Agregador de feeds

CISA ha alertado sobre la explotación activa de la vulnerabilidad CVE-2025-32463 en Sudo, permitiendo a atacantes locales sin privilegios escalar a root. El fallo ya cuenta con parches disponibles y ha sido incluido en el catálogo de amenazas activas.

El comando Sudo es fundamental en entornos Linux y macOS para controlar el acceso a privilegios de administración. Una grave vulnerabilidad de escalada de privilegios locales (LPE), identificada como CVE-2025-32463 y con una puntuación CVSS de 9.3, ha sido recientemente explotada, poniendo en jaque la seguridad de servidores y estaciones de trabajo a nivel mundial.

CVE-2025-32463 afecta a Sudo versiones desde la 1.9.14, introduciendo un fallo que permite a usuarios sin privilegios ejecutar comandos con privilegios de root incluso aunque no estén en el archivo sudoers. La explotación se basa en la manipulación del fichero /etc/nsswitch.conf en combinación con el uso del parámetro chroot de Sudo. Un atacante crea un archivo nsswitch.conf controlado, utiliza chroot para engañar a Sudo y consigue ejecución privilegiada. El fallo fue corregido en la versión 1.9.17p1, donde se eliminaron las opciones comprometidas.

El principal riesgo es la posibilidad de que cualquier atacante local obtenga acceso total al sistema, comprometiendo de manera completa la seguridad y la integridad de los servidores afectados. Esto puede derivar en robo de información, instalación de malware o persistencia para ataques posteriores. El hecho de que ya exista una prueba de concepto (PoC) pública y explots en circulación incrementa el nivel de amenaza, tanto para infraestructuras críticas como para despliegues empresariales y usuarios individuales.

Se recomienda actualizar Sudo urgentemente a la versión 1.9.17p1 o superior. Es fundamental revisar el catálogo KEV de CISA y aplicar las mejoras de configuración sugeridas, restringiendo los accesos al sistema y monitorizando actividades sospechosas. Además, se aconseja deshabilitar funcionalidades innecesarias y realizar auditorías sobre configuraciones de seguridad previas a la corrección.

La rápida aplicación de parches y la vigilancia continua son críticas para frenar la explotación de CVE-2025-32463. Los equipos de TI deben priorizar la actualización de Sudo y consultar fuentes oficiales, como el KEV de CISA y el NIST, para evaluar riesgos actuales y futuros. La prevención eficaz reduce la superficie de ataque y refuerza la resiliencia organizacional.

Más información

• Vulnerabilidad CVE-2025-32463 en NIST: https://nvd.nist.gov/vuln/detail/CVE-2025-32463
• Alerta de CISA sobre CVE-2025-32463: https://www.cisa.gov/news-events/alerts/2025/09/30/cisa-adds-new-vulnerabilities-known-exploited-vulnerabilities-catalog
• Noticia original en SecurityWeek: https://www.cisa.gov/news-events/alerts/2025/09/30/cisa-adds-new-vulnerabilities-known-exploited-vulnerabilities-catalog

La entrada CISA alerta: Vulnerabilidad crítica en Sudo permite escalada local a root se publicó primero en Una Al Día.

Una vulnerabilidad crítica de secuestro de DLL (DLL hijacking) ha sido descubierta en Notepad++, el popular editor de código fuente utilizado por millones de desarrolladores en todo el mundo. El fallo, identificado como CVE-2025-56383, afecta a la versión 8.8.3 y podría impactar a todas las instalaciones existentes del software.

El problema radica en la forma en que Notepad++ carga las bibliotecas necesarias para su funcionamiento. Si el programa busca un archivo DLL sin especificar la ruta completa, Windows recurre a un orden predefinido de directorios. Un atacante local puede aprovechar esta debilidad colocando una DLL maliciosa con el mismo nombre que una legítima en un directorio que se cargue antes del original.

Según la demostración publicada, el ataque puede ejecutarse reemplazando archivos de complementos, como NppExport.dll, dentro del directorio de plugins de Notepad++. El atacante puede renombrar el archivo legítimo y hacer que su DLL maliciosa lo sustituya, mientras reenvía las funciones legítimas al archivo original para no levantar sospechas. Esta técnica, conocida como proxying, permite ejecutar código malicioso en segundo plano cada vez que se abre el editor.

Aunque la demostración solo mostró la aparición de un cuadro de mensaje como prueba de ejecución, el impacto potencial es grave: el atacante podría usar la vulnerabilidad para obtener persistencia en el sistema o escalar privilegios.

Por el momento, los desarrolladores de Notepad++ no han publicado un parche oficial para esta vulnerabilidad. Se recomienda a los usuarios descargar únicamente versiones desde el sitio web oficial, vigilar cambios no autorizados en los directorios de instalación y aplicar controles de integridad de archivos.

La amenaza principal está en entornos donde un atacante ya tenga acceso inicial al sistema. En ese escenario, esta vulnerabilidad facilitaría la instalación de malware persistente cada vez que se ejecute.

Más información:

• https://cybersecuritynews.com/notepad-hijacking-vulnerability/
• https://nvd.nist.gov/vuln/detail/CVE-2025-56383

La entrada Notepad++ vulnerable a ataques de secuestro de DLL: CVE-2025-56383 se publicó primero en Una Al Día.

Incluso Steam, la mayor tienda online de videojuegos de PC, no está exenta de aplicaciones maliciosas. El último caso conocido es BlockBlasters, un juego de plataformas 2D, que en segundo plano ejecuta un ladrón de credenciales.

El malware en Steam

Valve, la empresa detrás de Steam, ha apostado a lo largo de los años por proyectos para abrir la puerta a pequeños desarrolladores. Proyectos como Steam Greenlight, Steam Direct o acceso anticipado.

Concretamente, Steam Direct consiste en tres pasos para poder publicar en la tienda: el primero y segundo se basan en papeleo; mientras que el tercero es la fase de revisión, donde el equipo de Steam pone a prueba el juego para asegurar que no desencadena comportamientos inesperados en los equipos de los usuarios.

Por tanto, si Steam dispone de un sistema de pruebas y revisión, ¿cómo se infiltra el malware? En la mayoría de los casos, los desarrolladores publican una versión inicial sin ninguna traza maliciosa para, posteriormente, actualizar el juego añadiendo los comportamientos y el malware. Tras esto, comienza la fase de ingeniería social para conseguir que las víctimas descarguen el juego.

El caso viral de BlockBlasters

El último caso de este tipo ha sido BlockBlasters, desarrollado por Genesis Interactive. Este se ha viralizado especialmente debido a que una de sus víctimas ha sido el creador de contenido RastalandTV, el cual se encontraba en directo recolectando donaciones para su tratamiento de cáncer, cuando un espectador le recomendó dicho juego y le robaron más de 30.000 dólares.

BlockBlasters fue publicado el 30 de julio de 2025 sin ningún tipo de malware, no fue hasta el 12 de agosto que empezó a recibir actualizaciones y cambios en el código. Específicamente, el 30 de agosto publicaron la versión (build) 19799326 donde se modificaron varios archivos, los cuales contenían el malware.

El programa malicioso funcionaba de manera «clásica», uno de los archivos se encargaba de rastrear el equipo en busca de información como el sistema operativo, antivirus, etc. Una vez, este terminaba de recolectar toda la información necesaria desplegaba otros dos: uno de ellos era un stealer especializado en navegadores (contraseñas, cookies y carteras de criptomonedas) mientras que el otro enviaba la información robada a un canal de Telegram.

Tras la tragedia y la viralidad, un grupo de expertos publicaron un informe forense en el que analizan el comportamiento del malware en profundidad, obteniendo acceso al canal de Telegram y publicando la lista de afectados, entre otra información relevante.

Finalmente, se han identificado dos actores detrás de la estafa y su información ya ha sido notificada a las autoridades competentes.

