Boletín Semanal de Ciberseguridad, 18-24 enero
Oracle parchea más de 300 vulnerabilidades, múltiples de ellas críticas
Oracle ha parcheado 318 vulnerabilidades de seguridad en el Critical Patch Update Advisory de enero. De entre los productos que habrían recibido actualizaciones, Oracle Communications fue en el que más vulnerabilidades fueron parcheadas, un total de 85. Sin embargo, el fallo de mayor severidad afecta a Oracle Agile Product Lifecycle Management (PLM) Framework, ha sido denominado CVE-2025-21556 y tendría un CVSSv3 de 9.9.
Es una vulnerabilidad fácilmente explotable por un atacante con pocos privilegios y acceso a la red a través de HTTP que permitiría la toma de control del software. Asimismo, otras vulnerabilidades de severidad crítica han sido corregidas en este parche, incluyendo CVE-2025-21524 y CVE-2023-3961, ambas con CVSSv3 9.8 según Oracle y que afectarían a JD Edwards EnterpriseOne Tools.
El proveedor insta a actualizar a la última versión de los productos afectados.
Nuevas campañas de atacantes haciéndose pasar por soporte de Microsoft
Investigadores de Sophos han observado a los actores de amenazas STAC5143 y STAC5777, con conexiones a FIN7, haciéndose pasar por el soporte técnico de Microsoft Teams para engañar a empleados, robar datos y desplegar ransomware en redes corporativas. Los atacantes aprovechan la configuración por defecto de Teams, comenzando la cadena de infección con el envío de correos de phishing.
Tras esto, el objetivo recibe una llamada externa y se le convence para establecer una sesión de control remoto de pantalla a través de Teams. Después, el atacante deja caer un archivo Java y scripts Python (RPivot backdoor) alojados en un enlace externo de SharePoint para descargar un ejecutable legítimo de ProtonVPN, el cual carga lateralmente una DLL maliciosa que crea un canal C2 cifrado, proporcionando acceso remoto al dispositivo.
Murdoc Botnet se dirige a dispositivos IoT para realizar ataques DDoS
Investigadores de Qualys han advertido de una nueva campaña a gran escala que aprovecha fallos de seguridad de los routers Huawei HG532 y las cámaras IP AVTECH para integrar los dispositivos en Murdoc Botnet, una variante de Mirai. La campaña está activa desde al menos julio de 2024, con más de 1 370 sistemas infectados, localizándose la mayoría de las infecciones en Malasia, México, Tailandia, Indonesia y Vietnam.
La botnet aprovecha vulnerabilidades como CVE-2017-17215 y CVE-2024-7029 para obtener acceso inicial a los dispositivos IoT y descargar la carga útil de la siguiente fase mediante un script de shell. Este, por su parte, obtiene el malware de la botnet, ejecutándolo en función de la arquitectura de la CPU. El objetivo final es utilizar la botnet para llevar a cabo ataques DDoS.
Publicado un exploit PoC de una vulnerabilidad de QNAP
El usuario de GitHub C411e ha publicado un nuevo exploit para la vulnerabilidad CVE-2024-53691, CVSSv4 8.7 según proveedor, que habría sido reportada en abril de 2024. Este fallo afecta a los sistemas operativos QTS y QuTS Hero de QNAP y permitiría a un atacante remoto acceder al sistema de archivos y ejecutar código arbitrario en los dispositivos afectados.
El exploit PoC publicado recientemente divide la explotación de CVE-2024-53691 en varios pasos: primero el atacante crea un link symlink que dirige a un archivo sensible, seguidamente, el symlink se comprime en un archivo ZIP y es subido al dispositivo QNAP mediante la interfaz web. Tras esto, se crea una payload que contendría una reverse shell, permitiendo al atacante establecer una conexión remota con el sistema y escalar sus privilegios hasta convertirse en administrador.
Los parches para solucionar esta vulnerabilidad fueron publicados en septiembre de 2024.
Nueva campaña de ValleyRAT dirigida a usuarios de habla china
Investigadores de Intezer Labs han detectado una nueva campaña de ciberataques del troyano de acceso remoto ValleyRAT dirigidos a regiones de habla china, destacando Hong Kong, Taiwán y China. Los ataques comienzan con páginas de phishing a través de las cuales los usuarios descargan un paquete malicioso Microsoft Installer (MSI) que simula ser software legítimo.
Una vez ejecutado, el instalador despliega una aplicación benigna para evitar sospechas, mientras que extrae sigilosamente un archivo cifrado con la carga útil del malware. ValleyRAT es distribuido mediante un cargador en varias fases denominado PNGPlug, siendo su objetivo principal preparar el entorno para la ejecución del malware principal y establecer persistencia en el mismo. Por su parte, el paquete MSI utiliza la función CustomAction del instalador de Windows para ejecutar código malicioso, empleando una contraseña codificada 'hello202411' para extraer los componentes principales del malware.
ValleyRAT, detectado en 2023, proporciona acceso no autorizado y control sobre las máquinas infectadas, siendo asociado al actor de amenazas Silver Fox.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →