Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 8-14 febrero
Microsoft corrige cuatro vulnerabilidades 0-day en su Patch Tuesday de febrero
Microsoft ha publicado su Patch Tuesday de febrero de 2025 corrigiendo 55 fallos de seguridad. En este Patch Tuesday se incluyen cuatro vulnerabilidades 0-day, dos de las cuales estarían siendo explotadas activamente. Estas vulnerabilidades han sido denominadas CVE-2025-21391, CVSSv3 7.1 según Microsoft y que permite a atacantes eliminar archivos del sistema, y CVE-2025-21418, con CVSSv3 7.8 según proveedor y que otorga privilegios SYSTEM en Windows.
Microsoft no ha publicado más información acerca de los ataques en los que estos fallos estaban siendo explotados activamente. Asimismo, los otros dos fallos 0-day que han sido parcheados son CVE-2025-21194, CVSSv3 7.1 según Microsoft, que permite evadir la seguridad en dispositivos Surface, y CVE-2025-21377, CVSSv3 6.5 según proveedor, que expone hashes NTLM de usuarios. Además, se han corregido tres fallos críticos de ejecución remota de código. La actualización también incluye parches previos para Microsoft Edge y Dynamics 365.
Ivanti parchea varias vulnerabilidades, tres de ellas críticas
Ivanti ha publicado su boletín de seguridad de febrero, en el que proporciona parches para ocho vulnerabilidades, tres de ellas críticas, una alta y cuatro de criticidad media. La que ha recibido la puntuación más alta es la vulnerabilidad CVE-2025-22467 (CVSSv3 9.9 según proveedor), un desbordamiento de búfer en Ivanti Connect Secure que permite a atacantes autenticados desencadenar corrupción de memoria y ejecutar código arbitrario en el sistema.
Las otras dos vulnerabilidades críticas son CVE-2024-38657 (CVSSv3 9.1 según Ivanti), vulnerabilidad de control externo de nombres de archivo en Ivanti Connect Secure e Ivanti Policy Secure, y CVE-2024-10644 (CVSSv3 9.1 según proveedor), problema de inyección de código en Ivanti Connect Secure y Ivanti Policy Secure. Cabe destacar que la empresa ha indicado que en el momento de la publicación del boletín no se tenía conocimiento de que las vulnerabilidades hayan sido explotadas en ningún ataque.
Corregido un fallo MitM en OpenSSL
OpenSSL ha parcheado una nueva vulnerabilidad en su biblioteca de comunicaciones seguras. El fallo fue reportado por investigadores de Apple, siendo rastreado como CVE-2024-12797 y sin puntuación CVSS asignada por el momento. OpenSSL contiene una implementación de código abierto de los protocolos SSL y TLS. Por ello, las conexiones TLS/DTLS de clientes que utilizan claves públicas sin procesar (RPK) RFC7250 pueden ser vulnerables a ataques man-in-the-middle (MitM) debido a problemas en las comprobaciones de autenticación del servidor en el modo SSL_VERIFY_PEER.
La vulnerabilidad afecta a los clientes TLS que activan las RPK y confían en SSL_VERIFY_PEER para detectar fallos de autenticación, habilitando el envío de RPK en vez de una cadena de certificados X.509. No obstante, OpenSSL señaló que las RPK están desactivadas por defecto en los clientes y los servidores TLS. Las versiones afectadas son OpenSSL 3.4, 3.3 y 3.2, mitigándose la vulnerabilidad en las versiones 3.4.1, 3.3.2 y 3.2.4.
Cl0p ransomware ataca a 43 organizaciones aprovechando una vulnerabilidad crítica
El grupo de ransomware Cl0p ha listado 43 nuevas víctimas en su sitio de filtraciones, aunque a fecha de redacción de estas líneas el actor de amenazas aún no habría publicado los datos exfiltrados. De acuerdo con un análisis publicado por Cyfirma, de entre estas nuevas víctimas publicadas los sectores más afectados son el industrial (37%), retail (26%) y transporte (14%), con un 72% de las organizaciones ubicadas en EE.UU.
Los investigadores afirman que el grupo, que lleva activo desde al menos principios de 2019 y habría sido relacionado con el actor TA505 (EvilCorp), obtuvo acceso inicial mediante la explotación de la vulnerabilidad crítica CVE-2024-50623 (CVSSv3 9.8) en Cleo, permitiendo la ejecución remota de código. Asimismo, los investigadores destacan que, cuando fue publicado su análisis, más de 1,6 millones de activos estarían empleando versiones vulnerables del software.
Quishing 2.0: nueva técnica de distribución de malware mediante códigos QR
Los investigadores de Tripwire han publicado un nuevo artículo en el que alertan sobre el auge del quishing, una técnica de fraude basada en códigos QR falsificados. Los atacantes utilizan estos códigos para redirigir a víctimas a sitios fraudulentos, robar credenciales y distribuir malware. Entre las tácticas más comunes se encuentran la inclusión de códigos QR maliciosos en correos electrónicos, impresos en lugares públicos o utilizados en ofertas engañosas.
La evolución del ataque, que desde Tripwire han denominado quishing 2.0, combina redirecciones a sitios legítimos para eludir medidas de seguridad. Para mitigar el riesgo, los investigadores enfatizan la importancia de llevar a cabo las medidas de seguridad necesarias, recomendando especialmente capacitar al personal, la implementación de sistemas de autenticación multifactor y el uso de soluciones avanzadas de seguridad en correos electrónicos.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