Otros casos de malware en Steam

Si bien es cierto que BlockBlasters ha sido el caso más viral, no es el único. En lo que va de 2025 es el cuarto videojuego detectado con estos comportamientos:

1. 2018. Abstractism. Instalaba un minero de criptomonedas.
2. Slay the Spire, mod. Downfall. Instalaba un infostealer.
3. 2025. Sniper: Phantom’s resolution. Demo que instalaba un ladrón de credenciales.
4. 2025. Chemia. Instalaba varios tipos de malware.
5. 2025. PirateFi. Malware avanzado de robo de credenciales e información de sesiones.

Conclusiones y recomendaciones

El malware y los ciberdelincuentes se encuentran en todas partes hoy día y páginas en las que se tiene confianza, como Steam, son el principal objetivo. Realizar algo totalmente legítimo como descargar un videojuego es también un posible riesgo. Por tanto, lo más recomedable es seguir una serie de pautas como el uso de antivirus, dobles factores, gestores de contraseñas, entre otros. Siendo lo más importante, tener sentido común.

Más información

• Youtube. 2025. BaityBait. STEAM y su problema con el MALWARE. https://www.youtube.com/watch?v=XR7QGGYOd9M
• Youtube. 2025. BaityBait. STEAM PERMITE el robo MÁS ASQUEROSO del año. https://www.youtube.com/watch?v=JoxDe7L5moc
• Yahoo News. 2025. Nathaniel Mott. Twitch streamer raising money for cancer treatment has funds stolen by malware-ridden Steam game — BlockBlasters title stole $150,000 from hundreds of players. https://www.yahoo.com/news/articles/twitch-streamer-raising-money-cancer-144945930.html
• SteamDB. 2025. BlockBlasters Build 19799326 on 30 August 2025. https://steamdb.info/patchnotes/19799326/
• 2025. BlockBlasters Forensic Report. https://docs.google.com/document/d/1vI4uKIYLl5iw6k1gspG4KY1JOoMIBGC1B6drPHmIZic/edit?tab=t.0#heading=h.u52snj6f3ie3
• Bitdefender. 2018. Graham Clueley. Steam game Abstractism pulled after cryptomining accusations. https://www.bitdefender.com/en-us/blog/hotforsecurity/steam-game-abstractism-pulled-after-cryptomining-accusations
• BleepingComputer. 2025. Bill Toulas. Hacker sneaks infostealer malware into early access Steam game. https://www.bleepingcomputer.com/news/security/hacker-sneaks-infostealer-malware-into-early-access-steam-game/
• Kaspersky. 2025. Alexey Sadylko. Atención, jugadores: los troyanos han invadido Steam. https://www.kaspersky.es/blog/games-with-trojans-in-steam/30774/

La entrada BlockBlasters: así roban tus contraseñas en Steam se publicó primero en Una Al Día.

Microsoft ha detectado una nueva variante del malware XCSSET para macOS, dirigida específicamente a desarrolladores que usan Xcode. Esta versión incorpora funcionalidades avanzadas como robos de datos de navegador, secuestro del portapapeles y nuevos mecanismos de persistencia para atacar entornos de desarrollo.

La familia de malware XCSSET, conocida por atacar sistemas macOS a través de proyectos Xcode infectados, vuelve a estar en el punto de mira tras la publicación de un nuevo informe por parte de Microsoft Threat Intelligence. El vector de infección se centra en desarrolladores, explotando la práctica común de compartir proyectos de desarrollo.

El nuevo XCSSET presenta capacidades ampliadas. Ahora, utiliza una versión modificada de la herramienta open-source HackBrowserData para extraer contraseñas y sesiones de Firefox, se centra en el hurto de criptomonedas mediante la monitorización del portapapeles con patrones RegEx que detectan y reemplazan direcciones asociadas a carteras, y refuerza su persistencia creando entradas LaunchDaemon y una falsa ‘System Settings.app’ que oculta su actividad. Su principal mecanismo de propagación sigue siendo la infección de proyectos Xcode: una vez que el proyecto es compilado, el código malicioso se replica y puede llegar a otros desarrolladores mediante colaboraciones o repositorios compartidos.

El impacto potencial incluye la exfiltración de credenciales, robo de notas personales, sustracción de carteras de criptomonedas y datos sensibles almacenados en navegadores. La capacidad de infiltración a través de proyectos colaborativos incrementa el riesgo para entornos de desarrollo, pudiendo afectar a empresas y cadenas de suministro de software. Además, la sofisticación de los nuevos métodos de persistencia dificulta tanto su detección temprana como la remoción.

Para mitigar estas amenazas, se recomienda encarecidamente a los desarrolladores inspeccionar cualquier proyecto Xcode recibido antes de compilarlo. Mantener macOS y las aplicaciones actualizadas es crucial, dado que XCSSET ha explotado vulnerabilidades zero-day previamente. El uso de una solución EDR para macOS y la revisión constante de procesos y aplicaciones sospechosas puede ayudar a detectar actividad anómala. Además, es esencial realizar backups regulares y no reutilizar credenciales entre servicios.

El resurgimiento de XCSSET demuestra la obstinación de las amenazas dirigidas contra el ecosistema de Apple, especialmente hacia desarrolladores. La defensa proactiva, la actualización constante y las buenas prácticas de higiene digital son fundamentales en este contexto. Sin vigilancia, un solo proyecto contaminado puede comprometer toda una organización.

Más información

• Microsoft: https://www.microsoft.com/en-us/security/blog/2025/09/25/xcsset-evolves-again-analyzing-the-latest-updates-to-xcssets-inventory/
• Microsoft warns of new XCSSET macOS malware variant targeting Xcode devs: https://www.bleepingcomputer.com/news/security/microsoft-warns-of-new-xcsset-macos-malware-variant-targeting-xcode-devs/

La entrada XCSSET evoluciona: nueva variante de malware para macOS ataca proyectos Xcode y roba criptomonedas se publicó primero en Una Al Día.

Un grupo de ciberdelincuentes norcoreanos ha introducido una nueva amenaza dirigida a desarrolladores de software en el ecosistema de criptomonedas y Web3. Esta campaña, conocida como «DeceptiveDevelopment«, utiliza herramientas personalizadas, incluyendo un backdoor previamente desconocido denominado AkdoorTea. La firma de ciberseguridad ESET vincula este grupo con operaciones del régimen de Pyongyang.

AkdoorTea es un backdoor multiplataforma desarrollado en Python y Go, diseñado para funcionar en Windows, Linux y macOS. Su funcionamiento combina varias técnicas avanzadas: utiliza canales de comunicación cifrados para conectarse a servidores de comando y control (C2), puede ejecutar scripts remotos, manipular archivos y recopilar credenciales y datos sensibles de aplicaciones de blockchain. Para mantener persistencia, emplea mecanismos de autoarranque, modifica configuraciones del sistema y oculta sus procesos mediante técnicas de ofuscación de código.

La distribución de este malware se realiza mediante ofertas de empleo falsas en el sector de criptomonedas. Los atacantes se hacen pasar por reclutadores y convencen a las víctimas para ejecutar scripts maliciosos bajo el pretexto de completar pruebas técnicas. Una vez ejecutados, los scripts descargan y activan el backdoor AkdoorTea, que establece una puerta trasera y crea un túnel seguro cifrado para transmitir información de manera encubierta al servidor C2.

La estrategia principal se basa en ingeniería social avanzada. Se crean perfiles falsos en plataformas profesionales para contactar desarrolladores y ofrecer entrevistas de trabajo. Durante estas entrevistas, se solicita realizar tareas aparentemente legítimas, que en realidad sirven para ejecutar el malware y mapear la infraestructura local de la víctima. Esta táctica ha sido llamada «Contagious Interview» y se ha usado previamente en campañas de malware como BeaverTail e InvisibleFerret.

Para protegerse de estas amenazas, es fundamental verificar la autenticidad de las ofertas de empleo, revisar los permisos de ejecución antes de ejecutar scripts o programas desconocidos, mantener actualizado el software antivirus y utilizar herramientas de análisis de malware que detecten comportamiento anómalo. Además, es clave educar al personal sobre las técnicas de ingeniería social y cómo evitarlas, así como supervisar los logs de red en busca de conexiones sospechosas con servidores externos.

