Lista de deseos Búsqueda Cart 0
×

Entradas de blog de ' 2026 ' ' marzo ' Rss

Archivo de blog

Etiquetas de blog populares

Seguridad móvil: el punto ciego en muchas organizaciones

Alertas en ciberseguridad

iOS bajo ataque:

Vulnerabilidades que no requieren clic


iOS bajo ataque: vulnerabilidades activas que no requieren clic

En ciberseguridad, hay un punto de inflexión claro: cuando una vulnerabilidad deja de ser teórica y comienza a ser explotada activamente, el nivel de riesgo cambia por completo. Eso es precisamente lo que está ocurriendo hoy con recientes fallas en dispositivos iOS, identificadas por Apple. Lo que hace especialmente preocupante este escenario no es solo la complejidad técnica de las vulnerabilidades, sino la forma en que están siendo aprovechadas:

Ataques que no requieren interacción directa del usuario, capaces de ejecutarse simplemente al navegar por un sitio comprometido. Este tipo de amenazas marca una evolución importante en el panorama actual, donde los dispositivos móviles tradicionalmente percibidos como más seguros se están convirtiendo en un nuevo vector crítico de entrada para atacantes, tanto en entornos personales como corporativos.

¿Qué está pasando realmente?

Se han identificado múltiples vulnerabilidades críticas principalmente en el motor web (WebKit) y el Kernel que están siendo utilizadas a través de un exploit kit conocido como Coruna.

¿Lo preocupante?

No necesitas hacer clic en nada sospechoso asta con visitar un sitio comprometido para que el ataque se ejecute provocando que las siguientes acciones se realicen:

  • Ejecutar código remoto.
  • Escalar privilegios hasta nivel sistema.
  • Instalar Malware de forma persistente.

De espionaje avanzado a ciberataque común

Lo que antes era exclusivo de actores de alto nivel (APT o espionaje) ahora está migrando hacia el cibercrimen tradicional, Coruna no es un simple exploit:

  • Encadena múltiples vulnerabilidades.
  • Automatiza la infección.
  • Reduce la necesidad de interacción con el usuario.

🛡️ ¿Cómo responder ante este escenario?

El punto débil: dispositivos legacy, El mayor riesgo no está en los equipos más nuevos, sino en aquellos que ya no reciben actualizaciones frecuentes, permanecen en versiones antiguas de IOS y siguen conectados a entornos corporativos. Estos casos abren una brecha crítica dentro de las organizaciones.

Más alla de la actualización: Si bien es claro que actualizar el dispositivo hasta su version mas reciente de firmware es clave, no es suficiente.

Detectar comportamientos: Con la implementacion de un XDR permita correlacionar patrones sospechosos, incluso firmas conocidas, permitiendo de esta manera la centralización de información.

Imagen destacada

Servicio XDR Endpoint Security

Servicio XDR para una computadora o servidor por 12 meses. Nuestro servicio XDR Endpoint Security forma parte de la suite  XDR, recopila telemetría de seguridad de sus puntos finales para identificar e investigar millones de amenazas potenciales que pueden evadir las soluciones tradicionales de protección de puntos finales.

Compra ahora * Suscripcion anual 
Cobra Networs
Comentarios ( d) Detalles

Continuidad en jaque: El impacto de los fallos críticos en Veeam Backup & Replication

Alertas en ciberseguridad

Inmunidad de Datos:

Guía de supervivencia ante las nuevas fallas de Veeam


Cuando el guardián necesita protección

En el mundo de la ciberseguridad, solemos decir que "si tienes un backup, tienes una oportunidad". Pero, ¿qué pasa cuando el atacante no va tras tus datos en vivo, sino directamente tras tu sistema de recuperación?

Veeam ha lanzado una alerta urgente: se han detectado siete vulnerabilidades de alta gravedad en su plataforma Backup & Replication. Con una puntuación de hasta 9.9/10 en la escala de peligrosidad, estos fallos permiten a un atacante tomar el control total de tus servidores de respaldo. Si usas Veeam, el momento de actuar es ahora.

La Amenaza: Una llave maestra para tus backups

Las vulnerabilidades (desde la CVE-2026-21666 hasta la 21708) no son simples errores de software; son puertas abiertas. Lo que las hace especialmente peligrosas es que solo requieren acceso autenticado. ¿Qué significa esto? Que si un atacante obtiene credenciales básicas de un empleado (mediante un simple phishing), puede saltar de una cuenta común a controlar todo el repositorio de copias de seguridad.

