VULNERABILIDAD CRITICA LARAVEL LIVEWIRE BAJO EXPLOTACION ACTIVA
Situación
Se detectó explotación activa de CVE-2025-54068 en Laravel Livewire con puntuación CVSS 9.8 y prioridad operativa 9.1/10. La vulnerabilidad permite ejecución remota de código sin autenticación en aplicaciones web que utilizen este framework popular en desarrollo PHP. CISA incorporó la vulnerabilidad al catálogo KEV con fecha límite de remediación 20 marzo 2026, confirmando explotación en entornos federales.
Inteligencia de fuentes abiertas indica actividad consistente con el perfil operativo de Scattered Spider, grupo conocido por campañas de ransomware y acceso inicial via vulnerabilidades web. Telemetría del SOC operativo QMA muestra técnicas MITRE T1190 (Exploit Public-Facing Application) y T1059.004 (Unix Shell) en la cadena de ataque. El conjunto de 58 IOCs presenta detección máxima de 14 motores en VirusTotal, sugiriendo campaña sofisticada con infraestructura rotativa.
Indicadores verificados
| Tipo | Indicador | VT | Fuente | Acciones |
|---|---|---|---|---|
| domain | www.xt24.com | 14/92 | AlienVault OTX | VT |
| domain | akamai.com | 0/92 | AlienVault OTX | VT |
| domain | recaptcha-cn.net | 0/92 | AlienVault OTX | VT |
| sha256 | 6c8efbcef3af80a574cb2aa2224c145bb2e37c2f3d3f091571708288ceb22d5f | — | AlienVault OTX | VT |
| sha256 | c8589ca999526f247db4d3902ade8a85619f8f82338c6230d1b935f413ddcb3d | — | AlienVault OTX | VT |
| url | http://157.20.182.49:10443/success | — | AlienVault OTX | VT |
| sha256 | bedb882c6e2cf896e14ecf12c90aaa6638f780017d1b8687a40b4a81956e230f | — | AlienVault OTX | VT |
| url | http://194.11.246.101:1338 | — | AlienVault OTX | VT |
Contexto TIFE
La convergencia de fuentes revela patrón de explotación multi-técnica abarcando T1203 (Exploitation for Client Execution), T1189 (Drive-by Compromise) y múltiples variantes T1059 para ejecución de comandos. La relación con campañas previas de Scattered Spider se evidencia en la metodología de acceso inicial web seguida de escalación via shells Unix/JavaScript. Verificación via MITRE ATT&CK confirma consistencia con TTPs documentadas del actor en operaciones contra servicios cloud y frameworks web populares.
Acción recomendada
SOC: Implementar monitoreo inmediato de aplicaciones Laravel Livewire, buscar patrones T1190 en logs web, verificar integridad de shells remotos. Aplicar patch disponible con máxima urgencia. CISO: Evaluar exposición sectorial de aplicaciones PHP/Laravel, coordinar remediación antes del deadline CISA marzo 2026. Urgencia: inmediata para sistemas expuestos.
Evidencia técnica verificada
| Tipo | Indicador | VT | Fuente | Conf | Threat | Acciones |
|---|---|---|---|---|---|---|
| Domain | www.xt24.com | 14/92 | otx | 75% | — | VT |
| Domain | recaptcha-cn.net | 0/92 | otx | 40% | — | VT |
| Domain | akamai.com | 0/92 | otx | 40% | — | VT |
| SHA256 | 6c8efbcef3af80a574cb2aa2...ceb22d5f | — | otx | 75% | — | VTMB |
| SHA256 | c8589ca999526f247db4d390...13ddcb3d | — | otx | 75% | — | VTMB |
| URL | http://157.20.182.49:10443/success | — | otx | 75% | — | VT |
| SHA256 | bedb882c6e2cf896e14ecf12...956e230f | — | otx | 75% | — | VTMB |
| SHA256 | 0748d9443cfa33be9b02b662...5291e33a | — | otx | 75% | — | VTMB |
| SHA256 | 0961e8af4cca4b9d263d175a...43bab10f | — | otx | 75% | — | VTMB |
| SHA256 | 0be0c0b54559256f44b3cc6a...5aa4b942 | — | otx | 75% | — | VTMB |
| SHA256 | 1beed7ab694cd1f4e007245d...298f6377 | — | otx | 75% | — | VTMB |
| SHA256 | 1e4748c2070a6f01ff3360f5...500d4373 | — | otx | 75% | — | VTMB |
| SHA256 | 20d56cb6ec146f3f2789435c...efe60c4a | — | otx | 75% | — | VTMB |
| SHA256 | 5c47949ede4f31d18d474faa...3d8c1a20 | — | otx | 75% | — | VTMB |
| URL | http://194.11.246.101:1338 | — | otx | 75% | — | VT |