Más información

• North Korean Hackers Use New AkdoorTea Backdoor to Target Global Crypto Developers: https://thehackernews.com/2025/09/north-korean-hackers-use-new-akdoortea.html
• DeceptiveDevelopment: From primitive crypto theft to sophisticated AI-based deception : https://www.welivesecurity.com/en/eset-research/deceptivedevelopment-from-primitive-crypto-theft-to-sophisticated-ai-based-deception/

La entrada Ciberdelincuentes norcoreanos despliegan AkdoorTea para atacar a desarrolladores de criptomonedas se publicó primero en Una Al Día.

Cisco ha parcheado una vulnerabilidad zero-day (CVE-2025-20352) críticamente explotada, que permitía a atacantes remotos con privilegios elevados ejecutar código como root en routers y switches con IOS e IOS XE. Este fallo ya estaba siendo explotado en entornos reales.

Cisco anunció una serie de parches para IOS e IOS XE, tras descubrir una vulnerabilidad zero-day (CVE-2025-20352) que afectaba a diversos routers y switches, incluyendo los modelos Meraki MS390 y Catalyst 9300 bajo determinados releases.

El defecto, clasificado con un CVSS de 7.7, reside en el subsistema SNMP y es explotable mediante el envío de paquetes especialmente manipulados. Si el atacante posee la cadena community SNMPv1/v2c de solo lectura o credenciales SNMPv3 válidas junto con privilegio administrativo, puede lograr la ejecución remota de código (RCE) como root. El fallo es un desbordamiento de pila, y ya existen pruebas de concepto disponibles para otras vulnerabilidades asociadas a esta ronda de actualizaciones.

El riesgo principal es total: ejecución de comandos arbitrarios como root en el dispositivo comprometido, permitiendo control completo, interrupciones del servicio (DoS), filtrado de información o inclusión de software malicioso en la infraestructura de red corporativa. La explotación ya se daba activamente mediante robo de credenciales administrativas.

Es crítico actualizar cuanto antes a las versiones corregidas de IOS/IOS XE. Revise y restrinja la exposición del SNMP, limite el uso de cadenas community predeterminadas, y adopte el principio de menor privilegio en credenciales administrativas. Monitorice los logs en busca de accesos no autorizados y siga atentos a los boletines de seguridad oficiales.

Las infraestructuras de red de Cisco continúan siendo objetivo prioritario de ataques. Mantener sistemas actualizados y reforzar las políticas de acceso SNMP es imprescindible para reducir el riesgo de intrusiones con impacto crítico en la organización.

Más información

• CVE-2025-20352 – NIST National Vulnerability Database: https://nvd.nist.gov/vuln/detail/CVE-2025-20352
• Cisco Patches Zero-Day Flaw Affecting Routers and Switches (SecurityWeek): https://www.securityweek.com/cisco-patches-zero-day-flaw-affecting-routers-and-switches/
• Cisco Security Advisory: IOS and IOS XE Software SNMP Stack Overflow Vulnerability: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snmp-overflow-65F2bSK

La entrada Cisco soluciona vulnerabilidad zero-day que permitía ejecución de código raíz en routers y switches se publicó primero en Una Al Día.

Cloudflare ha informado este mes de septiembre de la mitigación de un ataque de denegación de servicio distribuido (DDoS) que marcó un nuevo hito: 22,2 terabits por segundo (Tbps) y 10,6 mil millones de paquetes por segundo (Bpps). La cifra no es anecdótica; duplica el récord anterior de 11,5 Tbps y confirma que la escala de este tipo de ofensivas continúa creciendo.

Lo llamativo no fue solo el volumen. El ataque duró apenas 40 segundos, siguiendo la táctica de hit-and-run: ráfagas extremadamente breves y potentes que buscan desbordar las defensas antes de que puedan reaccionar. En este caso, el tráfico se generó desde una botnet masiva, integrada por equipos comprometidos y dispositivos IoT, que lanzó un asalto multivector combinando varias técnicas de saturación.

Cloudflare destacó que la mitigación fue 100 % autónoma. No hubo analistas revisando el tráfico ni intervenciones de emergencia. Los sistemas de detección y respuesta, basados en machine learning, absorbieron la avalancha en el borde de la red y neutralizaron el impacto antes de que llegara al objetivo. En la práctica, esto demuestra un cambio de modelo: los mecanismos manuales de scrubbing o filtrado ya no son viables ante ataques de esta magnitud.

Este tipo de ofensivas dejan claro que la defensa digital no puede depender solo de la reacción humana. La velocidad y escala de los ataques hacen necesario un nivel de automatización y capacidad de red que muchas empresas aún no tienen en sus planes de ciberseguridad.

El aumento de dispositivos conectados y la expansión del 5G anticipan escenarios aún más complejos. Todo apunta a que los ataques hipervolumétricos seguirán ganando terreno. No se trata de preguntarse si ocurrirá de nuevo, sino de asumir que la preparación frente a este tipo de ofensivas será un requisito básico de resiliencia digital.

Más información:

• https://cybersecuritynews.com/ddos-attack-world-record/

La entrada Cloudflare neutraliza el mayor ataque DDoS registrado: 22,2 Tbps se publicó primero en Una Al Día.

Una nueva vulnerabilidad crítica en SolarWinds Web Help Desk (WHD) permite a un atacante remoto no autenticado ejecutar código en el servidor (RCE) a través de AjaxProxy por deserialización insegura. Es un bypass de los parches previos (CVE‑2024‑28988, que ya era bypass de CVE‑2024‑28986). SolarWinds publicó WHD 12.8.7 Hotfix 1, que corrige el problema. Prioriza el parche y evita exponer WHD a Internet.

¿Qué es esto y por qué importa?

CVE‑2025‑26399 explota un fallo de deserialización de datos no seguros (CWE‑502) dentro del componente AjaxProxy de WHD. El registro oficial en NVD lo clasifica como RCE no autenticado con una criticidad de 9.8. La nota de NVD deja claro que es un “patch bypass” de CVE‑2024‑28988, el cual a su vez ya “bypasseaba” CVE‑2024‑28986. En otras palabras: mismo tipo de bug, nueva forma de explotarlo.

En 2024, CVE‑2024‑28986 se añadió al KEV de CISA por explotación activa, y ZDI (Zero Day Initiative) publicó detalles técnicos sobre la vía de AjaxProxy para el caso CVE‑2024‑28988 (también RCE no autenticado). El nuevo CVE‑2025‑26399 es un bypass de aquello. Actualmente no existe una PoC (prueba de concepto) pública, sin embargo, es acertado pensar que aparecerá a corto plazo si hay exposición.

Detección y threat hunting

En materia de detección, los equipos de seguridad pueden apoyarse en varios indicadores característicos de este tipo de ataques. A nivel de red, el envío de objetos Java serializados deja huellas muy reconocibles: los denominados magic bytes (AC ED 00 05 en hexadecimal o rO0 en Base64) suelen aparecer al inicio del «payload«. También es común encontrar cabeceras como Content-Type: application/x-java-serialized-object o cuerpos binarios anómalamente grandes en peticiones hacia rutas asociadas a AjaxProxy. Configurar el WAF o el IDS para identificar estas señales puede marcar la diferencia entre un intento fallido y un compromiso real.

Por otro lado, la revisión de los logs de aplicación puede aportar evidencias adicionales. Excepciones como StreamCorruptedException o InvalidClassException generadas por la JVM (Máquina virtual Java) al intentar procesar objetos serializados de forma incorrecta pueden ser un indicio temprano de explotación o de escaneo activo. Estos registros deben correlacionarse con accesos repetitivos a endpoints de WHD que normalmente no recibirían este tipo de peticiones complejas.

Mitigación priorizada

La primera medida imprescindible es aplicar el parche oficial que corrige esta vulnerabilidad: SolarWinds Web Help Desk 12.8.7 con Hotfix 1. Este hotfix, liberado el 23 de septiembre de 2025, actualiza varias librerías internas, elimina dependencias problemáticas como c3p0.jar y añade otras más seguras como HikariCP.jar, además de sustituir componentes del producto. Instalarlo debería ser la máxima prioridad de cualquier organización que utilice Web Help Desk en producción.

