Cloud Híbrida
Ciberseguridad
Data & AI
IoT y Conectividad
Industria
Salud
Banca y Finanzas
Sector Público
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Ciudades Inteligentes
Boletín Semanal de Ciberseguridad, 20-26 junio
Cisco Catalyst SD-WAN: un 0-day permitió obtener acceso root en infraestructuras de operador
Mandiant ha revelado que un actor desconocido explotó como 0-day CVE-2026-20245, una vulnerabilidad de alta severidad en Cisco Catalyst SD-WAN, al menos dos meses antes de su divulgación pública. La actividad afectó a la infraestructura de un proveedor de comunicaciones y permitió a los atacantes escalar privilegios hasta root mediante la carga de un archivo CSV malicioso denominado evil_tenant.csv.
Tras acceder al entorno, modificaron credenciales administrativas, crearon una cuenta oculta llamada troot y exfiltraron configuraciones de la red SD-WAN. Los operadores también restauraron contraseñas y archivos modificados, eliminaron rastros de la intrusión y ejecutaron comprobaciones para verificar que la actividad había pasado inadvertida.
El caso evidencia el valor de los controladores SD-WAN como objetivo para acceder a infraestructuras de red de alto valor.
CISA alerta de explotación activa de tres fallos críticos en Ubiquiti UniFi OS
CISA ha incorporado tres vulnerabilidades de Ubiquiti UniFi OS a su catálogo de vulnerabilidades explotadas conocidas tras confirmar que están siendo utilizadas en ataques. CVE-2026-34908 permite eludir controles de acceso y realizar cambios no autorizados; CVE-2026-34909 facilita el acceso a archivos sensibles mediante path traversal; y CVE-2026-34910 permite inyectar comandos del sistema operativo. Encadenadas, estas vulnerabilidades pueden permitir a un atacante remoto no autenticado comprometer por completo dispositivos UniFi OS expuestos.
Ubiquiti publicó actualizaciones para corregir los fallos, pero la inclusión en el catálogo KEV indica que la aplicación de parches debe considerarse prioritaria. La afectación potencial comprende gateways, controladores, dispositivos de grabación y otros elementos de red empleados por organizaciones y entornos SMB.
Operación Endgame interrumpe infraestructura de Amadey y StealC
Una nueva fase de la Operación Endgame ha interrumpido parte de la infraestructura utilizada por Amadey y StealC, dos familias de malware comercializadas como servicio y empleadas por múltiples afiliados. La acción coordinada afectó a unos 50 dominios y cerca de 200 servidores de mando y control asociados a ambas amenazas. Amadey funciona como un loader modular capaz de desplegar cargas adicionales, robar credenciales, monitorizar el portapapeles y habilitar acceso remoto; StealC se utiliza principalmente para sustraer credenciales, cookies, monederos de criptomonedas y extensiones de navegador.
ESET aportó análisis técnicos, seguimiento de infraestructura, identificadores de campaña y datos sobre los ecosistemas de afiliados. Aunque la operación reduce temporalmente su capacidad operativa, la naturaleza MaaS de ambas familias facilita que los afiliados reconstruyan servidores y continúen campañas con nueva infraestructura.
PixelSmash: una vulnerabilidad de FFmpeg permite ejecutar código mediante archivos multimedia manipulados
JFrog ha identificado CVE-2026-8461, denominada PixelSmash, una vulnerabilidad de escritura fuera de límites en el descodificador MagicYUV de FFmpeg con una puntuación CVSS de 8,8. El fallo puede activarse al procesar archivos AVI, MKV o MOV manipulados y afecta a productos que integren libavcodec, incluyendo reproductores multimedia, plataformas de vídeo, servidores de transcodificación, NAS y sistemas de generación de miniaturas. Los investigadores demostraron ejecución remota de código contra instancias de Jellyfin y Nextcloud mediante la carga de un archivo AVI malicioso de aproximadamente 50 KB.
La demostración de RCE se realizó con ASLR deshabilitado, mientras que con ASLR activo el impacto confirmado es de denegación de servicio. FFmpeg 9.0 corrige la vulnerabilidad, aunque su alcance puede afectar a numerosos servicios que procesan contenido multimedia de usuarios de forma automática.
DifyTap expone conversaciones, documentos y datos entre tenants de aplicaciones de IA
Investigadores de Zafran Labs han identificado cuatro vulnerabilidades en Dify, una plataforma de código abierto utilizada para desarrollar y desplegar aplicaciones basadas en modelos de lenguaje. El conjunto de fallos, denominado DifyTap, puede exponer conversaciones de usuarios, documentos cargados y datos pertenecientes a otros tenants. Dos de las vulnerabilidades permiten acceso no autenticado y extracción de información, mientras que otras afectan a los mecanismos de trazabilidad, el Plugin Daemon y la previsualización de documentos. Uno de los fallos permitiría manipular configuraciones de trazabilidad para redirigir conversaciones y respuestas a una infraestructura controlada por un atacante.
Dify corrigió las vulnerabilidades en la versión 1.14.2. El caso ilustra los riesgos de aislamiento insuficiente y control de acceso deficiente en plataformas multitenant de inteligencia artificial.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