¿Por qué este parche es obligatorio?

Veeam es el corazón de la continuidad de negocio para miles de organizaciones. Los grupos de ransomware lo saben: su estrategia actual consiste en cegar a la víctima destruyendo sus respaldos antes de cifrar el resto de la red.

Dado que los detalles técnicos de estos parches ya son públicos, los atacantes están realizando ingeniería inversa en este preciso momento para crear herramientas que exploten los sistemas que aún no se han actualizado. Las instancias sin parchear son ahora el objetivo prioritario.

¿Qué puede hacer un atacante con este acceso?

Ejecución remota de código: Tomar el control total del servidor de backup.

Manipulación silenciosa: Corromper o borrar copias de seguridad para que, cuando intentes restaurar tras un ataque de ransomware, no tengas nada a qué volver.

Escalada de privilegios: Convertir un usuario con permisos limitados en un administrador con control total sobre la base de datos PostgreSQL.

🛡️ Para evitar que tu infraestructura se convierta en la próxima estadística, sigue este plan de acción:

Actualización Inmediata: Si usas V12.x, sube a la versión 12.3.2.4465 o superior:

  • Si usas V13.x, actualiza a la 13.0.1.2067 o superior.
  • No olvides los proxies y repositorios; todo el ecosistema debe estar al día.

Aislamiento de Red: Veeam nunca debe estar expuesto directamente a Internet. Muévelo a redes de administración dedicadas y aplica MFA (Autenticación Multifactor) sin excepciones.

Higiene de Privilegios: Aplica el principio de "privilegio mínimo". Revisa quién tiene roles de Backup Viewer o Admin y reduce el número de administradores locales en Windows.

Inmutabilidad y Pruebas:

  • Asegúrate de tener copias de seguridad inmutables (que no se puedan borrar ni modificar) y realiza pruebas de restauración periódicas. Un backup que no se ha probado no es un backup.


PCCOM
Comentarios ( d) Detalles

Accesos sin credenciales

Alertas en ciberseguridad

FortiCloud SSO en riesgo

Vulnerabilidad crítica CVE-2026-24858


🔍 ¿Qué está pasando exactamente?

La vulnerabilidad CVE-2026-24858 permite a un atacante eludir la autenticación en múltiples productos de Fortinet, incluyendo:

  • FortiGate / FortiOS 
  • FortiManager
  • FortiAnalyzer
  • FortiProxy

El vector de ataque se basa en el uso indebido de FortiCloud SSO. Si esta función está habilitada, un atacante con una cuenta válida de FortiCloud podría autenticarse en dispositivos de otras organizaciones.

👉 Aunque esta opción no viene activada por defecto, puede habilitarse automáticamente durante el registro del dispositivo si no se desactiva manualmente.

¿Por qué esta amenaza es tan crítica? 

Porque rompe uno de los principios más importantes de la seguridad: el control de acceso.

Los atacantes están utilizando FortiCloud SSO como una puerta trasera legítima, lo que les permite:

  • Acceder como administradores sin credenciales internas
  • Evadir mecanismos tradicionales de autenticación
  • Mantener acceso persistente sin ser detectados fácilmente


¿Qué hacen los atacantes una vez dentro?

Los incidentes analizados muestran un patrón claro de ataque:

  • Creación de cuentas de administrador locales (persistencia).
  • Extracción de archivos de configuración completos.
  • Obtención de credenciales (incluso si están cifradas de forma reversible).
  • Movimiento lateral hacia sistemas internos.
  • Escalada rápida dentro de la red corporativa.

En muchos casos, esto permite pasar de un firewall comprometido a una intrusión completa en la red interna en cuestión de tiempo.

Impacto real para las organizaciones

Si esta vulnerabilidad es explotada, el atacante puede obtener:

🔓 Control total del dispositivo perimetral

🔓 Modificación de reglas de seguridad y firewall

🔓 Acceso a credenciales críticas (LDAP / Active Directory)

🔓 Acceso a sistemas internos y datos sensibles

Lo que empieza en el perímetro puede terminar en una brecha total de la organización.