En segundo lugar, es fundamental eliminar cualquier exposición innecesaria del servicio a Internet. La consola de administración de WHD debería estar restringida a redes internas o, en su defecto, protegida detrás de una VPN corporativa con autenticación multifactor. El acceso directo desde Internet multiplica las probabilidades de explotación, especialmente tratándose de un fallo sin autenticación previa. Adicionalmente, conviene reforzar los controles perimetrales: establecer listas blancas de direcciones IP autorizadas, desplegar un proxy inverso que filtre el tráfico y segmentar la red para que el servidor que aloja WHD quede lo más aislado posible de otros sistemas críticos.

Además del parcheo y la segmentación, la monitorización activa del tráfico y los logs es esencial. Configurar reglas en firewalls, WAF o sistemas IDS/IPS que permitan identificar patrones típicos de deserialización Java ayudará a detectar intentos de explotación.

Finalmente, tras aplicar el parche, es importante validar la efectividad de la corrección. Esto no solo implica confirmar la versión del producto, sino también inspeccionar el directorio WEB-INF/lib para asegurar que los archivos mencionados por SolarWinds (como la ausencia de c3p0.jar y la presencia de HikariCP.jar) están en su lugar. Integrar estas comprobaciones en los procesos habituales de auditoría y threat hunting aportará garantías adicionales de que la organización no sigue siendo vulnerable a CVE-2025-26399.

Más información

• NVD – CVE‑2025‑26399: https://nvd.nist.gov/vuln/detail/CVE-2025-26399
• WHD 12.8.7 hotfix 1 release notes: https://documentation.solarwinds.com/en/success_center/whd/content/release_notes/whd_12-8-7-hotfix-1_release_notes.htm
• SolarWinds Web Help Desk AjaxProxy Deserialization of Untrusted Data Remote Code Execution Vulnerability: https://www.zerodayinitiative.com/advisories/ZDI-25-407/
• CISA Adds One Known Exploited Vulnerability to Catalog: https://www.cisa.gov/news-events/alerts/2024/08/15/cisa-adds-one-known-exploited-vulnerability-catalog
• Deserialization Cheat Sheet: https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html

La entrada SolarWinds Web Help Desk vuelve a recaer con una vulnerabilidad crítica antigua, CVE‑2025‑26399 se publicó primero en Una Al Día.

Microsoft ha corregido una vulnerabilidad crítica en Entra ID—antes Azure Active Directory—que pudo haber permitido la suplantación de cualquier usuario, incluidos Global Administrators, en cualquier tenant. Con CVSS de 10.0, el fallo se considera de máximo impacto y ya ha sido solucionado sin requerir acción por los usuarios.

El pasado julio, Microsoft resolvió una de las vulnerabilidades más severas registradas en Entra ID (antes Azure Active Directory), detectada por el investigador Dirk-jan Mollema y clasificada como CVE-2025-55241. Este fallo permitía a atacantes suplantar cualquier identidad, incluso administradores globales, a través de cualquier tenant. La compañía asegura que no hay indicios de explotación activa y que la remediación es completamente automática.

CVE-2025-55241 surgía de una deficiencia en la validación de tokens de servicio a servicio (S2S) emitidos por el Access Control Service (ACS) y un fallo en la API heredada Azure AD Graph (graph.windows.net). Esta combinación permitía que un token generado en un tenant propio se utilizara en cualquier otro, eludiendo controles de origen y permitiendo acceso transversal entre tenants (cross-tenant). Lo crítico del asunto es que los tokens eran válidos incluso bajo políticas de Conditional Access y la falta de logs en la API dificultaba la detección de abuso.

El riesgo máximo radicaba en que cualquier atacante podía hacerse pasar por un Global Administrator, permitiendo compromiso total del tenant, creación de cuentas, exfiltración de datos o cambios en permisos, e incluso acceso total a recursos en Azure y servicios vinculados (SharePoint, Exchange, etc.). Además, el ataque podía eludir MFA, registros y políticas de acceso, complicando tanto la detección como la respuesta ante incidentes.

Microsoft ha implementado el parche de forma automática desde el 17 de julio de 2025, no requiriendo acción manual por parte de los clientes. Se recomienda eliminar cualquier dependencia de la API Azure AD Graph, migrar aplicaciones a Microsoft Graph y revisar la configuración de permisos delegados. Además, es vital monitorizar aplicaciones externas y fortalecer la revisiones periódicas de roles y accesos privilegiados.

Este incidente subraya los riesgos latentes en APIs heredadas y la importancia de la visibilidad sobre los mecanismos de autenticación y delegación en la nube. Aunque la vulnerabilidad ha sido cerrada sin consecuencias conocidas, es fundamental actualizar desarrollos y controles, migrar a APIs soportadas y monitorizar eventos anómalos para fortalecer la defensa de los entornos cloud.

Más información

• CVE-2025-55241 (NVD):https://nvd.nist.gov/vuln/detail/CVE-2025-55241
• Microsoft Patches Critical Entra ID Flaw Enabling Global Admin Impersonation Across Tenants (The Hacker News): https://thehackernews.com/2025/09/microsoft-patches-critical-entra-id.html

La entrada Microsoft soluciona grave vulnerabilidad en Entra ID que permitía suplantar cualquier identidad se publicó primero en Una Al Día.

Una operación de ciberespionaje atribuida al grupo iraní UNC1549 (también rastreado como “Subtle Snail”) comprometió 34 dispositivos en 11 compañías de telecomunicaciones mediante señuelos de empleo en LinkedIn y un backdoor llamado MINIBIKE. El uso de infraestructura de Azure para el C2 y técnicas de side-loading dificultó la detección y permitió el robo selectivo de credenciales y datos sensibles.

El caso: ingeniería social de “RR. HH.”, side-loading y C2 en la nube

Una investigación publicada el 19 de septiembre de 2025 detalla cómo UNC1549 se hizo pasar por reclutadores de empresas legítimas para contactar a perfiles técnicos (investigadores, desarrolladores y administradores TI) en LinkedIn, validar correos por spear-phishing y culminar con una falsa entrevista vía un dominio señuelo que imitaba a organizaciones del sector aeroespacial. La cadena conducía a la descarga de un ZIP con un ejecutable que disparaba DLL side-loading para activar MINIBIKE, logrando así la ejecución encubierta del backdoor.

El impacto confirmado: 34 dispositivos comprometidos en 11 operadores de telecomunicaciones con presencia en Canadá, Francia, Emiratos Árabes Unidos, Reino Unido y Estados Unidos. Según el reporte, los objetivos no se limitaron a la intrusión; el grupo buscó persistencia a largo plazo y exfiltración de información estratégica, incluyendo configuraciones de VPN y archivos en recursos compartidos.

Herramientas y TTP: MINIBIKE, evasión y robo de credenciales

MINIBIKE es un backdoor modular capaz de enumerar procesos, ejecutar binarios y DLL, subir archivos por partes y mantener comunicación con su C2 a través de Azure (App Services/VPS como proxy) para camuflar el tráfico entre conexiones legítimas a la nube. La persistencia se refuerza con claves de Registro y técnicas anti-análisis (anti-debugging, control-flow flattening, hashing personalizado de API).

Para el robo de credenciales y artefacts de navegadores, los operadores integraron un componente stealer que aprovecha un proyecto público para romper la App-Bound Encryption de Chrome y así descifrar contraseñas almacenadas en Chrome, Brave y Edge. Además, se documentó el interés por credenciales de Microsoft Outlook y la captura de screenshots y portapapeles.

Aunque el eje de la campaña actual son las telecomunicaciones, el historial de UNC1549 muestra actividad continuada desde 2022 contra sectores aeroespacial y defensa en Oriente Medio, con señuelos de empleo y hospedaje de C2 en Azure; su tooling incluye también el backdoor MINIBUS y el tunneler LIGHTRAIL. Ese tradecraft y la infraestructura (más de 125 subdominios C2 en Azure) ya habían sido perfilados por Mandiant/Google en 2024.

