Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 12-18 julio
Vulnerabilidad de ejecución remota de código del servidor FTP de Wing explotada en la red
Investigadores de Huntress revelaron que la vulnerabilidad crítica CVE-2025-47812 (CVSSv3 10.0 según MITRE) en Wing FTP Server, que permite ejecución remota de código (RCE), ha sido explotada activamente desde el 1 de julio de 2025.
Divulgada públicamente el 30 de junio junto a un exploit funcional, permite a actores maliciosos inyectar código Lua arbitrario mediante un truco en el nombre de usuario, incluso usando cuentas anónimas (si están habilitadas). Al visitar ciertas páginas, el código se ejecuta, facilitando descarga de malware, reconocimiento y despliegue de herramientas de acceso remoto.
Arctic Wolf alertó que estas técnicas podrían usarse para robo de datos o ransomware. Se recomienda actualizar a la versión 7.4.4 o superior.
Análisis del malware AsyncRAT
AsyncRAT, un troyano de acceso remoto de código abierto publicado en GitHub en 2019, se ha convertido en una herramienta ampliamente utilizada por actores maliciosos gracias a su modularidad y facilidad de modificación. Aunque no es una bifurcación directa de Quasar RAT, comparte ciertos elementos criptográficos con este, y ha servido como base para múltiples variantes.
Entre los forks más activos se encuentran DcRat y VenomRAT, que incorporan funcionalidades ampliadas como evasión de AMSI, cifrado AES-256, y módulos de ransomware. Algunas variantes menos comunes añaden plugins para robar criptomonedas, propagar malware vía USB, o recolectar datos geográficos. La diversidad de versiones demuestra cómo el carácter abierto de AsyncRAT ha permitido su proliferación.
Cada fork refleja distintas prioridades ofensivas, desde el cibercrimen financiero hasta funciones de vigilancia. Según ESET, aunque no todas las variantes están documentadas, muchas se han observado activamente en campañas reales.
Vulnerabilidad 0-day de Google Chrome explotada activamente
Google ha lanzado una actualización de emergencia para Chrome versión 138 tras descubrir una vulnerabilidad crítica de día cero (CVE-2025-6558, CVSSv3 8.8 según CISA) que ya está siendo explotada activamente. El fallo, identificado por el Threat Analysis Group de Google, afecta a los componentes ANGLE y GPU del navegador y permite la ejecución de código malicioso mediante validación incorrecta de entradas no confiables.
Además de esta vulnerabilidad, la actualización corrige otros fallos graves: un desbordamiento de enteros en V8 (CVE-2025-7656, CVSSv3 8.8 según CISA) y un use-after-free en WebRTC (CVE-2025-7657, CVSSv3 8.8 según CISA). La actualización ya está disponible para Windows, Mac, Linux y próximamente para Android.
Google recomienda actualizar de inmediato para evitar ataques, y ha restringido temporalmente los detalles técnicos para proteger a los usuarios mientras se implementan los parches.
UNC6148 se dirige a dispositivos SonicWall SMA parcheados para desplegar malware
Investigadores del grupo GTIG de Google detectaron actividad maliciosa dirigida a dispositivos SonicWall SMA Serie 100, totalmente parcheados, como parte de una campaña diseñada para lanzar la backdoor OVERSTEP. La actividad, registrada desde octubre de 2024, ha sido atribuida al grupo UNC6148. Este aprovecharía credenciales y semillas de contraseñas OTP robadas, recuperando el acceso incluso después de que se hayan aplicado actualizaciones de seguridad.
El vector de acceso inicial exacto utilizado se desconoce, si bien se cree que podría haberse obtenido mediante la explotación de vulnerabilidades conocidas. Tras conseguir acceso, los atacantes establecen una sesión SSL-VPN y generan una shell inversa, posiblemente mediante explotación de 0-day. Esta se usa para ejecutar comandos de reconocimiento y manipulación de archivos, entre otros actos.
Finalmente, se despliega un implante previamente indocumentado (OVERSTEP) capaz de modificar el proceso de arranque del appliance para mantener acceso persistente, así como de robar credenciales y ocultar sus componentes para evadir la detección. Una vez completado el despliegue, el grupo procede a borrar los registros del sistema y reinicia el cortafuegos para activar la ejecución de la backdoor.
Publicado un exploit para una vulnerabilidad crítica en FortiWeb que permite RCE sin autenticación
Fortinet ha corregido una vulnerabilidad crítica, CVE-2025-25257 (CVSSv3 9.6 según proveedor), que afecta a múltiples versiones de FortiWeb (7.0.0 a 7.6.3). La vulnerabilidad reside en el componente Fabric Connector y permite a atacantes no autenticados ejecutar comandos SQL arbitrarios y escalar a ejecución remota de código (RCE).
La causa principal es una inadecuada validación del encabezado Authorization: Bearer, lo que permite inyecciones SQL incluso con restricciones de caracteres mediante sintaxis de comentarios de MySQL (/**/). Investigadores de WatchTowr demostraron que es posible escribir archivos arbitrarios con INTO OUTFILE y ejecutar código malicioso mediante archivos .pth en directorios de Python, aprovechando scripts CGI existentes con permisos elevados.
En entornos mal configurados, la explotación permite incluso ejecución como root, existiendo pruebas de concepto públicas aunque no se han detectado todavía campañas activas. Fortinet ha publicado actualizaciones en las versiones 7.6.4, 7.4.8, 7.2.11 y 7.0.11 por lo que se recomienda aplicar los parches de inmediato o deshabilitar temporalmente la interfaz de administración HTTP/HTTPS si no es posible.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