🛡️ ¿Cómo protegerte? (Acciones urgentes)


  • 🔧 1. Actualiza inmediatamente: Aplica los parches de seguridad disponibles para CVE-2026-24858 en todos los dispositivos afectados.
  • 🔒 2. Desactiva FortiCloud SSO (si no es crítico): Desactiva: “Permitir inicio de sesión administrativo mediante FortiCloud SSO”
  • 🌐 3. Limita el acceso administrativo: Solo desde redes internas confiables o VPN seguras.
  • 🔑 4. Cambia credenciales expuestas: Cuentas de servicio LDAP, Active Directory y cualquier credencial almacenada en configuraciones.
  • 🧾 5. Audita tu entorno: Inicios de sesión sospechosos, nuevas cuentas de administrador y exportaciones de configuración no autorizadas. 👉 Restaura configuraciones seguras y elimina accesos no autorizados.
  • 📊 6. Centraliza y conserva logs: Integra con SIEM o syslog, Mantén registros al menos 14 días (ideal: 60–90 días).
PCCOM
Comentarios ( d) Detalles

BlackSanta Malware con implicación en RH

Alertas en ciberseguridad

BlackSanta

Nuevo Malware que se Disfraza de Candidato para Hackear tu Empresa por Recursos Humanos



Cuidado con quién contratas (y qué descargas)

Imagina esto: tu equipo de Recursos Humanos o Reclutamiento recibe un correo electrónico. Parece un candidato ideal para esa vacante que llevas semanas intentando cubrir. El tono es profesional, adjunta su CV y portafolio en un archivo ZIP, e incluso menciona la posición específica. Parece legítimo, ¿verdad?

Pero detrás de ese perfil perfecto se esconde BlackSanta, una nueva y sofisticada campaña de malware que está atacando activamente los flujos de trabajo de RRHH. No es un simple virus; es un ataque diseñado para burlar tus defensas desde dentro, utilizando el engaño y la ingeniería social como puerta de entrada.

¿Cómo funciona BlackSanta? 

BlackSanta no actúa de forma improvisada. Su ataque es multifásico y meticulosamente planeado:

1. Engaño inicial: Los atacantes se hacen pasar por solicitantes de empleo o reclutadores, incluso referenciando puestos vacantes reales para ganar credibilidad. Los correos suelen contener archivos maliciosos como ZIPs, imágenes ISO o documentos presentados como currículos o portafolios.

2. Infiltración sigilosa

Al abrir estos archivos, BlackSanta no despliega su carga útil de inmediato. En su lugar, utiliza accesos directos, scripts o cargadores integrados que abusan de componentes de confianza de Windows (como "mshta.exe, wscript.exe" o "rundll32.exe") para mimetizarse con la actividad normal del sistema y pasar desapercibido por los escaneos iniciales.

3. Escalada de privilegios y supresión de defensas

Una vez ejecutado, el malware comprueba el entorno, identifica el software antivirus o EDR instalado y determina los privilegios del usuario. Si no tiene acceso de administrador, intenta escalarlo mediante técnicas como la suplantación de identidad por token, la elusión del UAC (User Account Control) o la explotación de servicios mal configurados.

Aquí llega su fase más crítica: la eliminación de EDR (Endpoint Detection and Response). BlackSanta utiliza una técnica avanzada conocida como "traiga su propio controlador vulnerable" (BYOVD) o controladores firmados manipulados para obtener acceso a nivel de kernel. Con este poder, finaliza procesos protegidos, deshabilita la monitorización y bloquea la telemetría, dejando tu sistema de seguridad ciego.

4. Persistencia y Cargas Útiles Adicionales

Con las defensas debilitadas, BlackSanta se asegura de permanecer en el sistema creando tareas programadas, claves de ejecución del registro o entradas de servicio que imitan componentes legítimos. El host comprometido se convierte entonces en un punto de partida para instalar payloads adicionales, como programas para robar credenciales, herramientas de acceso remoto (RATs) o marcos de movimiento lateral, permitiendo a los atacantes moverse por la red y exfiltrar datos con un riesgo mínimo de detección.