Atribución y solapamientos

La campaña es atribuida a un actor de nexo iraní. PRODAFT rastrea el clúster como Subtle Snail y lo vincula al IRGC con evaluación analítica; además, se observan solapamientos con Smoke Sandstorm y Crimson Sandstorm (también conocidos como Tortoiseshell/TA456/Imperial Kitten/Yellow Liderc). La foto sugiere una línea continuista en el uso de ofertas laborales y C2 en nube para espionaje y long-term dwell.

¿Por qué importa para el sector telco (y más allá)?

Las telecos son puntos neurálgicos: ofrecen rutas privilegiadas a metadatos, credenciales de acceso a redes y piezas de infraestructura que, si se comprometen, abren puertas a terceros objetivos. El uso de Azure para C2 y de DLL side-loading reduce señales de alerta tradicionales (listas de bloqueo de dominios “raros”, binarios obviamente maliciosos), lo que aumenta la supervivencia del implante y eleva el listón de detección hacia telemetría de comportamiento y controles de ejecución.

Recomendaciones prácticas

1. Endurecer el endpoint: aplicar WDAC/AppLocker, bloquear DLL search-order hijacking, y monitorear procesos que carguen DLL no firmadas/inesperadas junto a ejecutables legítimos (LOLBins).
2. Filtrado de egress con allow-lists hacia servicios en la nube usados por la organización; inspeccionar patrones anómalos hacia dominios *.azurewebsites.net u hospedajes cloud fuera de perfiles conocidos.
3. Controles de identidad: habilitar MFA resistente a phishing, Conditional Access y protecciones de sesión; rotar credenciales y revocar tokens ante cualquier indicio.
4. Navegadores y secretos: forzar perfiles empresariales, desactivar almacenes de contraseñas locales cuando sea viable y vigilar intentos de desencriptado de vaults del navegador.
5. Concienciación y playbooks: capacitar a personal técnico sobre señuelos de “RR. HH.”, verificar ofertas por canales alternos y definir runbooks de respuesta ante entregables ZIP/instaladores con adjuntos “legítimos”.
6. Hunting: buscar artefactos de MINIBIKE/MINIBUS, claves de Registro de persistencia, cadenas de User-Agent o patrones de DNS asociados; incorporar IOCs/TTPs del advisory de Mandiant y de la cobertura reciente.

Conclusiones

UNC1549 vuelve a demostrar que la nube y la ingeniería social son un binomio eficaz para el espionaje silencioso. Enfrentar estas campañas exige ir más allá del IOC puntual y elevar la visibilidad de comportamiento (carga de DLL, patrones de ejecución y egress cloud), junto con políticas de ejecución que frenen el side-loading. Para las telecos—y cualquier organización con personal técnico muy expuesto en redes profesionales—la combinación de endurecimiento del endpoint, controles de identidad y detección basada en TTPs es hoy la diferencia entre un incidente contenido y meses de acceso persistente.

Más información

• UNC1549 Hacks 34 Devices in 11 Telecom Firms via LinkedIn Job Lures and MINIBIKE Malware — The Hacker News
• When Cats Fly: Suspected Iranian Threat Actor UNC1549 Targets Israeli and Middle East Aerospace and Defense Sectors — Google Cloud
• Iranian State APT Blitzes Telcos & Satellite Companies — Dark Reading

La entrada LinkedIn como anzuelo: 11 empresas de telecom afectadas, 34 dispositivos comprometidos se publicó primero en Una Al Día.

Investigadores han detectado MalTerminal, el ejemplo más antiguo conocido de malware que incorpora capacidades de modelos de lenguaje amplio (LLM), como GPT-4, para crear ransomware y reverse shells bajo demanda. Esta nueva tendencia supone un cambio en las tácticas de los atacantes y plantea retos inéditos para los defensores.

La integración de modelos de lenguaje, como GPT-4, en herramientas maliciosas representa un salto cualitativo en las capacidades de los atacantes. Investigadores de SentinelOne han identificado MalTerminal, el primer malware documentado que utiliza LLM para generar ransomware y reverse shell de forma dinámica. Junto al uso de inteligencia artificial para evadir defensas y potenciar el ciclo de ataque, este hallazgo expone una preocupante evolución en el arsenal de las amenazas digitales.

MalTerminal es un ejecutable para Windows que emplea la API de chat completions de OpenAI (ahora deprecada) para interactuar con GPT-4. El malware solicita al usuario elegir entre generar un payload de ransomware o un reverse shell. Paralelamente, incluye scripts Python que replican estas funciones y una herramienta defensiva (FalconShield) que pide al modelo IA analizar código y producir informes de análisis de malware. A nivel de técnicas evasivas, se describen nuevos métodos de phishing que usan injection prompt en correos HTML para burlar escáneres basados en IA, ocultando instrucciones en atributos de estilo CSS para engañar la evaluación de riesgo de la inteligencia artificial.

El uso de LLM embebidos en malware incrementa la capacidad de adaptación y personalización de los ataques, permitiendo a los adversarios generar código malicioso al vuelo y evadir controles tradicionales de detección. Phishing con prompt injection reduce la efectividad de filtros automáticos, mientras que el abuso de plataformas SaaS de IA potencia campañas de robo de credenciales y entrega de malware. El histórico CVE-2022-30190 (Follina) sigue siendo explotado como parte de estas cadenas, recordando la persistencia de riesgos conocidos.

Es clave actualizar los sistemas Windows con los últimos parches, restringir scripts no autorizados, monitorizar el acceso a APIs de IA y reforzar las protecciones anti-phishing en servidores de correo. La formación sobre la evolución del phishing y el refuerzo de la autenticación ayudan a disminuir la superficie de ataque. Se recomienda emplear análisis avanzados que contemplen la manipulación semántica que pueden ejercer los LLM sobre el contenido digital.

El auge de malware inteligente y phishing potenciado por IA requiere una evolución urgente de las estrategias defensivas. La innovación en amenazas debe ser contrarrestada con educación, actualización y herramientas adaptadas a la nueva era de ataques soportados por LLM. Consultar fuentes oficiales y estar alerta ante técnicas sofisticadas serán hábitos imprescindibles.

Más información

• Researchers Uncover GPT-4-Powered MalTerminal Malware Creating Ransomware, Reverse Shell: 
• CVE-2022-30190

La entrada MalTerminal: el primer malware que integra GPT-4 para crear ransomware y evadir defensas se publicó primero en Una Al Día.

Google ha lanzado una actualización de seguridad urgente para su navegador Chrome después de descubrir un zero-day activo, identificado como CVE-2025-10585, el cual está siendo explotado en ataques reales.

El problema reside en el motor V8 de JavaScript y WebAssembly, y se describe como una vulnerabilidad type confusion. Esto puede llegar a permitir que agentes maliciosos consigan provocar comportamientos inesperados en el software, incluyendo la ejecución de código arbitrario o bloqueos forzados del navegador.

El Trheat Analysis Group de Google reportó dicho hallazgo el 16 de septiembre de 2025, aunque no se han proporcionado detalles específicos sobre la explotación de la misma ni quien podría estar detrás de los ataques. Esta medida se toma con el fin de evitar que los atacantes aprovechen el fallo antes de que los usuarios puedan aplicar las correcciones.

Con este CVE ya son seis vulnerabilidades zero-day de Chrome que se ha identificado su explotación activa durante este año.

Para corregir esta vulnerabilidad, Google insta a los usuarios a actualizar lo antes posible a la versión que aplica las correcciones, la 140.0.7339.185/.186 para Windows y Apple macOS, y 140.0.7339.185 para Linux.

Además, se recomienda a usuarios que usen otro navegadores basados en Chromium (Edge, Brave, Opera y Vivaldi) apliquen parches similares una vez estén disponibles.

El descubrimiento de este CVE, sumado a la rápida respuesta de Google, refleja tanto la gravedad de la amenaza como la importancia de una respuesta ágil. Sin embargo, el resultado final dependerá en gran medida de la respuesta de los usuarios, sobre los que recae la responsabilidad de mantener sus navegadores actualizados.

