘Code Injection’)
  • CAPEC: CAPEC-70 // CAPEC-242 // CAPEC-35
  • Exploit público: No disponible.
  • Impacto: Afectación a nivel visual en la aplicación web del dispositivo, alteración de procesos industriales, envío de peticiones maliciosas a otro activo industrial, etc.
  • Solución y mitigaciones: Como solución, la actualización de firmware de los dispositivos o la monitorización de actividad para cortar potenciales inyecciones como mitigación.

 

Con todo esto, podemos revisar el valor EPSS, el cual es de 0,07%, lo que supone un riesgo bajo, pero, si nos imaginamos una situación en la que por ejemplo el dispositivo estuviera público en internet y cualquier pudiera acceder, el CVSS 4.0 cambiaría (aplicando condiciones de entorno para ese dispositivo específico), el EPSS cambiaría también y utilizando el SSVC, se determinaría que ese activo ha de ser parcheado cuanto antes. Todo esto, sumado a, por ejemplo, que se publica un exploit y que el CVE aparece en el catálogo KEV, haría saltar las alarmas de cualquier herramienta de gestión de vulnerabilidades.

Con todo, desde HackRTU queremos mostrar como el análisis específico de una vulnerabilidad en un dispositivo o sistema industrial es de vital importancia para la gestión del riesgo y la priorización de parcheo. El uso de metodologías como el SSVC o el modelo EPSS sumado a la monitorización del catálogo KEV es muy importante para saber gestionar las vulnerabilidades y las empresas industriales deberían aplicar el uso de estas referencias tanto a nivel teórico como a nivel práctico mediante herramientas de monitorización de vulnerabilidades, ya que no siempre se puede estar a todo 😉.

 

 

EQUIPO DE HACKRTU