Incidente de ransomware compromete más de 60 hosts VMware ESXi mediante credenciales VPN robadas
El grupo de ransomware BlackSuit, identificado también como Ignoble Scorpius, llevó a cabo un ataque devastador contra un fabricante importante, comprometiendo más de 60 hosts VMware ESXi. El incidente comenzó con la obtención de credenciales VPN mediante vishing, seguido de movimientos laterales y extracción masiva de datos, culminando con cifrado automatizado de máquinas virtuales que amenazó con pérdidas millonarias. El ataque destaca la sofisticación creciente de estos actores y la necesidad crítica de defensas en múltiples capas. Productos afectados Fabricante Producto Componente VMware VMware ESXi Hosts virtualizados afectados por ransomware BlackSuit Cisco Cisco ASA Firewalls desactualizados reemplazados por modelos de…
Explotación de vulnerabilidad crítica SNMP en switches Cisco
Se ha detectado la campaña “Operation Zero Disco”, en la que actores maliciosos explotan activamente una vulnerabilidad crítica en el protocolo SNMP de switches Cisco, específicamente CVE-2025-20352, para ejecutar código remotamente e instalar rootkits Linux persistentes. Esta falla afecta fundamentalmente a dispositivos antiguos sin las protecciones modernas, permitiendo acceso no autorizado persistente y controles avanzados sobre la red, dificultando la detección. CVE y severidad CVE Severidad Impacto Componentes afectados CVE-2025-20352 Crítica Ejecución remota de código y acceso persistente no autorizado SNMP en Cisco IOS XE Software CVE-2017-3881 (modificado) Alta Operaciones de lectura/escritura de memoria; post-explotación Telnet modificado en dispositivos Cisco…
Vulnerabilidad de tipo Use-After-Free en Google Chrome permite ejecución remota de código
Google lanzó una actualización urgente para su navegador Chrome que corrige una vulnerabilidad de tipo use-after-free de alta severidad, permitiendo a atacantes ejecutar código arbitrario remotamente. El fallo afecta la función Safe Browsing y se puede explotar sin interacción del usuario mediante la visita a una página web maliciosa. La corrección está disponible en la versión 141.0.7390.107 para Linux, y 141.0.7390.107/.108 para Windows y macOS. CVE y severidad CVE Severidad Componente afectado Explotación conocida CVE-2025-11756 Alta Safe Browsing de Chrome No reportada a gran escala Productos afectados Fabricante Producto Versiones afectadas Plataformas/OS Google Chrome Hasta antes de 141.0.7390.107/.108 Linux, Windows,…
Framework — Vulnerabilidades en UEFI Shells permiten evadir Secure Boot
Investigadores de Eclypsium descubrieron vulnerabilidades en shells UEFI firmados que permiten a atacantes evadir las protecciones de Secure Boot en más de 200,000 laptops y desktops Framework. Estas fallas permiten modificar componentes críticos durante el arranque, posibilitando la persistencia de malware indetectable a nivel de firmware. El riesgo surge de comandos legítimos pero peligrosos incluidos en herramientas firmadas por Microsoft y utilizadas para diagnóstico. CVE y severidad CVE-2022-34302: Vulnerabilidad relacionada con UEFI Shells, con reportes previos de explotación. CVE-2024-7344: Vulnerabilidad reciente que afecta la cadena de confianza de Secure Boot en Framework. Productos afectados Fabricante Producto Versiones afectadas Estado parche…
Campaña de phishing sofisticada imita portales de OpenAI y Sora para robar credenciales
Recientemente se ha identificado una campaña de phishing avanzada que imita los portales de inicio de sesión de OpenAI y Sora con el objetivo de robar credenciales corporativas y personales. Los atacantes envían correos electrónicos falsos que redirigen a páginas fraudulentas idénticas a los sitios originales, incluyendo certificados SSL válidos. Tras la entrega de credenciales, un código JavaScript ofuscado se ejecuta para exfiltrar datos a servidores de comando y control, mientras redirige a los usuarios a los sitios legítimos para evadir detección. Productos afectados Producto Componente OpenAI Portal de autenticación web Sora Portal de autenticación web Solución Implementar autenticación multifactor…
PolarEdge: puerta trasera avanzada con comunicación TLS personalizada para dispositivos IoT
Se ha detectado una puerta trasera sofisticada denominada PolarEdge que afecta dispositivos de Internet de las Cosas (IoT), empleando un servidor TLS personalizado y un protocolo binario propio para comunicación con sus servidores de comando y control. Este malware aprovecha la vulnerabilidad CVE-2023-20118 en routers Cisco para ejecutar código remotamente, instalando web shells y posteriormente desplegando su carga maliciosa mediante scripting FTP. PolarEdge destaca por su persistencia y versatilidad, afectando también dispositivos de marcas como Asus, QNAP y Synology. CVE y severidad CVE Descripción CVE-2023-20118 Vulnerabilidad que permite ejecución remota de código en routers Cisco. Productos afectados Fabricante Producto Componente…
Fortinet — vulnerabilidad crítica en FortiPAM y FortiSwitch Manager
Fortinet ha emitido un aviso urgente que revela una vulnerabilidad crítica en FortiPAM y FortiSwitch Manager que permite a atacantes eludir la autenticación mediante ataques de fuerza bruta. La falla, identificada como CVE-2025-49201, afecta los mecanismos de autenticación en los componentes Web Application Delivery (WAD) y GUI, con un puntaje CVSS v3.1 de 7.4 (alta severidad). Esto podría permitir la ejecución remota no autorizada de código o inyección de comandos. CVE y severidad Productos afectados Fabricante Producto Versiones afectadas Versión sin afectación Fortinet FortiPAM 1.5.0; 1.4.0 – 1.4.2; todas las versiones 1.3, 1.2, 1.1 y 1.0 1.6, 1.7 Fortinet FortiSwitch…
Actualización de Patch Tuesday de Microsoft – Octubre 2025
Microsoft publicó actualizaciones que corrigen 172 vulnerabilidades, incluidas seis 0-days (tres explotadas activamente). Este ciclo coincide con el fin del soporte de Windows 10: el KB5066791 es la última actualización gratuita para Windows 10; a partir de hoy, solo habrá ESU (1 año para consumidores; hasta 3 años para empresas). Priorizar el despliegue en estaciones Windows y servidores con roles de SMB/SQL, equipos con TPM 2.0, componentes RACMan, y la retirada del driver Agere Fax Modem (impacto operativo). 0-days destacados (parcheados hoy) Categorías de las vulnerabilidades abordadas Productos afectados (principal foco de riesgo) Familia Impacto resumido Acción recomendada Windows 10/11…
Fallo crítico en plugin para WordPress permite a atacantes tomar control total del sitio
El plugin Service Finder Bookings, utilizado comúnmente en sitios WordPress para gestionar listados de servicios y perfiles de usuarios, ha sido identificado con una vulnerabilidad crítica que permite eludir la autenticación y acceder como cualquier usuario, incluyendo administradores. Esta falla reside en la función de «switch back», que fue implementada sin controles de validación adecuados. A continuación, se detalla la vulnerabilidad que está siendo aprovechada por los atacantes: CVE‑2025‑5947 (CVSS 9.8): Esta vulnerabilidad crítica permite a atacantes no autenticados explotar una función mal implementada dentro del plugin para iniciar sesión como cualquier usuario del sitio, sin requerir credenciales válidas. El…
Actualización de Google Chrome soluciona varias fallas críticas de seguridad
Google ha publicado una actualización crítica para su navegador Chrome, dirigida a corregir tres vulnerabilidades que afectan a componentes clave del navegador. Dos de estas fallas han sido clasificadas como de alta severidad, ya que podrían permitir la ejecución remota de código mediante la explotación de errores de memoria. Estas vulnerabilidades afectan a las versiones anteriores a 141.0.7390.65/.66 de Chrome en Windows, macOS y Linux. Debido al riesgo de que usuarios accedan a sitios web maliciosos especialmente diseñados para explotar estas fallas, se recomienda aplicar la actualización de forma inmediata en todos los sistemas. Vulnerabilidades identificadas: Productos afectados: Los siguientes…