Más información:
Google Patches Chrome Zero-Day CVE-2025-10585 as Active V8 Exploit Threatens Millions: https://thehackernews.com/2025/09/google-patches-chrome-zero-day-cve-2025.html

Chrome Releases: https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_17.html

La entrada Google corrige un zero-day crítico en Chrome: CVE-2025-10585 se publicó primero en Una Al Día.

Una campaña de cadena de suministro en npm comenzó el 15 de septiembre comprometiendo inicialmente más de 40 paquetes, entre ellos @ctrl/tinycolor, y se expandió en horas hasta afectar a cientos. El malware, apodado “Shai-Hulud”, se autopropaga entre paquetes de los mantenedores comprometidos para robar tokens y secretos de desarrolladores y CI/CD.

La comunidad de seguridad ha alertado de una nueva ola de intrusiones en el registro npm que combina robo de credenciales y autopropagación «tipo gusano» (worm). La investigación comenzó el 15 de septiembre, cuando analistas detectaron versiones comprometidas del popular paquete @ctrl/tinycolor, con más de dos millones de descargas semanales. En cuestión de horas, otros paquetes de distintos mantenedores resultaron afectados y la campaña escaló hasta alcanzar centenares de publicaciones maliciosas, incluyendo bibliotecas de terceros como las asociadas a la cuenta crowdstrike-publisher. La compañía ha indicado que sus paquetes públicos comprometidos no afectan a su producto Falcon y que rotó claves en los registros públicos.

El rasgo diferenciador de «Shai-Hulud» es su capacidad de replicarse: una vez que el entorno de un mantenedor queda infectado y el malware obtiene un token válido de npm, automatiza la creación de nuevas versiones de todos los paquetes que el mantenedor controla.

La cronología conocida apunta a publicaciones maliciosas el 14-15 de septiembre (UTC) y a una expansión rápida el día 16, con listados que ya superan el centenar largo de paquetes afectados y varios cientos de versiones comprometidas. Firmas de investigación independientes han documentado indicadores como el hash del bundle.js, los nombres de ficheros y ramas (shai-hulud) y búsquedas en GitHub que devuelven repositorios «Shai-Hulud» o «*-migration».

Aunque los paquetes iniciales más visibles pertenecen al ecosistema Angular/React y a la comunidad NativeScript, el impacto potencial trasciende tecnologías concretas: cualquier desarrollador o agente de CI que haya instalado las versiones maliciosas durante la ventana de exposición puede haber filtrado secretos. Como agravante, los workflows añadidos persisten en los repositorios y pueden reactivar la exfiltración en ejecuciones futuras, incluso si el host original ya no está comprometido.

Más información

• Self-Replicating Worm Hits 180+ npm Packages to Steal Credentials in Latest Supply Chain Attack: https://thehackernews.com/2025/09/40-npm-packages-compromised-in-supply.html
• Popular Tinycolor npm Package Compromised in Supply Chain Attack Affecting 40+ Packages: https://socket.dev/blog/tinycolor-supply-chain-attack-affects-40-packages
• Ongoing Supply Chain Attack Targets CrowdStrike npm Packages: https://socket.dev/blog/ongoing-supply-chain-attack-targets-crowdstrike-npm-packages
• Self-replicating Shai-hulud worm spreads token-stealing malware on npm: https://www.reversinglabs.com/blog/shai-hulud-worm-npm

La entrada Gusano “Shai-Hulud” compromete cientos de paquetes npm y roba credenciales se publicó primero en Una Al Día.

Chaos Mesh sufre un conjunto de vulnerabilidades críticas que ponen en jaque la seguridad de miles de entornos Kubernetes, exponiendo clústeres a una posible toma de control total mediante exploits simples y accesibles.

Chaos Mesh es una herramienta crucial de pruebas de resiliencia para orquestadores Kubernetes. Investigaciones recientes revelan cuatro vulnerabilidades, denominadas «Chaotic Deputy», en versiones anteriores a 2.7.3 que, de ser explotadas, pueden conceder a un atacante acceso irrestricto al clúster.

El núcleo del problema reside en la exposición del servidor GraphQL no autenticado (en el puerto 10082) desplegado por el Controller Manager de Chaos Mesh. La vulnerabilidad CVE-2025-59358 permite el acceso sin autenticación al endpoint /query, mientras que CVE-2025-59359, CVE-2025-59360 y CVE-2025-59361 facilitan inyección de comandos a través de las mutaciones cleanTcs, killProcesses y cleanIptables, respectivamente. Estos fallos surgen al concatenar entradas de usuario sin filtrado, ejecutándose directamente en pods objetivo gracias al uso privilegiado del Chaos Daemon en modo DaemonSet.

La explotación permite ejecución remota de comandos (RCE), movimiento lateral y escalada de privilegios. Un atacante podría mapear pods y acceder a tokens de servicio privilegiados (ubicados en /proc/<PID>/root/var/run/secrets/kubernetes.io/serviceaccount/token), logrando el control completo del clúster y potencial afectación a todo su entorno.

Se insta a actualizar urgentemente a Chaos Mesh 2.7.3. Como mitigación temporal, se puede deshabilitar el control server usando Helm (set enableCtrlServer=false). Aplique controles RBAC restrictivos, limite la exposición del puerto 10082 y monitorice posibles accesos y movimientos inusuales con kubectl y herramientas SIEM.

Más información

• CVE-2025-59358 : https://nvd.nist.gov/vuln/detail/CVE-2025-59358
• CVE-2025-59359 : https://nvd.nist.gov/vuln/detail/CVE-2025-59359
• CVE-2025-59360 : https://nvd.nist.gov/vuln/detail/CVE-2025-59360
• CVE-2025-59361 :https://nvd.nist.gov/vuln/detail/CVE-2025-59361
• JFrog: Chaotic Deputy – Critical Vulnerabilities in Chaos Mesh Lead to Kubernetes Cluster Takeover: https://jfrog.com/blog/chaotic-deputy-critical-vulnerabilities-in-chaos-mesh-lead-to-kubernetes-cluster-takeover/
• Critical Chaos Mesh Vulnerabilities Let Attackers Takeover Kubernetes Cluster: https://cybersecuritynews.com/chaos-mesh-vulnerabilities/

La entrada Vulnerabilidades críticas en Chaos Mesh permiten la toma total de clústeres Kubernetes se publicó primero en Una Al Día.

Un informe de la empresa surcoreana Genians revela cómo el grupo Kimsuky, vinculado al régimen de Pyongyang, está utilizando herramientas de inteligencia artificial para crear credenciales militares falsas y desarrollar campañas de phishing avanzadas.

En 2025, la inteligencia artificial (IA) ha dejado de ser solo una herramienta para la productividad o la innovación, convirtiéndose también en un arma ofensiva en manos de actores maliciosos. El grupo Kimsuky, conocido por sus operaciones de ciberespionaje y estrechamente vinculado al régimen de Corea del Norte, ha sido identificado como responsable de una nueva ola de ataques en la que la IA ocupa un papel central.

Según la firma de ciberseguridad surcoreana Genians, los atacantes han utilizado plataformas como ChatGPT para generar identificaciones militares falsas de Corea del Sur. Estos documentos deepfake se integraron en campañas de phishing que simulaban la procedencia de fuentes oficiales, aumentando así la credibilidad de los correos maliciosos que distribuían malware.

La IA como herramienta de infiltración

El uso de la inteligencia artificial por parte de Kimsuky no se limita a la generación de documentos falsos. Investigaciones adicionales apuntan a que el grupo recurrió también a otros modelos, como Claude (de Anthropic), para fabricar currículos falsos, construir perfiles digitales convincentes e incluso superar pruebas de codificación en procesos de selección. La finalidad: infiltrarse en compañías extranjeras y acceder a información sensible.

