Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 11-17 enero
Microsoft parchea más de 150 vulnerabilidades, incluyendo tres 0-day explotadas activamente
En el contexto del Patch Tuesday de enero, Microsoft ha publicado nuevas actualizaciones que parchean 159 vulnerabilidades, de las cuales 12 serían críticas, 8 serían consideradas 0-day y 3 de ellas habrían sido explotadas activamente en ataques.
En concreto, CVE-2025-21333 (CVSSv3 7.8 según Microsoft), CVE-2025-21334 (CVSSv3 7.8 según Microsoft) y CVE-2025-21335 (CVSSv3 7.8 según Microsoft) serían los tres fallos de elevación de privilegios empleados en ataques y afectarían a la integración del kernel de Windows Hyper-V NT VSP.
Microsoft no ha ofrecido más detalles acerca de la explotación de las tres 0-day. Asimismo, en este Patch Tuesday se habrían parcheado diversos fallos de elusión de funciones de seguridad, RCE, divulgación de información, DoS y spoofing.
Por otro lado, Citrix ha lanzado un nuevo boletín de seguridad en el que informa de que algunas de las nuevas actualizaciones de Windows pueden fallar si Citrix Session Recording Agent (SRA) versión 2411 está instalado en el dispositivo, por lo que han ofrecido una mitigación temporal mientras resuelven el problema.
SAP aborda vulnerabilidades críticas en NetWeaver y otras plataformas en su Patch Day de enero
SAP ha publicado 14 notas de seguridad en su Patch Day de enero 2025, destacando dos vulnerabilidades críticas en NetWeaver AS para ABAP y ABAP Platform (CVE-2025-0070 y CVE-2025-0066), ambas con una puntuación CVSSv3 de 9.9 según fabricante.
CVE-2025-0070 describe un fallo de autenticación incorrecta que permite el robo de credenciales mediante comunicación RFC interna, comprometiendo confidencialidad, integridad y disponibilidad. Mientras que CVE-2025-0066 expone credenciales descifradas en texto plano, facilitando ataques.
También corrigieron una vulnerabilidad de inyección SQL de alta gravedad en NetWeaver, CVE-2025-0063 CVSSv3 8.8 según SAP, que podría permitir el acceso a la base de datos Informix. Además, se solucionaron fallos graves en BusinessObjects y un problema de secuestro de DLL en SAPSetup.
El resto de las correcciones abarcan vulnerabilidades medias y bajas en Business Workflow, NetWeaver y otras plataformas. Aunque no hay evidencia de explotación activa, SAP insta a aplicar los parches rápidamente.
Filtrados los datos de más de 15 000 dispositivos FortiGate en la dark web
Un nuevo grupo de actores malicioso, llamado Grupo Belsen, filtró en la dark web información sensible de más de 15 000 dispositivos FortiGate, incluyendo archivos de configuración, direcciones IP y credenciales VPN.
Esta filtración, de 1.6 GB, está organizada por países y expone detalles como contraseñas (algunas en texto plano), claves privadas y reglas de cortafuegos. El grupo, que apareció este mes, utilizó esta fuga como su primera operación oficial para promocionarse, liberando los datos en un popular sitio web de Tor.
Según el investigador Kevin Beaumont, los datos filtrados están vinculados a la explotación del 0-day CVE-2022-40684, CVSSv3 9.8, documentada en ataques de 2022 antes de que se publicara una solución. Beaumont verificó que las contraseñas y configuraciones coinciden con dispositivos comprometidos, y señaló que los datos se recopilaron en octubre de 2022.
La mayoría de los dispositivos afectados ejecutaban firmware FortiOS entre las versiones 7.0.0 y 7.2.2, aunque esta última corrigió el fallo. Sin embargo, no se explica cómo fueron vulnerados dispositivos con versiones parcheadas. Pese al tiempo transcurrido, la filtración sigue exponiendo información crítica sobre las defensas de las redes afectadas.
FBI fuerza al malware PlugX a usar el comando de autoeliminación
El Departamento de Justicia de EE.UU. y el FBI han anunciado una operación internacional que ha eliminado el malware PlugX, vinculado a China, de 4258 dispositivos infectados en Estados Unidos. La operación fue llevada a cabo en colaboración con socios internacionales, incluyendo la policía francesa y la empresa de ciberseguridad Sekoia.
La operación se completó gracias a que se descubrió que PlugX incluye un comando nativo de autoeliminación y se pudo ejecutar desde el servidor C2. PlugX, desarrollado por el actor de amenazas Mustang Panda, fue utilizado para infiltrarse, controlar y robar información de víctimas que varían desde gobiernos europeos o asiáticos, además de los sistemas gubernamentales estadounidenses citados previamente, a empresas navieras europeas.
Ataques de ransomware a través de buckets AWS
Investigadores de Halcyon RISE Team han advertido de que un actor de amenazas llamado Codefinger ha encontrado una manera de usar una característica de Amazon Web Services (AWS) para cifrar datos en los buckets S3 de sus víctimas. AWS ofrece una opción de cifrado llamada “Server-Side Encryption with Customer Provided Keys (SSE-C)”, que permite a los clientes usar sus propias claves de cifrado para proteger sus datos.
Sin embargo, Codefinger ha aprovechado esta característica para cifrar los datos de las víctimas y luego exigir un rescate para proporcionar la clave de descifrado. Los atacantes obtienen las credenciales de AWS de las víctimas, generalmente a través de redes comprometidas o ataques de phishing, y las usan para acceder a los buckets S3 y aplican el cifrado con una clave AES-256 que ellos mismos generan y almacenan localmente.
Los atacantes marcan los archivos para ser eliminados en siete días, creando presión para que las víctimas paguen el rescate.
