Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 15-21 febrero
Corregida una vulnerabilidad crítica en routers Juniper que permite acceso no autorizado
Juniper Networks ha publicado una alerta sobre la vulnerabilidad crítica CVE-2025-21589 en los dispositivos Session Smart Router, Session Smart Conductor y WAN Assurance Managed Routers. Esta falla, con un CVSS de 9.8 según el proveedor, permite a atacantes eludir la autenticación y obtener control administrativo total sobre los dispositivos afectados. Aunque no se ha detectado explotación activa ni existen pruebas de concepto disponibles, se recomienda aplicar los parches de seguridad de manera inmediata.
En entornos gestionados por un Conductor, bastaría con actualizar únicamente los nodos de este, ya que los routers conectados recibirán automáticamente el parche. Asimismo, los dispositivos operando con WAN Assurance conectados a Mist Cloud han recibido el parche de manera automática. No obstante, se recomienda actualizar también los routers individualmente.
Además, desde Juniper Networls recomiendan a las organizaciones reforzar la monitorización para detectar actividad sospechosa y mitigar posibles intrusiones.
Ghost ransomware ataca infraestructuras críticas en más de 70 países
La CISA y el FBI han alertado en un informe conjunto sobre el actor de amenazas Ghost ransomware, que habría llevado a cabo ataques a múltiples sectores en más de 70 países, incluyendo organizaciones de infraestructuras críticas. Durante estos incidentes, los atacantes explotan vulnerabilidades en software desactualizado, como Fortinet, ColdFusion y Exchange, para acceder a los sistemas de sus víctimas.
Desde 2021 el grupo detrás de Ghost ransomware, también conocido como Cring o Phantom, ha empleado tácticas como la rotación de ejecutables y la modificación de notas de rescate para dificultar su identificación. Además, se ha detectado el uso de herramientas como Mimikatz y CobaltStrike para evadir defensas y desplegar el ransomware.
Para mitigar riesgos asociados a esta amenaza, CISA recomienda realizar copias de seguridad fuera offline, aplicar parches de seguridad, segmentar redes y habilitar autenticación multifactor.
Parcheada una vulnerabilidad crítica en Apache Ignite
Apache ha solucionado una vulnerabilidad con afectación a Apache Ignite en sus versiones anteriores a la 2.17.0 hasta la versión 2.6.0. El fallo, identificado como CVE-2024-52577 (CVSSv4 de 9.5 según fabricante), permite a atacantes remotos ejecutar código arbitrario en servidores vulnerables con los mismos privilegios que el proceso Ignite, explotando mecanismos de deserialización inseguros en configuraciones específicas gracias a la validación incompleta de los flujos de datos entrantes.
Los nodos servidor de Ignite procesan los mensajes entrantes utilizando el marco de serialización/deserialización de Java. En las versiones afectadas, se obvian los filtros de serialización de clases para determinados puntos finales de la red, lo que los atacantes aprovechan para crear mensajes que contengan objetos dañinos y eludir dichos filtros.
Apache Ignite ha corregido el fallo en la versión 2.17.0 aplicando filtros de clase en todos los puntos finales. En caso de no poder aplicar la actualización, se recomienda restringir el acceso a los nodos Ignite, desplegar sistemas de detección de intrusos y habilitar el filtro de deserialización nativo de la JVM (jdk.serialFilter) para bloquear paquetes de alto riesgo.
Detectada nueva variante de XCSSET para macOS
Una nueva variante del malware XCSSET ha sido detectada en ataques dirigidos a usuarios de macOS, específicamente para robar información sensible como billeteras digitales y datos de la app Notes. Esta variante, que mejora las versiones anteriores, ha sido identificada por Microsoft y presenta una ofuscación de código avanzada, mayor persistencia, nuevas estrategias de infección y es distribuida principalmente a través de proyectos infectados de Xcode.
Entre las mejoras destaca la ofuscación utilizando técnicas como Base64 y xxd (hexdump), dificultando el análisis del código. Además, implementa métodos de persistencia mediante los archivos zshrc y dock. En el primer caso, la carga útil se ejecuta cada vez que se inicia una nueva sesión de shell. En el segundo, el malware gestiona los elementos del dock para ejecutar una aplicación maliciosa junto con la legítima.
XCSSET también emplea nuevas técnicas de infección en proyectos Xcode, aprovechando configuraciones como TARGET, RULE o FORCED_STRATEGY para insertar su carga útil. A través de su módulo, recopila datos confidenciales de aplicaciones, billeteras digitales, navegadores y más. Microsoft recomienda a los usuarios verificar los proyectos Xcode y repositorios no oficiales para evitar este tipo de malware.
Google parchea fallos críticos en Chrome que permiten ejecución de código
Google ha lanzado una actualización urgente para Chrome, corrigiendo tres vulnerabilidades críticas que podrían permitir a atacantes ejecutar código arbitrario y tomar el control del sistema. Dos de los fallos son desbordamientos de búfer en el motor JavaScript V8, CVE-2025-0999, sin CVSSv3 asignado a fecha de redacción de estas líneas, y en el subsistema de la GPU, denominada CVE-2025-1426, también sin CVSSv3.
Ambas habrían sido clasificadas con una severidad alta según Google y podrían facilitar la ejecución de código malicioso y la evasión de la sandbox. El tercer fallo CVE-2025-1006, sin CVSSv3 pero de severidad media según proveedor, es de tipo use-after-free en la pila de red y podría provocar la ejecución de código o fallos en el navegador.
Google ha restringido detalles técnicos para evitar explotación. Además, el proveedor ha instado a actualizar Chrome de inmediato a la a la versión 133.0.6943.126/.127, ya que estos errores podrían facilitar ataques dirigidos y la instalación silenciosa de malware.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