Los expertos advierten de que este tipo de prácticas demuestra la capacidad de los ciberatacantes para sortear filtros de seguridad en herramientas de IA, mediante técnicas de prompt engineering que disfrazan las solicitudes como inofensivas o educativas.

Implicaciones globales

El caso refleja una tendencia preocupante: la consolidación de la IA como multiplicador de amenazas cibernéticas, capaz de automatizar tareas, perfeccionar ataques y escalar campañas a gran velocidad. Para muchos especialistas, esta evolución marca el inicio de una nueva fase en la ciberseguridad, donde la frontera entre ataques humanos y automatizados se difumina.

Más información

• Times of India – ChatGPT misused by North Korean hackers: https://www.businessinsider.com/north-korea-china-hackers-infiltrate-companies-ai-resumes-military-id-2025-9
  
• Business Insider – North Korea hackers infiltrate firms with AI-generated resumes: https://www.businessinsider.com/north-korea-china-hackers-infiltrate-companies-ai-resumes-military-id-2025-9
  
• Infosecurity Magazine – AI-Forged Military IDs Used in North Korean Phishing Attack: https://www.infosecurity-magazine.com/news/ai-military-ids-north-korea/

La entrada Uso de IA en Corea del Norte para falsificar identidades militares y lanzar ataques se publicó primero en Una Al Día.

Se ha identificado una vulnerabilidad de desbordamiento de pila en el servicio FTP de la dashcam Audi UTR 2.0 que puede explotarse antes de autenticarse, provocando una denegación de servicio (DoS) del componente. El fallo ha sido catalogado como CVE-2025-45587. Fue reportado como parte de un análisis más amplio del dispositivo y quedó publicado el 13 de septiembre de 2025.

El fallo reside en la API de comandos de UTR 2.0 y se debe a controles de acceso inadecuados. Un atacante con presencia en la misma LAN/WLAN que la cámara puede autenticarse con credenciales débiles y lanzar comandos remotos expuestos por la propia aplicación de Audi, incluyendo: lectura de datos de usuario, restablecimiento de fábrica y disparo de un proceso de actualización de firmware hacia rutas como /sd/DSM_FW.muf. El escenario ha sido descrito por el investigador que publicó un informe con la enumeración de comandos y una línea temporal de divulgación responsable.

El error aparece al separar y almacenar el comando FTP y sus argumentos: si se envía un parámetro más grande que el tamaño del buffer, se produce un desbordamiento de pila. Aunque esto dificulta el control del flujo de ejecución sí permite bloquear el servicio.

El servicio vulnerable está expuesto en la red Wi-Fi del propio dispositivo; en las pruebas el equipo funcionaba como AP con la IP 192.168.1.1. El informe señala además que el entorno del UTR 2.0 expone varios puertos (entre ellos FTP y web).

El reporte de la vulnerabilidad consta de septiembre de 2024 según la cronología indicada en el informe:

• 1–19 sep 2024: Se reportan 5 vulnerabilidades (incluida ésta).
• 4 sep 2024 – 3 feb 2025: Intercambio con el fabricante.
• 20 feb 2025: Se lanza una versión actualizada del producto; se solicitan detalles de cambios.
• 14–17 mar 2025: Audi comparte una actualización de mejoras y planes.
• 13 jun 2025: Asignación de CVE completada.
• 13 sep 2025: Publicación del CVE. (Cronología completa en pág. 1).

Más información:

• Informe del investigador: https://2barbie.notion.site/2024-Audi-UTR-2-0-Report-1bff0be688c680cb8795efe78732f8b9
• NVD: https://nvd.nist.gov/vuln/detail/CVE-2025-45587

La entrada Denegación de servicio pre-autenticación en el FTP de la dashcam Audi UTR 2.0 se publicó primero en Una Al Día.

En los últimos días han proliferado titulares que presentan esta filtración como “la mayor brecha de la historia”, insinuando incluso que Apple, Google o Facebook han sido comprometidas. 

La cifra impresiona — 30 bases de datos, 1,2 TB de registros y 16 mil millones de combinaciones —, pero el caso es más complejo de lo que parece a simple vista y admite dos lecturas enfrentadas: 

Visión “golpe monumental”

• 16 mil millones de credenciales listas para credential stuffing y phishing.
  
• Cuentas de Big Tech y de 29 gobiernos incluidas.
  
• La publicación de las bases sugiere una compilación deliberada para llamar la atención.
  

Visión “realidad incómoda”

Lo filtrado no es un “hack” único, sino la agregación de logs del malware infostealer (RedLine, Lumma, Raccoon, Vidar…) junto a credenciales antiguas de filtraciones de datos y ataques de credential stuffing. El formato es el clásico URL:usuario:contraseña; muchos registros incorporan cookies y tokens de sesión capaces de saltarse el MFA. 

• No hubo un ataque directo a los servicios: los datos proceden de infostealers instalados en equipos de usuarios finales.
  
• La cifra está inflada; hay duplicados y credenciales ya inválidas. Estudios de SpyCloud sitúan la tasa de repetición por encima del 60 %.
  
• Lo realmente valioso no son las contraseñas en texto claro, sino las cookies activas y los tokens JWT que permiten mantener sesiones activas.

Datos

MétricaValor aproximadoCredenciales totales en la recopilación16 000 MCredenciales fechadas entre 2020-202414 900 MIdentidades únicas añadidas a la base de SpyCloud en 202453,3 M MOrganizaciones víctimas de ransomware tras una infección de infostealer≈ 1 de cada 3

¿Es, entonces, el “robo del siglo”?

Estamos ante un síntoma, no ante un gran atraco puntual. Se trata de la economía industrial de los infostealers: mientras sigan existiendo equipos infectados que generen logs a gran escala y usuarios que reutilicen contraseñas, aparecerán nuevas “megafugas” con cifras impactantes, pero con un trasfondo técnico muy similar.

Recomendaciones 

1. Desinfectar los dispositivos antes de cambiar contraseñas; de lo contrario, el stealer volverá a capturarlas.
   
2. Adoptar MFA robustos (passkeys/FIDO2) y comprobar que el servicio invalida sesiones tras la rotación de credenciales.
   
3. Utilizar gestores de contraseñas para generar claves únicas y detectar duplicados.
   
4. Reducir la vida de las cookies y monitorizar inicios de sesión anómalos (IP, dispositivo, ubicación).
   
5. Establecer alertas de exposición en dominios corporativos mediante servicios de breach monitoring.
   

¿Cuánto tiempo tardarías en detectar que alguien mantiene abierta tu sesión mediante una cookie robada? ¿Y cuántos equipos de tu entorno podrían estar filtrando logs en este momento?

Más información

• BleepingComputer – No, the 16 billion credentials leak is not a new data breach
• Times of India — World’s largest data leak: 16 billion credentials exposed
• KELA — Understanding the Infostealer Epidemic in 2025
• SpyCloud — Annual Identity Exposure Report 2025

La entrada 16 mil millones de credenciales al descubierto: ¿el robo del siglo o un espejismo? se publicó primero en Una Al Día.

Investigación revela que múltiples repositorios muy populares, incluidos los de MITRE y Splunk, emplean configuraciones peligrosas en sus workflows de GitHub Actions, sobre todo al abusar del evento pull_request_target. Esta práctica concede a las pull requests de colaboradores externos acceso a los secretos del repositorio, lo que abre la puerta a ataques de cadena de suministro y robo de credenciales.

¿Cómo se materializa el riesgo?

1. pull_request_target + checkout de código no confiable: el workflow se ejecuta con permisos de la rama principal, pero compila código del fork atacante.
2. Acceso a GITHUB_TOKEN con permisos write: el payload puede modificar el repositorio, subir artefactos infectados o publicar nuevas versiones.
3. Exfiltración de secretos: API keys, credenciales de despliegue y tokens de publicación quedan expuestos mediante simples comandos echo $SECRET | curl ....

Los analistas demostraron la técnica sobre proyectos como MITRE Cyber Analytics Repository y Splunk Security Content, logrando la exfiltración de tokens con privilegios completos en segundos.