¿Por qué BlackSanta es Especialmente Peligroso? Esta campaña destaca por su enfoque deliberado en deshabilitar las soluciones EDR al inicio de la cadena de ataque. Este comportamiento, más común en ciberdelincuentes avanzados y con amplios recursos, aumenta significativamente el tiempo de permanencia del atacante en tu red y amplifica el impacto potencial, ya que los sistemas comprometidos pueden permanecer sin ser detectados durante largos períodos.

Recomendaciones Clave para Proteger tu Empresa:

  • Restringir Ejecución: Limita la ejecución de archivos, imágenes ISO y scripts recibidos por correo electrónico, especialmente para los equipos de RRHH.
  • Aislamiento Avanzado: Implementa sistemas avanzados de aislamiento de archivos adjuntos y bloquea tipos de archivos poco comunes utilizados en los señuelos de solicitudes de empleo.
  • Salvaguardias Administrativas: Asegúrate de que las medidas de protección estén activas y controladas mediante sólidas salvaguardias administrativas.
  • Monitoreo de Controladores: Mantente alerta a las cargas de controladores sospechosas o vulnerables y aplica listas de bloqueo siempre que sea posible.
  • Formación Específica: Proporciona formación específica al personal de RRHH sobre phishing basado en currículos e ingeniería social.
  • Búsqueda de Indicadores: Busca indicadores de terminación de EDR, servicios deshabilitados o escalada de privilegios anormal.
  • Limitar Acceso de Administrador Local: Reduce la capacidad del malware de deshabilitar las herramientas de seguridad limitando el acceso de administrador local.
PCCOM
Comentarios ( d) Detalles

Ataque cibernético sacude a fabricante de dispositivos médicos utilizado por hospitales

Pro

Un ciberataque reivindicado por hackers proiraníes provocó una interrupción global de red en la empresa estadounidense Stryker Corporation, uno de los fabricantes más importantes de dispositivos médicos del mundo.

La compañía confirmó que el incidente afectó su entorno de Microsoft, generando preocupación en hospitales y organizaciones de salud debido al posible impacto en sistemas críticos utilizados en la atención de pacientes.

Aunque la empresa aseguró que no hay indicios de ransomware o malware activo, el ataque vuelve a poner en el centro del debate la seguridad de la infraestructura tecnológica del sector salud.

¿Qué ocurrió exactamente?

Según la información disponible, el ataque provocó una interrupción global de red en varios sistemas de la compañía.

Entre los sistemas afectados se encuentra LifeNet, una plataforma utilizada por servicios médicos de emergencia para enviar datos de pacientes y electrocardiogramas desde ambulancias hacia hospitales.

Autoridades del estado de Maryland informaron que el sistema no estaba funcionando en gran parte del estado, obligando temporalmente al personal médico a volver a métodos tradicionales de comunicación por radio.

Un contexto geopolítico delicado

Este ataque podría ser uno de los primeros incidentes cibernéticos relevantes vinculados a actores proiraníes contra infraestructura estadounidense desde el inicio de las tensiones militares recientes entre: (Estados Unidos, Irán, e Israel)

El grupo que se atribuyó el ataque afirmó en redes sociales que la operación fue una represalia por un ataque con misiles contra una escuela en Irán.

Impacto potencial en el sector salud

Aunque todavía se investiga el alcance del incidente, organizaciones del sector sanitario están monitoreando posibles consecuencias, entre ellas: (interrupciones en sistemas de comunicación médica, riesgos en la disponibilidad de dispositivos conectados, dependencia de plataformas digitales en emergencias médicas y decisiones de hospitales sobre desconectar equipos afectados).

La situación ha generado presión para que la empresa comparta más información sobre el incidente.

La nueva realidad de la ciberguerra

El director de alianzas gubernamentales de Sophos, Alex Rose, destacó que las operaciones cibernéticas modernas no requieren grandes recursos. Una computadora portátil, habilidades técnicas y acceso a internet pueden ser suficientes para lanzar ataques capaces de interrumpir servicios críticos.

“El ciberataque provocó una interrupción global de la red en los sistemas de la compañía, afectando incluso plataformas utilizadas por servicios de emergencia...”

— Fuente: CNN

PCCOM
Comentarios ( d) Detalles

El phishing evoluciona: ahora se disfraza de aplicación

Bot-PC

Una campaña de phishing utiliza una página de seguridad de una cuenta de Google falsificada para distribuir una aplicación web progresiva (PWA) maliciosa. La aplicación está diseñada para robar contraseñas de un solo uso, recopilar direcciones de monederos de criptomonedas y convertir los navegadores de las víctimas en servidores proxy para el tráfico de los atacantes.

