Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 4-10 enero
Ivanti alerta sobre dos vulnerabilidades en Connect Secure y otros productos; una bajo explotación activa
El proveedor de software Ivanti ha alertado sobre dos vulnerabilidades críticas en sus productos, identificadas como CVE-2025-0282 y CVE-2025-0283.
- La primera, con una puntuación CVSSv3 de 9.0, permite a atacantes remotos no autenticados ejecutar código arbitrario a través de un desbordamiento de búfer basado en pila y afecta a varias versiones de Ivanti Connect Secure, Policy Secure y Neurons for ZTA Gateways.
- La segunda, con una puntuación CVSSv3 de 7.0, permite a atacantes locales autenticados escalar privilegios.
Una investigación de Mandiant identificó la explotación activa de CVE-2025-0282 desde mediados de diciembre de 2024. Ivanti confirmó que esta vulnerabilidad ya ha sido explotada en dispositivos Connect Secure, aunque afirma no haber evidencia de explotación en Policy Secure ni en ZTA.
Para mitigar riesgos, Ivanti recomienda usar su herramienta Integrity Checker Tool (ICT) para detectar compromisos, actualizar a la versión 22.7R2.5 y realizar un análisis con ICT. Además y como medida de precaución, sugiere llevar a cabo un restablecimiento de fábrica antes de implementar la actualización.
Actualizaciones de Chrome y Firefox
Google y Mozilla han lanzado actualizaciones de seguridad para sus navegadores Chrome y Firefox para corregir varias vulnerabilidades de alta gravedad.
- Google ha lanzado Chrome 131, actualización que resuelve cuatro vulnerabilidades entre las que destaca CVE-2025-0291 (CVSSv3 8.3), una falla de confusión de tipos en el motor JavaScript V8 que podría permitir a un atacante ejecutar código arbitrario remotamente.
- Por su parte, Firefox 134 corrige 11 vulnerabilidades, tres de las cuales son de alta gravedad. La más importante es CVE-2025-0247 (CVSSv3 8.8), un problema de corrupción de memoria que podría explotarse para ejecutar código arbitrario.
Cabe destacar que ni Google ni Mozilla han detectado explotación activa de estas vulnerabilidades.
Se puede eludir el cifrado de Windows 11 gracias a una vieja vulnerabilidad de Bitlocker
El investigador de seguridad Thomas Lambertz demostró en el Chaos Communication Congress que la vulnerabilidad de BitLocker conocida popularmente como bitpixie (CVE-2023-21563, CVSSv3 6.8 según Microsoft) puede seguir siendo explotada pese a que la compañía publicó en enero de 2023 un parche.
Lambertz demostró cómo es posible eludir el cifrado de BitLocker en Windows 11 sin necesidad de abrir físicamente el PC. El ataque aprovecha un gestor de arranque desactualizado a través de Secure Boot, lo que permite a los atacantes extraer las claves de encriptación. Solo se necesita acceso físico momentáneo al dispositivo y una conexión a la red.
Para mitigar el riesgo, se recomienda establecer contraseñas PIN personalizadas para BitLocker o desactivar el acceso a la red a través del BIOS. Sin embargo, incluso un dispositivo USB conectado a la red podría facilitar el ataque.
Nueva campaña de phishing de Tycoon 2FA usando falsos mensajes de voz
Investigadores de Validin han identificado un nuevo método por el que la plataforma de Phishing-as-a-Service (PhaaS) Tycoon 2FA permite a los ciberdelincuentes lanzar ataques de phishing dirigidos a la autenticación de dos factores (2FA).
La plataforma, que ya permite crear plantillas personalizadas que imitan solicitudes legítimas de 2FA y automatiza la gestión de campañas de phishing a gran escala, está siendo utilizada para desplegar campañas en las que se distribuye un archivo HTML con una falsa página de correo de voz antes de redirigir a una falsa página de autenticación de Outlook.
El análisis estático muestra variables para almacenar el correo electrónico de la víctima y un blob codificado en Base64, que contiene código HTML de la página falsa y un script JavaScript descargado pasados cuatro segundos desde una dirección URL remota. Sería precisamente este script el que ejecuta acciones maliciosas tras descifrarse usando AES.
La investigación del equipo de Validin ha identificado que el archivo PHP res444.php empleado en esta campaña también se utiliza en múltiples dominios, lo que sugiere una infraestructura compartida actualmente activa sobre la que tomar medidas.
Actores maliciosos se dirigen a servidores PHP con criptomineros
Investigadores de SANS han detectado una dirección URL que se dirigiría a servidores PHP vulnerables, explotando potencialmente el fallo CVE-2024-4577 (CVSSv3 9.8) o configuraciones erróneas que permiten el acceso público a “php-cgi.exe” ejecutando múltiples comandos a través de la función system(). Esta descarga un ejecutable malicioso, denominado “dr0p.exe”, de un servidor remoto para ejecutarlo localmente, e intenta descargar el mismo ejecutable utilizando wget, eludiendo la verificación del certificado SSL.
Dicho servidor tendría sede en EE. UU. y alojaría EvilBit Block Explorer en el puerto 80, además de exponer los puertos 22, 110 y 6664. Asimismo, el análisis reveló que el malware lanza packetcrypt.exe, el cual se corresponde probablemente con un minero de criptomonedas, al tiempo que proporciona una dirección de cartera PKT Classic como argumento.
La investigación de SANS reveló que la criptomoneda minada en los servidores PHP comprometidos era PKTC, una moneda de prueba de trabajo heredada del proyecto PacketCrypt.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
