Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 22-28 febrero
Vulnerabilidades en Rsync exponen millones de servidores a posibles ataques
Recientemente fueron descubiertas varias vulnerabilidades críticas en Rsync, una herramienta popular de sincronización de archivos, que exponen millones de servidores a posibles ataques remotos. Estos fallos, presentes en la versión 3.2.7 y anteriores, permiten la ejecución remota de código, la filtración de datos sensibles y la manipulación del sistema de archivos.
Las vulnerabilidades incluyen un desbordamiento de búfer (CVE-2024-12084, CVSSv3 9.8), la fuga de datos de memoria (CVE-2024-12085, CVSSv3 7.5), la exfiltración de archivos del cliente (CVE-2024-12086, CVSSv3 6.1), el escape de directorios mediante enlaces simbólicos (CVE-2024-12087, CVSSv3 6.5) y la elusión de la función de seguridad -safe-links (CVE-2024-12088, CVSSv3 6.5).
Existen exploits de prueba de concepto (PoC) para estas vulnerabilidades; por lo que se recomienda actualizar a la versión 3.2.8 o aplicar los parches del proveedor, deshabilitar el acceso anónimo, auditar registros de sincronización y restringir el uso de Rsync a servidores de confianza.
Descubierta una vulnerabilidad RCE en MITRE Caldera
Recientemente se ha descubierto una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta a MITRE Caldera. Identificada como CVE-2025-27364 y con una puntuación máxima de 10.0 en la escala CVSSv3, esta vulnerabilidad permite la ejecución remota de código en todas las versiones de Caldera, excepto en las más recientes (5.1.0+ y la rama master source).
Esta plataforma de emulación de adversarios, utilizada por los equipos Blue Team y Red Team para simular ataques y reforzar defensas, podría ser secuestrada a distancia. El fallo se activa en configuraciones predeterminadas cuando Go, Python y GCC están instalados, lo cual es muy común.
La vulnerabilidad se relaciona con el despliegue de los agentes Manx y Sandcat, permitiendo a un atacante ejecutar operaciones maliciosas sin autenticación previa mediante una petición HTTPS especialmente diseñada. Aunque los desarrolladores ya conocían el riesgo de este punto final de la API, Dawid Kulikowski, quien descubrió el fallo, compartió un código de prueba de concepto (PoC) incompleto para evitar abusos.
La vulnerabilidad ya ha sido parcheada en el código base, por lo que se recomienda a los usuarios actualizar de inmediato a la última versión.
El robo de 1500 millones a ByBit se originó en la infraestructura de Safe{Wallet}
El grupo norcoreano Lazarus robó 1500 millones de dólares en criptomonedas de Bybit tras comprometer un dispositivo de un desarrollador de Safe{Wallet}.
Según investigaciones de Sygnia y Verichains, el ataque se originó en la infraestructura de Safe{Wallet}, inyectando JavaScript malicioso en su plataforma para acceder a los fondos de Bybit. Los atacantes modificaron el código previamente al día del ataque y eliminaron las pruebas poco después.
Se trata del mayor robo de criptomonedas de la historia, con Lazarus vinculado a ataques previos. Bybit ha restaurado sus reservas de ETH y Safe{Wallet} ha reforzado su seguridad.
LockBit explota vulnerabilidad en Atlassian Confluence para un rápido despliegue de ransomware
Una investigación de The DFIR Report reveló que los operadores del ransomware LockBit llevaron a cabo un ataque altamente coordinado aprovechando la vulnerabilidad crítica CVE-2023-22527 (CVSSv3 10.0 según fabricante) en servidores Atlassian Confluence expuestos, permitiéndoles ejecutar comandos remotos sin autenticación mediante inyecciones maliciosas de Object-Graph Navigation Language (OGNL).
Según el reporte, tras obtener acceso inicial los actores de amenazas realizaron un reconocimiento del sistema, desplegaron AnyDesk para persistencia y usaron Metasploit para establecer canales de comando y control (C2). Además, escalaron privilegios, desactivaron defensas de seguridad y se movieron lateralmente a través de la red mediante RDP, apuntando a servidores críticos.
Asimismo, extrajeron credenciales con Mimikatz, utilizaron Rclone para exfiltrar datos a MEGA.io y cubrieron sus huellas eliminando registros. Finalmente, desplegaron el ransomware LockBit mediante PDQ Deploy, logrando cifrar archivos en toda la red en poco más de dos horas, demostrando una velocidad y precisión excepcionales.
Australia prohíbe el uso de productos de Kaspersky en sus dispositivos
El gobierno australiano ha prohibido todos los productos y servicios web de Kaspersky Lab en sus sistemas y dispositivos. Esta decisión se tomó tras un análisis que concluyó que la empresa representa un riesgo significativo para la seguridad del país.
Stephanie Foster, Secretaria del Departamento de Asuntos Internos, justificó la medida citando amenazas de interferencia extranjera, espionaje y sabotaje.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