Impacto potencial

• Compromiso total del repositorio: modificación de código, releases y documentación.
• Ataques aguas abajo a organizaciones que consumen estos paquetes como dependencias.
• Facturación ilícita en servicios cloud si las claves robadas otorgan acceso a infraestructuras externas.

Recomendaciones

• Migrar al evento pull_request en lugar de pull_request_target para evitar que las pull requests de forks externos tengan acceso a los secretos del repositorio.
• Aplicar el principio de mínimos privilegios al GITHUB_TOKEN, configurando permissions: con solo los ámbitos estrictamente necesarios (por ejemplo, contents: read).
• Bloquear la ejecución de código procedente de forks añadiendo una condición en el workflow (if: github.event.pull_request.head.repo.fork == false) para impedir que Jobs privilegiados se lancen sobre código no confiable.
• Referenciar acciones mediante etiquetas o SHA inmutables —p. ej. actions/checkout@v4.1.2— y firmar las acciones propias para garantizar la integridad de la cadena de suministro.
• Auditar periódicamente los archivos de workflow con herramientas de seguridad de CI/CD como Scorecard, GHA-Guard o Sysdig zizmor, a fin de detectar permisos excesivos, uso de eventos riesgosos y secretos expuestos.

Más información

• CyberSecurityNews – Insecure GitHub Actions in Open Source Projects: MITRE and Splunk Expose Critical Vulnerabilities
• Sysdig TRT – Dangerous by default: Insecure GitHub Actions found in MITRE, Splunk and others
• GitHub Docs – Security hardening for GitHub Actions
  

La entrada Configuraciones inseguras de GitHub Actions ponen en riesgo proyectos open source se publicó primero en Una Al Día.

Investigadores de Qualys TRU han divulgado un combo de escalada local de privilegios que afecta a la mayoría de distribuciones Linux de escritorio y servidor. El ataque combina un error en la configuración de PAM de SUSE/openSUSE (CVE-2025-6018) con otro en libblockdev/udisks (CVE-2025-6019) para pasar de usuario sin privilegios a root. A esto se suma una tercera vulnerabilidad independiente en Linux-PAM (CVE-2025-6020) recién corregida en la versión 1.7.1.

¿En qué consiste el ataque? PasoVulnerabilidadResultado1CVE-2025-6018 — PAM allow_activeUn usuario que inicie sesión por SSH en openSUSE Leap 15 o SUSE Linux Enterprise 15 puede manipular ~/.pam_environment y engañar a polkit para obtener el rol allow_active (como si estuviera físicamente delante del equipo).2CVE-2025-6019 — udisks/libblockdevCualquier allow_active puede ejecutar acciones privilegiadas de udisks (por defecto en la mayoría de distros) y escalar a root.3(Opcional) CVE-2025-6020 — path traversal en pam_namespaceOtra vía para llegar a root en sistemas que usan directorios polinstanciados, solucionada en linux-pam 1.7.1.

Qualys mostró PoC en Ubuntu, Debian, Fedora y openSUSE, acortando la distancia entre un usuario autenticado y el control total del sistema.

Versiones afectadas y parches ComponenteDistribuciones expuestasVersión corregidaPAM allow_activeopenSUSE Leap 15.x, SLE 15 SP4/SP5Parche en repositorios SUSE (pam 1.3.0-155.71 o superior)udisks / libblockdevudisks 2.x instalado por defecto (Ubuntu, Debian, Fedora, Arch, openSUSE…)libblockdev 2.30 / udisks 2.10.2pam_namespaceCualquier distro con Linux-PAM ≤ 1.7.0 y pam_namespace activolinux-pam 1.7.1 Impacto potencial

• Obtención de privilegios de root a partir de cualquier cuenta local o sesión SSH.
• Manipulación de políticas polkit, montaje de dispositivos y cambios en configuraciones de seguridad.
• Uso del sistema comprometido como salto para implantar backdoors o pivotar lateralmente.

Recomendaciones

1. Actualizar a los paquetes que corrigen CVE-2025-6018/6019 y a linux-pam 1.7.1.
2. Mientras tanto, modificar la regla polkit org.freedesktop.udisks2.modify-device a auth_admin y desactivar udisksd si no es necesario.
3. Auditar ~/.pam_environment y limitar la variable user_readenv en /etc/pam.d/common-auth.
4. Revisar logs de polkit, auditd y udisksd en busca de llamadas inesperadas.
5. Aplicar la política de mínimos privilegios y usar MFA en accesos SSH para mitigar ataques locales.

Más información

• The Hacker News – New Linux Flaws Enable Full Root Access via PAM and Udisks Across Major Distributions
• Qualys TRU – Chained LPE: SUSE 15 PAM to Full Root via libblockdev & udisks
• Openwall – CVE-2025-6018 / 6019 advisory
• Linux – PAM 1.7.1 release notes
• BleepingComputer – New udisks flaw lets attackers get root on major Linux distros

La entrada Nuevo encadenamiento de vulnerabilidades en Linux permite salto de usuario a root en segundos se publicó primero en Una Al Día.

Investigadores de Sophos han documentado una campaña en la que el grupo DragonForce comprometió un Managed Service Provider (MSP) aprovechando tres fallos críticos en el software RMM SimpleHelp. Desde la consola secuestrada, los atacantes impulsaron el ransomware a decenas de organizaciones aguas abajo y exfiltraron información para presionar el pago, un claro ejemplo de ataque a la cadena de suministro.

¿Cómo funciona el ataque?

Los criminales encadenan las vulnerabilidades divulgadas en enero de 2025:

CVETipoResultado2024-57727Path traversal («/allversions»)Descarga de archivos de configuración con hashes y secretos.2024-57726Escalada de privilegiosDe técnico con pocos permisos a admin completo.2024-57728Carga arbitraria de ficherosEjecución remota de código en el servidor.

Una vez dentro, los operadores empujan instaladores maliciosos a los endpoints gestionados, realizan reconocimiento (usuarios, red, configuraciones) y despliegan DragonForce con táctica de doble extorsión.

Versiones afectadas y corrección

Todas las instalaciones SimpleHelp ≤ 5.5.7 (Windows, Linux y macOS) son vulnerables. El proveedor publicó la versión 5.5.8 en enero, pero muchos MSP siguen sin aplicar el parche. La CISA añadió CVE-2024-57727 a su catálogo KEV el 13-feb-2025 para forzar la mitigación en sistemas federales.

Impacto potencial

• Compromiso completo del servidor RMM y de todos los clientes gestionados.
• Implantación de ransomware y robo de datos para extorsión múltiple.
• Elevados costes operativos y reputacionales para el MSP y sus clientes finales.

Recomendaciones

1. Actualizar inmediatamente a 5.5.8 o posterior.
2. Restringir el acceso a la consola RMM por IP/VPN y deshabilitar la exposición pública del endpoint /allversions.
3. Revisar logs en busca de descargas sospechosas de serverconfig.xml y de instaladores SimpleHelp no autorizados.
4. Aplicar EDR/XDR en los clientes para detectar ejecución anómala de scripts o binarios con nombres aleatorios de tres letras.
5. Cambiar todas las credenciales de técnicos y aplicar MFA en la administración de SimpleHelp.

Más información

• CyberSecurityNews – Ransomware Actors Exploit Unpatched SimpleHelp RMM to Compromise Billing Software Provider (13 jun 2025) https://cybersecuritynews.com/ransomware-actors-exploit-unpatched-simplehelp-rmm/cybersecuritynews.com
• Sophos – DragonForce actors target SimpleHelp vulnerabilities to attack MSP, customers (27 may 2025) https://news.sophos.com/en-us/2025/05/27/dragonforce-actors-target-simplehelp-vulnerabilities-to-attack-msp-customers/news.sophos.com
• SecurityWeek – DragonForce Ransomware Hackers Exploiting SimpleHelp Vulnerabilities (27 may 2025) https://www.securityweek.com/dragonforce-ransomware-hackers-exploiting-simplehelp-vulnerabilities/

La entrada DragonForce explota SimpleHelp sin parche para implantar ransomware en clientes de un MSP se publicó primero en Una Al Día.