¿Cuál es la amenaza?

El sitio falso de seguridad de Google forma parte de un esquema de phishing que imita páginas legítimas de verificación de cuentas de Google. Las víctimas son redirigidas a él mediante enlaces que parecen genuinos, a menudo enviados por correo electrónico, anuncios o sitios web comprometidos.

En lugar de presentar un formulario típico de phishing, los atacantes activan la instalación de una PWA directamente en el navegador de la víctima, simulando la interfaz de una aplicación confiable. Sus atributos clave incluyen:

  • Ventanas emergentes engañosas de alerta de seguridad
  • Indicaciones para volver a verificar o iniciar sesión
  • Ventanas que imitan los diálogos nativos del sistema
  • Recopilación de credenciales de usuario en tiempo real

A diferencia de los sitios de phishing estándar, la PWA puede permanecer activa incluso después de cerrar el navegador, lo que dificulta su detección.

¿Por qué es digno de mención?

Esta campaña combina ingeniería social con funcionalidades de PWA para que la página de seguridad falsa de Google parezca legítima. Los atacantes utilizan el dominio "google-prism[.]com" y guían a las víctimas a través de un proceso de cuatro pasos que solicita permisos confidenciales y, finalmente, instala la PWA maliciosa.

Una vez instalada, la aplicación puede extraer contactos, ubicación GPS y datos del portapapeles, además de funcionar como proxy de red y escáner de puertos interno. También aprovecha la API WebOTP para capturar códigos de verificación SMS y utiliza notificaciones push para atraer a las víctimas a la aplicación y continuar robando datos.

Una aplicación de Android relacionada, disfrazada de actualización de seguridad urgente, solicita 33 permisos de alto riesgo, como SMS, registros de llamadas, acceso al micrófono y servicios de accesibilidad. Estos permisos facilitan el robo de datos y posibles fraudes financieros. Los usuarios deben tener cuidado con las solicitudes de seguridad no solicitadas y acceder únicamente a las herramientas de la cuenta de Google directamente en myaccount.google.com.

¿Cuál es la exposición o riesgo?

Esta campaña de phishing expone a las víctimas a riesgos significativos, como el robo total de cuentas y pérdidas financieras. Aunque muchos usuarios confían en la autenticación multifactor (MFA), los atacantes la eluden mediante intercepción en tiempo real: la página falsa solicita a las víctimas sus credenciales y códigos de verificación, que se transmiten inmediatamente a los atacantes. A continuación, inician sesión y capturan tokens de sesión válidos antes de que caduquen. Este enfoque de intermediario (AiTM) permite a los delincuentes autenticarse simultáneamente con la víctima, lo que debilita eficazmente las protecciones de la MFA.

La mayoría de las víctimas informan que no sintieron nada sospechoso, pero hay señales de advertencia sutiles: alertas de seguridad inesperadas, solicitudes para instalar una aplicación web como parte de la “verificación”, páginas de inicio de sesión que no están alojadas en dominios oficiales de Google, ventanas emergentes que se comportan como aplicaciones independientes y URL o redirecciones ligeramente alteradas.

Recomendaciones

  1. No confíe en ventanas emergentes ni correos electrónicos que le soliciten que “verifique” o “asegura” su cuenta.
  2. Escriba manualmente myaccount.google.com o utilice la aplicación de Google; nunca haga clic en los enlaces de seguridad en mensajes o anuncios.
  3. No acepte los mensajes “Instalar aplicación” o “Agregar a la pantalla de inicio” a menos que haya iniciado el proceso en un sitio confiable.
  4. Verifique la configuración del navegador (Chrome/Edge > Aplicaciones/Aplicaciones instaladas) y elimine cualquier PWA desconocida.
  5. Instale aplicaciones de Google o relacionadas con la seguridad únicamente desde Google Play Store y las listas oficiales de desarrolladores.
  6. Utilice una aplicación de autenticación (por ejemplo, Google Authenticator, Authy) en lugar de SMS para reducir el riesgo de abuso de WebOTP.


