Cloud Híbrida
Ciberseguridad
Data & AI
IoT y Conectividad
Business Applications
Intelligent Workplace
Pequeña y Mediana Empresa
Salud
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Ciudades Inteligentes
Sector Público
Boletín Semanal de Ciberseguridad, 5 de mayo
Explotación activa de una vulnerabilidad de bypass de autenticación en PAN-OS GlobalProtect
Rapid7 ha advertido de la explotación activa y masiva de CVE-2026-0257 (CVSSv3 9.1), una vulnerabilidad de elusión de autenticación en Palo Alto PAN-OS y Prisma Access que afecta a la función authentication override de GlobalProtect.
El fallo se produce porque las cookies de autenticación override se cifran con RSA sin ninguna verificación de firma posterior al descifrado: si el certificado empleado para este propósito es reutilizado en el servicio HTTPS del portal o gateway, cualquier atacante remoto no autenticado puede extraer la clave pública desde la cadena TLS y forjar una cookie arbitraria, obteniendo acceso VPN completo a la red interna.
Rapid7 MDR identificó la primera oleada de explotación el 17 de mayo desde infraestructura alojada en Vultr, y una segunda el 21 de mayo desde Dromatics Systems, con la misma dirección MAC falsificada en ambas, lo que apunta a un único actor. La vulnerabilidad fue añadida al catálogo CISA KEV el 29 de mayo.
■ Los equipos de seguridad deben aplicar el parche publicado por Palo Alto con carácter urgente o, como mitigación temporal, deshabilitar la función authentication override o generar un certificado exclusivo para ella.
Nueva variante de Shai-Hulud en paquetes npm de Red Hat comprometidos
Más de 30 paquetes del repositorio npm bajo el nombre de Red Hat fueron comprometidos en un ataque a la cadena de suministro que distribuyó una nueva variante del malware Shai-Hulud denominada Miasma, descubierta por las firmas Aikido y OX Security.
Los atacantes comprometieron la cuenta de GitHub de un empleado de Red Hat y la utilizaron para inyectar un flujo de trabajo malicioso en GitHub Actions que publicó versiones backdoored de los paquetes abusando del mecanismo de publicación confiable de npm mediante tokens OIDC de corta duración. El payload obfuscado de 4,2 MB, ejecutado automáticamente mediante un preinstall script, roba secretos de GitHub Actions, credenciales de AWS, Google Cloud y Azure, tokens de HashiCorp Vault, tokens de ServiceAccount de Kubernetes, claves SSH, credenciales de Docker, claves GPG y ficheros .env.
OX Security señala que Miasma añade capas adicionales de ofuscación y mecanismos de entrega multi-stage respecto al Mini Shai-Hulud original, cuyo código fuente fue publicado por el grupo TeamPCP en mayo. Los paquetes afectados acumulaban aproximadamente 117.000 descargas semanales, y a fecha de publicación 309 repositorios de GitHub habían sido comprometidos por la campaña.
■ Las organizaciones que hayan instalado versiones afectadas deben rotar inmediatamente todas las credenciales, secretos y tokens presentes en los sistemas comprometidos.
PoC pública permite robar tokens OAuth de GitHub mediante github.dev y VSCode
El investigador Ammar Askar publicó una prueba de concepto capaz de robar tokens OAuth de GitHub al abrir un repositorio malicioso en github.dev, sin página de phishing ni interacción adicional más allá del clic inicial. La cadena aprovecha el manejo de webviews de VSCode, donde eventos de teclado sintéticos generados desde contenido no confiable pueden ser tratados como entrada legítima por la ventana principal del editor.
El ataque instala extensiones locales en el entorno, recupera el token de sesión de GitHub y puede acceder a repositorios privados, modificar código, activar flujos de trabajo y operar sobre todo el alcance asociado al usuario.
■ Hasta que exista corrección oficial, la mitigación práctica indicada por el investigador es borrar los datos locales de github.dev en el navegador y evitar abrir enlaces a notebooks o repositorios no confiables desde sesiones autenticadas.
HTTP/2 Bomb colapsa NGINX, Apache, IIS y Envoy en menos de un minuto desde un único equipo
Investigadores de la firma de seguridad ofensiva Calif han documentado HTTP/2 Bomb, una técnica de denegación de servicio que combina la amplificación de compresión HPACK con una vulnerabilidad (CVE-2026-49975, CVSSv3 9.8 según Tenable) en el bloqueo de ventana de control de flujo HTTP/2 (Slowloris-style), alcanzando ratios de amplificación de memoria de 5.700:1 en Envoy y 4.000:1 en Apache httpd. Un único cliente con conexión de 100 Mbps puede agotar 32 GB de RAM del servidor en 10-45 segundos según la implementación; en IIS con Windows Server 2025, el agotamiento de 64 GB se produce en aproximadamente 45 segundos.
El ataque elude defensas existentes basadas en el tamaño total de cabeceras porque los valores individuales son mínimos, y la amplificación procede del conteo interno de cabeceras. NGINX recibió parche en la versión 1.29.8 y Apache httpd mod_http2 en la 2.0.41; IIS, Envoy y Cloudflare Pingora permanecen sin parche. Ya existe PoC pública.
■ Las organizaciones que no puedan parchear de inmediato deben desactivar HTTP/2 o situar un proxy/WAF con límite estricto de número de cabeceras frente a los servidores vulnerables.
CISA alerta de ataques contra sistemas de monitorización de combustible en infraestructuras críticas
CISA, FBI, NSA, el Departamento de Energía y otros socios gubernamentales de EE. UU. alertan de actividad maliciosa contra sistemas de control ATG (Automatic Tank Gauge) expuestos a Internet, utilizados para monitorizar tanques de combustible y líquidos en energía, química, alimentación, agricultura y transporte.
Los atacantes estarían accediendo mediante vulnerabilidades de authentication bypass, credenciales embebidas, ejecución de comandos, SQL injection y fallos de escalada de privilegios, para modificar parámetros de red, identificadores de producto, volúmenes de tanque, controles de bomba y alertas. Aunque la actividad no se atribuye formalmente, encaja con incidentes previos contra estaciones de servicio investigados en mayo.
■ La recomendación operativa es retirar los ATG de Internet, restringir accesos remotos con firewall, VPN o ACLs, cambiar credenciales por defecto, aplicar MFA y monitorizar cambios no autorizados.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
