Boletín Semanal de Ciberseguridad, 3 julio
CVE-2026-20251 en Splunk Secure Gateway: deserialización insegura vía jsonpickle permite RCE a atacantes de bajo privilegio
Se ha divulgado CVE-2026-20251 (CVSSv3 8.8), una vulnerabilidad de alta severidad en Splunk Secure Gateway (SSG) que permite a usuarios autenticados de bajo privilegio lograr ejecución remota de código (RCE). La causa raíz reside en la deserialización insegura de datos controlados por el usuario mediante la librería Python jsonpickle: la función de validación check_alert_data_valid_json() corta su evaluación al encontrar una clave permitida como "py/object" sin inspeccionar campos hermanos como "notification", permitiendo embeber payloads maliciosos no verificados.
Una vez validados, los datos se procesan mediante jsonpickle.decode(..., safe=True); sin embargo, rutas de deserialización peligrosas como "py/reduce" permanecen explotables pese al flag safe, permitiendo invocar funciones arbitrarias de Python incluyendo comandos a nivel de sistema vía el módulo subprocess. La explotación requiere únicamente una cuenta Splunk de bajo privilegio, sin interacción del usuario.
La vulnerabilidad afecta a SSG versiones 3.8.x, 3.9.x y 3.10.x, así como Splunk Enterprise anteriores a 10.0.7, 10.2.4 y 10.4.0+. Splunk ha corregido el problema en SSG 3.8.67, 3.9.20 y 3.10.6.
Glitch SPY: RAT Android con 70+ comandos, crypto-clipper y navegador remoto oculto se distribuye como app de alquiler polaca fraudulenta
El CRIL de Cyble ha identificado Glitch SPY, una familia emergente de malware Android distribuida a través de un sitio web fraudulento de alquiler inmobiliario polaco (tutaj-dompl[.]com) que induce a los usuarios a instalar un APK fuera de las tiendas oficiales. La aplicación descargada es el Brokewell Android Loader, que actúa como dropper e instala el payload de Glitch SPY, el cual abusa del Servicio de Accesibilidad de Android para automatizar la concesión de permisos e interactuar con la interfaz del dispositivo.
Glitch SPY mantiene un canal WebSocket persistente con su servidor C&C y soporta más de 70 comandos que abarcan streaming de pantalla en vivo y control remoto, captura de SMS, contactos, registros de llamadas y localización, vigilancia por cámara y micrófono, keylogging, gestión de ficheros y ejecución de shell. De forma destacada, incluye un módulo de crypto-clipping que sustituye direcciones de wallets copiadas al portapapeles en múltiples formatos (ETH/EVM, TRON, Bitcoin legacy y Bech32), y un navegador remoto oculto que permite al atacante realizar actividad web desde el dispositivo y la IP de la víctima, dificultando la detección por parte de bancos o plataformas cripto.
Campaña LSHIY explota contraseñas por defecto y reutilizadas en ataques de password spray contra Microsoft 365
Investigadores han documentado la campaña activa LSHIY, que realiza ataques de password spray a gran escala contra cuentas de Microsoft 365 explotando contraseñas predeterminadas de fabricante en routers y dispositivos IoT domésticos que los usuarios nunca han cambiado, así como contraseñas reutilizadas procedentes de filtraciones de datos previas.
La campaña utiliza una infraestructura distribuida de proxies residenciales para enmascarar el origen de los intentos de autenticación, y aplica técnicas de baja frecuencia de intentos por cuenta para evadir los umbrales de bloqueo y las políticas de detección de anomalías de los sistemas SIEM. Los atacantes abusan del protocolo de autenticación legacy Basic Authentication y del flujo de Device Code OAuth, ambos persistentes en muchas configuraciones empresariales de Microsoft 365 incluso cuando los administradores han implementado Conditional Access. Las organizaciones afectadas incluyen empresas de tamaño medio en los sectores de manufactura, servicios legales y educación.
Se recomienda deshabilitar la autenticación heredada, implementar MFA resistente a phishing, y auditar el uso de Device Code Flow en el tenant.
FortiBleed vinculado a ransomware INC y Lynx: la campaña comprometió 430.000 firewalls FortiGate
Investigaciones de seguimiento realizadas por el Threat Research Unit (STRU) de SOCRadar han vinculado directamente la campaña de robo masivo de credenciales FortiBleed a miembros de las operaciones de ransomware-as-a-service INC y Lynx, al identificar un servidor Windows perteneciente a la infraestructura de FortiBleed desde el que se accedía a los paneles de negociación de ambos grupos, incluyendo dashboards con chats de negociación con víctimas.
La campaña empleó una herramienta personalizada de sniffing de paquetes denominada "FortiGate Sniffer" instalada en dispositivos FortiGate comprometidos para interceptar credenciales VPN y otros datos de autenticación directamente del tráfico de red. Las nuevas investigaciones amplían significativamente la escala conocida: la operación habría afectado a más de 430.000 firewalls FortiGate en todo el mundo, con sniffers desplegados en aproximadamente 19.000 dispositivos, reducidos a 11.000 activos tras notificaciones a organizaciones afectadas. SOCRadar identificó además más de 200 servidores operacionales adicionales, aproximadamente 500 en total, y evidencias de solapamiento entre víctimas de FortiBleed y organizaciones posteriormente listadas en el sitio de filtraciones de INC Ransom.
Los investigadores también creen que los atacantes explotaron una vulnerabilidad zero-day en Nextcloud no divulgada como parte de sus operaciones para expandir el acceso tras el compromiso inicial. Se identificó una cuenta backdoor persistente con el nombre de usuario adminin en sistemas comprometidos.
CVE-2026-35273: ShinyHunters explota zero-day en Oracle PeopleSoft afectando a Nissan, NAIC y más de 100 organizaciones
Nissan ha confirmado una brecha de datos que afecta a empleados actuales y antiguos en EE.UU., Canadá, México y Brasil tras la explotación de una vulnerabilidad zero-day en Oracle PeopleSoft. La información potencialmente comprometida incluye datos de contacto, números de la Seguridad Social, números de identificación nacional e información financiera y fiscal.
Por su parte, la National Association of Insurance Commissioners (NAIC) confirmó el 11 de junio el acceso no autorizado a sus sistemas PeopleSoft, aunque disputa las afirmaciones del grupo extorsionador ShinyHunters: según NAIC, los datos robados se limitan a información ya pública, logs obsoletos y archivos de configuración, sin evidencia de PII ni datos financieros expuestos. ShinyHunters reclama 3,1 TB de datos correspondientes a 105.000 ficheros, incluyendo credenciales almacenadas de los entornos de producción SERFF, OPTins y UCAA.
Ambos incidentes derivan de la explotación de CVE-2026-35273 en Oracle PeopleSoft PeopleTools entre el 27 de mayo y el 9 de junio, confirmada por Mandiant como explotación zero-day que ha impactado a más de 100 organizaciones, mayoritariamente del sector educativo.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
Cloud Híbrida
Ciberseguridad
Data & AI
IoT y Conectividad
Industria
Salud
Banca y Finanzas
Sector Público
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Ciudades Inteligentes