MFA Icon

Autenticación de Próxima Generación

MFA está completamente integrado con la plataforma TrustLayer, consolidando la seguridad de correo electrónico, web y aplicaciones en la nube. Gestione políticas, visualice datos y genere informes desde un único portal centralizado.

PCCOM
Comentarios ( d) Detalles

PromptSpy ataca a Google Gemini

Bot-PC

Según informó SecurityWeek el 20 de febrero de 2026, PromptSpy es una familia de malware para Android recientemente identificada y desarrollada por cibercriminales. Su principal función es usar Google Gemini en tiempo de ejecución para analizar el contenido en pantalla y ayudar al malware a permanecer instalado y activo en los dispositivos infectados.

¿Cuál es la amenaza?

PromptSpy es una cepa de malware para Android que se distribuye a través de aplicaciones maliciosas (APK). Su comportamiento característico es usar Google Gemini en tiempo real para interpretar los elementos en pantalla. Esto le permite decidir cómo reaccionar cuando los usuarios abren la configuración de seguridad, las páginas de administración de aplicaciones o los diálogos de eliminación, lo que dificulta considerablemente su desinstalación.

El malware observa la interfaz de usuario, llama a Gemini para interpretarla y modifica su comportamiento para mantener los permisos y servicios en funcionamiento. Esta toma de decisiones basada en IA le otorga a PromptSpy una ventaja sobre el malware que depende de suposiciones fijas de la interfaz de usuario.

¿Por qué es digno de mención?

Primer ejemplo de malware móvil asistido por IA

PromptSpy es una de las primeras familias de malware para Android observadas públicamente que integra un sistema de IA generativa durante la ejecución, no solo durante el desarrollo. Esto demuestra cómo los atacantes están evolucionando, pasando de usar IA para escribir código a usarla como componente activo del comportamiento del malware.

Persistencia adaptativa a través de la comprensión de la interfaz de usuario

Al delegar la interpretación de la interfaz de usuario a Gemini, PromptSpy evita las reglas frágiles vinculadas a la ubicación de botones, versiones o idiomas específicos. Esto le proporciona una mayor persistencia en compilaciones de Android, máscaras OEM e interfaces localizadas.

Más difícil de detectar utilizando heurísticas tradicionales

Los comportamientos guiados por IA pueden variar según el contexto, dificultando su detección mediante firmas estáticas o patrones predecibles.

Una señal de las futuras tendencias del malware

PromptSpy demuestra que los adversarios pueden integrar plataformas comerciales de IA directamente en el malware, ampliando las capacidades de evasión y persistencia.

¿Cuál es la exposición o riesgo?

Una vez instalado, PromptSpy presenta varios riesgos:

  • Acceso no autorizado a largo plazo: persistencia impulsada por IA que permite control sostenido.
  • Privacidad y exposición de datos: acceso a mensajes, correos y aplicaciones sensibles.
  • Interacción remota del dispositivo: control interactivo en tiempo real.
  • Abuso secundario: uso en fraudes, botnets o evasión de MFA.

Para las empresas que gestionan dispositivos Android corporativos o BYOD, PromptSpy puede provocar fugas de datos, acceso oculto y permanencia prolongada cuando la visibilidad de MDM/EDR es limitada.

Recomendaciones

  1. Limitar instalaciones a tiendas confiables y bloquear APK externas cuando sea posible.
  2. Auditar aplicaciones con permisos de alto riesgo.
  3. Utilizar soluciones móviles antivirus/EDR integradas al SOC.
  4. Mantener actualizados Android y aplicaciones críticas.
  5. Capacitar a usuarios y definir protocolos claros ante incidentes.
  6. Incorporar modelos de amenazas basados en IA y monitorear tráfico sospechoso.
PCCOM
Comentarios ( d) Detalles

Vulnerabilidades de VMware Aria Operations

Bot-PC

Vulnerabilidades de VMware Aria Operations

El 24 de febrero de 2026, Broadcom publicó un aviso de seguridad crítico que aborda tres vulnerabilidades distintas en VMware Aria Operations. Estas fallas, que abarcan desde la inyección de comandos hasta la escalada de privilegios, pueden comprometer la confidencialidad, la integridad y el control administrativo de los sistemas afectados. Se requiere la aplicación inmediata de parches para evitar una vulneración generalizada de la infraestructura

¿Cúal es la amenaza?

