Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 16-22 agosto
Parcheada una vulnerabilidad crítica en Cisco FMC
Cisco ha advertido de una vulnerabilidad de ejecución remota de código (RCE) de máxima gravedad registrada como CVE-2025-20265 (CVSSv3 de 10.0 según Cisco) en el subsistema RADIUS de su software Secure Firewall Management Center (FMC), que afecta a las versiones 7.0.7 y 7.7.0 con autenticación RADIUS habilitada para la interfaz web o SSH.
Descubierta internamente por el investigador Brandon Sakai, la falla se debe a un manejo inadecuado de la entrada de usuario durante la fase de autenticación, lo que permite a un atacante no autenticado inyectar comandos de shell con privilegios elevados.
Cisco ha publicado actualizaciones gratuitas a través de sus canales habituales para clientes con contrato de servicio válido; como mitigación alternativa, se recomienda deshabilitar la autenticación RADIUS y usar cuentas locales, LDAP externo o SAML SSO.
Hasta la fecha no se conocen PoC, exploits públicos ni evidencia de explotación activa del fallo en entornos reales.
Warlock Ransomware explota vulnerabilidades en SharePoint
Los investigadores de Trend Micro han revelado que el grupo de ransomware Warlock está explotando vulnerabilidades críticas en Microsoft SharePoint on-premises. Warlock, que debutó en junio en el foro ruso RAMP y se sospecha que es un derivado de Black Basta, ha estado detrás de ataques contra organismos públicos y privados en varios países.
En concreto, la campaña observada aprovecha fallos como CVE-2025-49704 (CVSSv3 8.8 según proveedor) y CVE-2025-49706 (CVSSv3 6.5 según proveedor). Los atacantes logran ejecución remota de código en servidores SharePoint y, una vez dentro, escalan privilegios mediante la creación de GPOs, habilitan cuentas invitadas como administradores locales y utilizan herramientas como Mimikatz para robar credenciales. Posteriormente, distribuyen el ransomware a través de SMB y establecen persistencia mediante túneles de Cloudflare.
Trend Micro destacó que Warlock comparte código con LockBit 3.0 tras la filtración del builder en 2022, lo que ha facilitado la proliferación de variantes. El grupo también emplea un malware denominado Trojan.Win64.KILLLAV.I para intentar desactivar productos de seguridad.
Descubierta vulnerabilidad crítica en FortiSIEM ya explotada en ataques
Investigadores de watchTowr Labs han descubierto una vulnerabilidad crítica de inyección de comandos preautenticación en Fortinet FortiSIEM, identificada como CVE-2025-25256 (CVSSv3 9.8 según proveedor). El fallo reside en el componente phMonitor, encargado de supervisar procesos de la plataforma, y afecta a todas las versiones entre la 5.4 y la 7.3.1. La vulnerabilidad permite a atacantes ejecutar comandos arbitrarios sin credenciales mediante el envío de cargas XML especialmente manipuladas.
Fortinet ha confirmado que la vulnerabilidad ya está siendo explotada en el mundo real, lo que incrementa su gravedad. Las versiones corregidas incluyen la 7.3.2, 7.2.6, 7.1.8, 7.0.4 y 6.7.10, mientras que las 6.6 y anteriores requieren migración completa a releases más recientes. Dada la naturaleza crítica de FortiSIEM como sistema central en centros de operaciones de seguridad (SOC), la explotación podría cegar a las organizaciones frente a ataques activos.
Se recomienda a los equipos de seguridad inventariar urgentemente sus despliegues y aplicar las actualizaciones o migraciones correspondientes, además de monitorizar posibles intentos de explotación.
Nueva variante de Noodlophile distribuida a través de campañas de spear-phishing
Investigadores de Morphisec han alertado de una nueva variante del infostealer Noodlophile Stealer distribuida mediante campañas de spear-phishing que alegan infracciones de derechos de autor en páginas específicas de Facebook.
Este malware es capaz de exfiltrar credenciales y datos de navegadores, recopilar información del sistema y ejecutar payloads dinámicos en memoria al sideloadear DLLs maliciosas mediante binarios legítimos como Haihaisoft PDF Reader. La operación, activa desde hace más de un año y vinculada a actores de amenazas no identificados, emplea enlaces de Dropbox, técnicas de evasión como LOLBins y archivos codificados en Base64, y utiliza descripciones de grupos de Telegram como dead-drop resolver para dificultar la detección.
Asimismo, se ha dirigido a empresas en EE UU, Europa, países bálticos y la región Asia-Pacífico. Se recomienda reforzar filtros de correo, desplegar autenticación multifactor, concienciar a los usuarios y adoptar soluciones EDR y control de aplicaciones para bloquear cargas dinámicas de payloads.
Nueva vulnerabilidad 0-day en Apple explotada en ataques dirigidos
Apple ha lanzado actualizaciones de emergencia para corregir la vulnerabilidad crítica CVE-2025-43300, sin CVSS asignado por el momento, un fallo de escritura fuera de límites en el framework Image I/O que permitiría la ejecución remota de código al procesar imágenes maliciosas. Según la compañía, la vulnerabilidad ya habría sido explotada en ataques altamente sofisticados contra individuos específicos.
El problema se ha solucionado mediante una mejora en las comprobaciones de límites, incluida en iOS 18.6.2, iPadOS 18.6.2 y 17.7.10, así como en macOS Sequoia 15.6.1, Sonoma 14.7.8 y Ventura 13.7.8. El fallo afecta a una amplia gama de dispositivos, desde iPhone XS en adelante, múltiples generaciones de iPad, y Macs con las versiones mencionadas de macOS.
Aunque Apple no ha revelado detalles sobre los ataques ni atribuido su descubrimiento a un investigador concreto, recomienda actualizar inmediatamente.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
