Una semana para actualizar o ser hackeado: qué parches de seguridad debes instalar antes de mediados de marzo de 2026
Se fijan plazos estrictos para corregir vulnerabilidades en SolarWinds e Ivanti.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó de inmediato tres vulnerabilidades al catálogo Known Exploited Vulnerabilities, donde se incluyen fallos de seguridad que ya están siendo explotados por atacantes. Estar en esa lista suele significar una cosa: los ataques están ocurriendo ahora, y los responsables de los sistemas deberían instalar las actualizaciones de forma urgente.
Se trata de vulnerabilidades en Omnissa Workspace One UEM, SolarWinds Web Help Desk e Ivanti Endpoint Manager. Cada vulnerabilidad permite a los atacantes acceder a datos confidenciales o ejecutar comandos en el servidor.
La primera vulnerabilidad, CVE-2021-22054 (con una puntuación CVSS de 7,5), está relacionada con un error en el manejo de las solicitudes del servidor en Omnissa Workspace One UEM, que antes se llamaba VMware Workspace One UEM. Con acceso de red al sistema, un atacante puede enviar solicitudes sin autenticación y obtener acceso a información confidencial.
La segunda vulnerabilidad, CVE-2025-26399 (con una puntuación CVSS de 9,8), se encontró en el componente AjaxProxy del sistema SolarWinds Web Help Desk. Un error de deserialización de datos no confiables permite a un atacante ejecutar comandos arbitrarios en el servidor. Microsoft y la empresa Huntress informaron recientemente que los atacantes ya están explotando vulnerabilidades en SolarWinds Web Help Desk para el acceso inicial a infraestructuras. Según los datos disponibles, detrás de los ataques está el grupo extorsionista Warlock.
La tercera vulnerabilidad recibió el identificador CVE-2026-1603 (con una puntuación CVSS de 8,6). Un fallo en Ivanti Endpoint Manager permite eludir el mecanismo de autenticación mediante una ruta de acceso alternativa y obtener de forma remota parte de las credenciales almacenadas. No hay detalles sobre ataques reales que hayan aprovechado este problema hasta ahora. Al momento de la publicación, Ivanti tampoco había actualizado su boletín de seguridad para indicar la explotación.
Ya en marzo de 2025, la empresa GreyNoise informó que la vulnerabilidad CVE-2021-22054 se estaba utilizando junto con errores SSRF similares en otros productos como parte de una campaña coordinada.
CISA exige a las agencias federales de EE. UU. que apliquen la corrección para SolarWinds Web Help Desk antes del 12 de marzo de 2026. Las actualizaciones para las otras dos vulnerabilidades deben aplicarse antes del 23 de marzo. La agencia subraya que este tipo de fallas de seguridad con frecuencia se convierten en puntos de entrada para ataques y representan una amenaza seria para los sistemas de información federales.