Se han identificado tres vulnerabilidades en VMware Aria Operations:

Imagen ilustrativa

CVE-2026-22720

Scripting entre sitios almacenado (CVSS 8.0): La aplicación permite almacenar datos proporcionados por el usuario y mostrarlos posteriormente sin validación ni codificación adecuadas. Un atacante puede incrustar una carga útil de JavaScript malicioso que se ejecuta cuando un administrador con privilegios elevados accede a la página afectada. Esto puede provocar el secuestro de sesión, lo que permite al atacante robar cookies administrativas y suplantar la identidad de un superusuario.

 CVE‑2026-22720 JavaScript

Imagen ilustrativa

CVE-2026-22719

Inyección de comandos (CVSS 8.1): Una falla en el procesamiento de las entradas administrativas por parte de la interfaz de administración. No depura correctamente los meta-caracteres del shell antes de ejecutar comandos a nivel de sistema. Un atacante autenticado con acceso de red a la configuración de Aria Operations puede inyectar cadenas maliciosas en parámetros de configuración específicos, lo que provoca la ejecución remota de código (RCE).

 CVE‑2026-22719 (RCE)

Imagen ilustrativa

CVE-2026-22721

Escalada de privilegios (CVSS 6.2): Una vulnerabilidad local derivada de la gestión incorrecta de archivos. Un atacante con acceso al dispositivo puede explotar esta vulnerabilidad para elevar sus privilegios de usuario estándar a root, lo que le otorga control total sobre el sistema operativo subyacente y elude la telemetría de seguridad interna.

 CVE‑2026-22721 Vulnerabilidad local

Componentes afectados

  • VMware Aria Operations (todas las versiones 8.x anteriores a 8.18.6)
  • Paquetes de VMware Cloud Foundation Operations y Aria (versiones anteriores a 9.0.2.0)
  • Variantes de VMware Telco Cloud Platform y Telco Cloud Infrastructure que ejecutan versiones de Aria Operations anteriores a las versiones corregidas


¿Por qué es digno de mención?

No se ha informado públicamente de ninguna explotación generalizada, pero Aria Operations suele ejecutarse con privilegios de sistema de alto nivel. Un ataque exitoso podría permitir la ejecución de código arbitrario, la instalación de puertas traseras persistentes o el desplazamiento lateral a través del entorno virtualizado.

¿Cuál es la exposición o riesgo?

Aria Operations es un componente fundamental del plano de gestión. Su vulnerabilidad proporciona a los atacantes una vía de acceso a la pila más amplia de VMware Cloud Foundation. En entornos de nube de telecomunicaciones, estas vulnerabilidades podrían interrumpir los servicios principales de 5G o interferir con las configuraciones de segmentación de red. Los atacantes también podrían alterar las métricas de rendimiento para ocultar otras actividades maliciosas o extraer metadatos de configuración confidenciales.

Recomendaciones

  • VMware Aria Operations: Actualice a 8.18.6 o posterior.
  • VMware Cloud Foundation: actualice a 9.0.2.0 o posterior.
  • Plataforma/infraestructura en nube de telecomunicaciones: aplique los parches correspondientes como se describe en KB428241.
  • Asegúrese de que Aria Operations esté aislado en una red de administración restringida y no esté expuesto a Internet público.
Cobra Networks
Comentarios ( d) Detalles

Alerta Crítica: CVE-2025-40538 Permite Ejecución de Código como Root en SolarWinds Serv-U

Bot-PC

Análisis Técnico de CVE-2025-40538 en SolarWinds Serv-U

CVE‑2025‑40538 es una vulnerabilidad crítica de control de acceso en SolarWinds Serv‑U, un servidor de transferencia de archivos administrada (MFT) y FTP/SFTP/FTPS/HTTP(S) autoalojado, utilizado para el intercambio seguro de archivos.

¿Cúal es la amenaza?

CVE‑2025‑40538 es una vulnerabilidad crítica de control de acceso en SolarWinds Serv‑U que permite a un atacante con privilegios de administrador de dominio o de grupo crear una cuenta de administrador del sistema Serv‑U y ejecutar código arbitrario como usuario con privilegios (root/admin). SolarWinds califica el problema con una calificación de 9.1 (crítico) dado que su explotación requiere privilegios administrativos de alto nivel. Los ataques viables son más probables en escenarios que involucran el robo de credenciales o la escalada de privilegios encadenada.

