Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Deporte
Ciudades Inteligentes
Boletín Semanal de Ciberseguridad, 11-17 octubre
F5 emite parches tras filtración de vulnerabilidades en BIG-IP
La empresa F5 Networks ha publicado actualizaciones de seguridad para mitigar 44 vulnerabilidades en sus productos BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ y APM, incluidas fallas cuyo código fuente fue sustraído en una intrusión detectada el 9 de agosto de 2025.
El incidente, atribuido a actores estatales, permitió el robo de información sobre vulnerabilidades no divulgadas, aunque F5 no ha identificado explotación activa ni compromiso de su cadena de suministro. Las actualizaciones de octubre de 2025 corrigen los impactos derivados del ataque y fortalecen la seguridad de sus entornos.
La compañía recomienda a los administradores habilitar la transmisión de eventos a sistemas SIEM, configurar servidores syslog remotos y monitorear intentos de autenticación y cambios de privilegios.
Paralelamente, CISA emitió la directiva de emergencia ED 26-01, que obliga a las agencias federales estadounidenses a aplicar los parches antes del 22 de octubre y retirar dispositivos F5 fuera de soporte, debido al riesgo de robo de credenciales, movimiento lateral y persistencia en redes comprometidas.
Operation Zero Disco explota vulnerabilidad SNMP en dispositivos Cisco
Trend Research ha identificado la operación “Zero Disco”, una campaña activa que explota la vulnerabilidad CVE-2025-20352 (CVSSv3 7.5 según proveedor) en el protocolo SNMP de Cisco para ejecutar código remoto e instalar rootkits en dispositivos 9400, 9300 y 3750G.
El ataque permite el acceso persistente mediante la creación de una contraseña universal y la inserción de hooks en el espacio de memoria IOSd, dificultando la detección y el análisis forense. Los actores emplean direcciones IP y correos falsificados, además de modificar un exploit Telnet derivado de CVE-2017-3881 (CVSSv3 9.8) para habilitar lectura y escritura en memoria.
Los rootkits implantados actúan como listeners UDP y pueden manipular registros, autenticaciones AAA y configuraciones de red. Los equipos más recientes con ASLR muestran mayor resistencia, aunque vulnerables tras intentos repetidos.
Trend Micro ha confirmado detecciones en su telemetría y provee reglas específicas para mitigar esta amenaza, recomendando la revisión forense de firmware ante sospechas de compromiso.
Microsoft parchea 172 vulnerabilidades, incluyendo 6 fallos 'Zero-day'
El Patch Tuesday de octubre de 2025 de Microsoft abordó un total de 172 fallos de seguridad, incluyendo seis vulnerabilidades Zero-day que estaban siendo explotadas activamente.
- Las fallas explotadas incluyen: CVE-2025-24990 y CVE-2025-24052, fallos de Elevación de Privilegios (EoP) en el controlador de módem Agere de Windows, que permiten obtener privilegios administrativos o de SYSTEM; y CVE-2025-59230, otra EoP en el Windows Remote Access Connection Manager.
- Los Zero-day son: CVE-2025-47827, un bypass de Secure Boot en IGEL OS antes de la versión 11 que permite montar un root filesystem modificado desde una imagen no verificada; CVE-2025-0033 (AMD), una condición de carrera crítica durante la inicialización de Reverse Map Table (RMP) en procesadores AMD EPYC con SEV-SNP que podría impactar la integridad de la memoria host de SEV-SNP; y CVE-2025-2884, una lectura fuera de límites en la implementación de referencia del TCG TPM 2.0 que puede causar divulgación de información o DoS del TPM.
Todos los fallos han sido mitigados mediante las actualizaciones correspondientes.
Más de 100 cuentas de SonicWall SSL-VPN comprometidas en campaña a gran escala
Investigadores de Huntress han alertado sobre una campaña de ataques generalizada que compromete cuentas SonicWall SSL-VPN mediante la técnica de explotación de inicios de sesión válidos o credential hijacking.
Este método funciona aprovechando credenciales robadas y válidas para autenticarse de forma rápida y a gran escala (no por fuerza bruta), resultando en el compromiso de más de 100 cuentas en 16 entornos de clientes.
Una vez dentro, los actores de amenazas, cuya identidad no se especifica pero que operan desde la dirección IP 202.155.8[.]73, ejecutan tareas de reconocimiento y buscan realizar movimiento lateral intentando acceder a cuentas locales de Windows, con el potencial impacto de un compromiso total de la red.
SonicWall, además, publicó un aviso alertando de la campaña. Se recomienda aplicar la autenticación multifactor (MFA) a todas las cuentas remotas y administrativas, además de reiniciar y actualizar inmediatamente todas las contraseñas y secretos del sistema (incluidos LDAP/RADIUS, IPSec y claves API) y restringir el acceso remoto de gestión (WAN, HTTP, SSH, SSL VPN) cuando no sea estrictamente necesario.
El 40% de dispositivos a nivel global usan aún Windows 10
Según SecurityWeek, Windows 10 aún está instalado en más de un 40% de los dispositivos a nivel global, lo que, dado que el 14 de octubre finalizó el soporte oficial, crea una superficie de ataque de cientos de millones de equipos potencialmente expuestos a amenazas no corregidas.
Microsoft ofrece un programa de Extensiones de Seguridad (ESU) para recibir parches durante un año más, con costo para consumidores y organizaciones, mientras que en la Unión Europea se ha anunciado que este servicio será gratuito.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
