Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 17-23 mayo
VMware emite parches de seguridad urgentes para solucionar nuevos fallos
VMware publicó parches de seguridad para corregir dos conjuntos de fallos que exponen su software a fugas de datos, ejecución de comandos y ataques de denegación de servicio (DoS), sin soluciones temporales disponibles. El aviso más urgente, VMSA-2025-0009, da crédito a la OTAN por alertar de tres fallos en VMware Cloud Foundation.
La falla CVE-2025-41229 (CVSSv3 8.2) es un problema de acceso a directorios por el que un atacante con acceso de red al puerto 443 podría acceder a determinados servicios internos. Se incluyen un fallo de divulgación de información registrado como CVE-2025-41230 (CVSSv3 7.5) y un error de falta de autorización identificado como CVE-2025-41231 (CVSSv3 7.3). Se insta a los clientes a actualizar a la versión 5.2.1.2 de VMware Cloud Foundation.
También se publicó el boletín VMSA-2025-0010 documentando cuatro fallas en ESXi, vCenter Server, Workstation y Fusion, destacando CVE-2025-41225 (CVVSv3 8.8), un fallo de ejecución de comandos autenticados en vCenter.
Hazy Hawk secuestra subdominios de gobiernos y empresas mediante CNAME abandonados
Hazy Hawk ha sido detectado explotando registros DNS CNAME olvidados que apuntan a servicios en la nube abandonados. Según Infoblox, los atacantes localizan subdominios con este tipo de configuración, registran los recursos en la nube asociados y así consiguen que los subdominios apunten a su infraestructura maliciosa.
Entre las entidades afectadas se encuentran organizaciones de alto perfil como CDC, UNICEF, NYU, el gobierno de California, y empresas como Honeywell, Deloitte y Unilever. Una vez comprometidos, los subdominios se utilizan para alojar aplicaciones falsas, campañas de phishing o redirigir a los usuarios a páginas de estafa. Estas URL se posicionan favorablemente en buscadores gracias a la alta reputación del dominio original, facilitando la difusión del contenido malicioso.
Los atacantes además emplean técnicas de filtrado como TDS para perfilar a los visitantes según su ubicación, dispositivo y uso de VPN.
Ataque a la cadena de suministro: RVTools distribuye malware Bumblebee
ZeroDay Labs detectó que el instalador de RVTools había sido comprometido para distribuir el malware Bumblebee. El archivo malicioso incluía una DLL que se ejecutaba desde el mismo directorio que el instalador, un comportamiento que fue identificado por Microsoft Defender como sospechoso.
El malware Bumblebee es conocido por facilitar el acceso inicial a sistemas comprometidos, permitiendo la ejecución de cargas útiles adicionales y facilitando ataques de ransomware.
Tras la detección, el sitio web de RVTools fue temporalmente desconectado y posteriormente restaurado con una versión limpia del instalador. Se recomienda verificar la integridad del instalador comprobando hashes y que no se haya ejecutado el archivo version.dll desde directorios de usuario.
Corregido un fallo en el SDK Auth0-PHP que permitiría el secuestro de sesiones
Se detectó un fallo que afecta a las versiones 8.0.0-BETA1 y posteriores del SDK Auth0-PHP cuando se configura con CookieStore para el almacenamiento de sesiones. La falla se centra en la implementación criptográfica utilizada para asegurar las cookies de sesión.
Cuando se usa CookieStore para gestionar las sesiones, las etiquetas de autenticación generadas para las cookies pueden ser sistemáticamente forzadas mediante fuerza bruta, permitiendo falsificar credenciales de autenticación válidas, eludiendo los mecanismos de autenticación previstos y obteniendo acceso no autorizado a recursos protegidos y cuentas de usuario sin credenciales legítimas.
Tras comprometer las cookies de sesión, los atacantes pueden hacerse pasar por usuarios legítimos y realizar acciones con sus privilegios. Se parcheó en la versión 8.14.0, y Okta, empresa matriz de Auth0, recomienda actualizar lo antes posible y adoptar medidas de seguridad adicionales.
Europol y Microsoft desmantelan Lumma, el mayor infostealer del mundo
Europol y Microsoft han desmantelado Lumma Stealer, un malware de robo de información que infectó más de 394 000 equipos Windows entre marzo y mayo de 2025. Desarrollado en Rusia, Lumma robaba credenciales, datos bancarios y criptomonedas, y era ampliamente utilizado por grupos como Scattered Spider.
La operación conjunta permitió desactivar más de 2 300 dominios maliciosos y tomar el control de su infraestructura de comando y control. El Departamento de Justicia de EE. UU. y la Cybercrime Control Center de Japón también participaron en el operativo. Lumma se distribuía mediante campañas de phishing y plataformas como Telegram, destacando por su facilidad de uso y capacidad para evadir defensas.
Aunque su infraestructura ha sido desmantelada, expertos advierten que los infostealers siguen siendo una amenaza persistente en el panorama actual.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