Imagen ilustrativa

SolarWinds

Es una plataforma integral diseñada para la administración, monitoreo y observabilidad de infraestructuras de TI, redes, bases de datos y aplicaciones en entornos híbridos o de nube.

 CVE‑2025‑40538 vulnerabilidad en progreso


¿Por qué es digno de mención?

Esta vulnerabilidad es notable porque permite a un atacante con privilegios de administrador de dominio o de grupo obtener el control total del servidor Serv‑U. Dado que Serv‑U suele almacenar o facilitar el acceso a datos confidenciales de empresas y clientes, una vulnerabilidad puede tener un impacto considerable.

Si bien el requisito de privilegios administrativos limita la explotación oportunista, la vulnerabilidad aumenta significativamente el riesgo en los casos en que los atacantes ya poseen credenciales de administrador robadas o pueden elevar el acceso como parte de una intrusión más amplia.

¿Cuál es la exposición o riesgo?

El principal riesgo de CVE-2025-40538 es la ejecución de código privilegiado y la toma de control administrativo total del servidor Serv-U. Un atacante con privilegios de administrador de dominio o de grupo puede explotar el control de acceso vulnerado para:

  • Crear un nuevo usuario administrador del sistema Serv‑U
  • Ejecutar código arbitrario como root/admin
  • Controle completamente el host Serv‑U y sus servicios asociados


Un servidor Serv-U comprometido podría utilizarse para el acceso no autorizado a archivos transferidos o almacenados, la recolección de credenciales, la persistencia mediante nuevas cuentas de administrador y el acceso lateral a otros sistemas. Esto es especialmente cierto en entornos donde Serv-U se integra con flujos de trabajo de identidad y transferencia de archivos empresariales.

Si bien la explotación requiere privilegios administrativos, esto aún representa un riesgo significativo para las organizaciones donde las credenciales privilegiadas pueden quedar expuestas o donde los atacantes pueden escalar privilegios durante una intrusión de múltiples etapas.

  1. Recomendaciones

      1. Actualice SolarWinds Serv‑U a la versión 15.5.4, la versión que aborda CVE‑2025‑40538 y soluciona el problema de control de acceso dañado.
      2. Restrinja el acceso de administración a Serv-U a redes exclusivas para administradores (VPN/IP permitidas) y asegúrese de que no se administre desde estaciones de trabajo de usuarios estándar. Reduzca el número de usuarios con privilegios de administrador de dominio o de grupo y aplique la MFA para todos los accesos con privilegios.
      3. Auditar la membresía del administrador del dominio/administrador del grupo, aplicar los principios de privilegio mínimo y monitorear el uso de cuentas privilegiadas en o contra el servidor Serv-U.
      4. Conserve y revise los registros de Serv‑U y del sistema operativo para detectar indicadores de explotación. En particular, la creación inesperada de cuentas de administrador del sistema Serv‑U o la ejecución imprevista de código privilegiado. Si se detecta actividad sospechosa, aísle el servidor, restablezca las credenciales afectadas y evalúe si hay acceso no autorizado a los archivos transferidos o almacenados.
      5. Inventariar todas las implementaciones de Serv-U e identificar las instancias expuestas a internet. Implementar la segmentación de red para aislar los servidores Serv-U del entorno general. Colóquelos detrás de firewalls, restrinja el acceso entrante y limite la conectividad solo a los sistemas requeridos.
Cobra Networks
Comentarios ( d) Detalles
Picture of Soporte

Soporte

Con personal certificado por las marcas
Picture of Atención personalizada

Atención personalizada

Proyectos llave en mano, diseñamos, implementamos y capacitamos al personal a cargo
Picture of Atención en LATAM

Atención en LATAM

Venta y atención en todo LATAM
Picture of Servicios administrados

Servicios administrados

Te ofrecemos nuestras soluciones como servicio administrado, las enviamos a tus clientes configuradas y listas para usarse.
Contact Us

Prolongación división del norte 4318 PB Col. Nueva oriental Coapa, Tlalpan, CDMX CP 14300, México

 
Phone : +52(55) 5599-0670
Powered by nopCommerce
Supported cards
Copyright © 2026 PC-Com Mayorista de Ciberseguridad. Todos los derechos reservados.