Boletín Semanal de Ciberseguridad, 4 julio

4 de julio de 2025

Cisco parchea una vulnerabilidad crítica en Unified CM

Cisco ha solucionado una vulnerabilidad crítica denominada CVE-2025-20309 (CVSSv3 10.0 según el proveedor) en sus sistemas Unified Communications Manager (Unified CM y Unified CM SME), que permitía a un atacante remoto y no autenticado acceder con privilegios de root mediante credenciales estáticas no modificables, utilizadas durante el desarrollo.

La explotación permitiría la ejecución de comandos arbitrarios con permisos de administrador total. El fallo afecta a versiones Engineering Special 15.0.1.13010-1 hasta 15.0.1.13017-1. Cisco no ha identificado exploits activos ni código de prueba de concepto, pero ha publicado métodos para identificar posibles indicadores de compromiso asociados a la explotación del fallo.

La única forma de mitigar el fallo es actualizar a la versión 15SU3 (julio de 2025) o aplicar el parche CSCwp27755.

Más info

​​​Descubierta vulnerabilidad en el nuevo cifrado de cookies de Chrome

Investigadores de CyberArk han revelado un fallo crítico en la protección AppBound Cookie Encryption de Google Chrome, introducida en la versión 127 para mitigar el robo de cookies por malware. El ataque, bautizado como “C4 Bomb” (Chrome Cookie Cipher Cracker), permite a atacantes con bajos privilegios acceder a cookies cifradas sin necesidad de permisos de administrador.

El método se basa en un ataque de padding oracle que abusa del manejo de errores del sistema de cifrado DPAPI de Windows y los registros de eventos para recuperar claves cifradas. A través de miles de solicitudes al servicio de elevación de Chrome, es posible descifrar las cookies protegidas. Esta técnica elude las defensas duales que combinaban cifrado por usuario y por el sistema, y ha sido integrada en herramientas de código abierto, facilitando su uso por actores menos sofisticados.

Google ha reconocido el fallo y trabaja con la comunidad para reforzar las defensas ante estas nuevas amenazas.

Más info

Ataque con RansomHub compromete red mediante RDP y herramientas legítimas

DFIR Labs ha revelado una cadena de ataque sofisticada ejecutada por un actor que utilizó el ransomware RansomHub. El acceso inicial fue obtenido mediante password spraying sobre un servidor RDP expuesto en noviembre de 2024. El atacante accedió a varias cuentas, logrando privilegios elevados y dando paso a una operación de seis días que incluyó robo de credenciales, movimientos laterales y cifrado masivo de archivos.

De acuerdo con los investigadores, se emplearon herramientas como Mimikatz, Nirsoft y escáneres de red, además de binarios legítimos como net y nltest. El uso de software remoto como Atera y Splashtop permitió mantener persistencia sin levantar sospechas. A través de Rclone, se exfiltraron 2 GB de datos a un servidor externo antes del despliegue del ransomware mediante el archivo amd64.exe.

En el ataque también se llevó a cabo el borrado de shadow copies y registros, logrando una “Time to Ransomware” de 118 horas.

Más info

Indicios de explotación activa de Citrix Bleed 2

ReliaQuest ha observado indicios de explotación activa de la vulnerabilidad CVE‑2025‑5777 (CVSSv4 9.3), conocida como Citrix Bleed 2, para obtener acceso inicial, incluyendo sesiones web secuestradas, reutilización de sesiones desde múltiples IPs, consultas LDAP para reconocimiento en Active Directory, y uso de herramientas como ADExplorer64.exe en entornos comprometidos.

Esta vulnerabilidad, que afecta a dispositivos Citrix NetScaler ADC y Gateway, permite leer memoria fuera de límites y extraer tokens de sesión, facilitando eludir la autenticación, incluso con MFA activo.

Citrix recomienda aplicar los parches disponibles —versiones ADC/Gateway 14.1‑43.56, 13.1‑58.32, 12.1‑55.328 y posteriores— y cerrar todas las sesiones activas tras la actualización para prevenir accesos persistentes.

Más info

Alemania solicita a Google y Apple retirar DeepSeek de sus tiendas

La Comisionada de Protección de Datos de Berlín solicitó formalmente a Google y Apple retirar la aplicación DeepSeek AI de sus tiendas por violaciones al Reglamento General de Protección de Datos (GDPR). Se acusa a la empresa china propietaria, Hangzhou DeepSeek AI, de recolectar ilegalmente datos de usuarios alemanes y transferirlos a servidores en China, donde no se garantizan estándares adecuados de protección.

A pesar de una solicitud previa para retirar voluntariamente la app, la empresa se negó, lo que llevó a las autoridades a invocar el Artículo 16 de la Ley de Servicios Digitales (DSA) para denunciar contenido ilegal.

Más info