Entradas de blog etiquetadas con ' #cyberthreats ' Rss

De la prevención a la contención: El nuevo modelo de protección para usuarios

Durante años, las organizaciones han invertido en soluciones de protección para endpoints con el objetivo de detener malware, ransomware y ataques avanzados. Y aunque estas tecnologías siguen siendo fundamentales, existe una realidad que los equipos de seguridad no pueden ignorar:

"La mayoría de las amenazas modernas comienzan mucho antes de que el malware se ejecute".

El futuro de la seguridad comienza antes del malware
• La pregunta ya no es si una organización cuenta con protección para endpoints.
• La pregunta es si tiene visibilidad suficiente para identificar riesgos antes de que lleguen al endpoint.
• Las amenazas modernas aprovechan el comportamiento humano, los navegadores y las herramientas de IA para encontrar nuevas formas de ingresar a las organizaciones.
• Por ello, la resiliencia de las estaciones de trabajo debe construirse sobre dos pilares:
• Prevenir antes de la ejecución.
• Contener después de la ejecución.

Las organizaciones que logren integrar ambas capacidades estarán mejor preparadas para enfrentar un panorama de amenazas cada vez más dinámico, distribuido y orientado al usuario.

Servicio XDR Endpoint Security

Servicio XDR para una computadora o servidor por 12 meses. Recopila telemetría de seguridad en tiempo real para identificar, correlacionar e investigar amenazas avanzadas que evaden soluciones tradicionales.

* Suscripción anual

BitUnlocker recuerda una realidad incómoda el cifrado: No es suficiente

Una amenaza de ciberseguridad herramienta de prueba de concepto (PoC) recientemente publicada, llamada BitUnlocker, demuestra un peligroso ataque de degradación que puede eludir el cifrado de disco completo BitLocker de Microsoft en dispositivos con Windows 11.

¿Cuál es la exposición o el riesgo?

La vulnerabilidad afecta a las configuraciones BitLocker solo con TPM y PCR 7+11, que representan las configuraciones predeterminadas más comunes en las empresas, dejando expuesta una amplia gama de portátiles y estaciones de trabajo corporativas. El exploit aprovecha el hecho de que el Arranque Seguro sigue confiando en la cadena de certificados heredada "Windows PCA 2011" en muchos sistemas. Dado que el gestor de arranque permanece correctamente firmado, el TPM trata el proceso de arranque como de confianza y libera automáticamente las claves de descifrado de BitLocker. Como resultado, Windows no muestra una pantalla de recuperación ni una advertencia durante el ataque.

🛡️ Cómo reducir el riesgo (antes de que alguien más lo haga por ti)

• Habilitar la autenticación previa al arranque mediante TPM + PIN.
• Migrar a Windows UEFI CA 2023.
• Aplicar el parche de julio de 2025.
• Elimine la partición de recuperación de WinRE.
• Verifique el certificado del administrador de arranque activo.

Vulnerabilidad de alto impacto en ConnectWise podría permitir el código malicioso. 

ConnectWise ha revelado una vulnerabilidad de alto impacto en su plataforma ConnectWise Automate que podría permitir a los atacantes eludir la validación crítica de integridad durante la carga de complementos y los mecanismos de autoactualización del agente, lo que podría habilitar la ejecución de código malicioso en las implementaciones locales afectadas.

¿Cuál es la exposición o el riesgo?

Esta vulnerabilidad afecta a las implementaciones locales de ConnectWise Automate que ejecutan versiones anteriores a la 2026.5. ConnectWise señala que las instancias alojadas en la nube ya se han actualizado automáticamente, lo que reduce la exposición en entornos de nube gestionados. Una explotación exitosa puede permitir a un atacante ejecutar componentes maliciosos mediante la carga de complementos y la autoactualización del Agente de Automate, lo que conlleva la ejecución de código no autorizado en el sistema del agente. Esto podría proporcionar al atacante una puerta de entrada para actividades posteriores.

🛡️ Cómo reducir el riesgo (antes de que alguien más lo haga por ti)

• Actualice ConnectWise Automate local a la versión 2026.5 o posterior para solucionar el problema de validación de integridad/autenticidad que afecta a la carga de complementos y a los componentes de autoactualización.
• Revise si hay actividad anómala de carga de complementos del agente o de autoactualización, comprobando la red relacionada y la telemetría del agente/actualización en busca de indicios de descargas o comportamientos inesperados de componentes (especialmente dentro del período de tiempo de actividad inusual).
• Limite la exposición a redes adyacentes restringiendo las rutas de red y el acceso necesarios para las operaciones de Automate, lo que reduce la posibilidad de que un atacante manipule los componentes descargados durante los flujos de trabajo de carga/actualización automática de complementos.
• Cree un plan de respuesta ante incidentes para escenarios de vulneración de seguridad de Automate.

RedSun, capaz de explotar Microsoft Defender 

Una nueva prueba de concepto (PoC), RedSun, explota vulnerabilidades en dispositivos Windows que ejecutan la protección en tiempo real de Microsoft Defender en Windows 10, Windows 11 y Windows Server 2019+. Aprovecha el manejo de archivos etiquetados en la nube por parte de Defender para lograr una escalada de privilegios local a SYSTEM.

¿Cuál es la exposición o el riesgo?

La protección en tiempo real de Microsoft Defender queda expuesta a esta vulnerabilidad cuando los atacantes utilizan archivos etiquetados en la nube a través de la API de Archivos en la nube. Los informes de seguridad confirman que la prueba de concepto funciona en sistemas con todas las actualizaciones instaladas en abril de 2026 y se activa cuando la corrección de Defender realiza una reescritura no validada o una restauración a la ruta original.

El riesgo inmediato es la escalada de privilegios locales a SYSTEM, que los atacantes pueden aprovechar para comprometer completamente el sistema, robar credenciales, mantener el acceso no autorizado, usar ransomware o realizar movimientos laterales. Los indicadores basados ​​en evidencia incluyen eventos de Defender relacionados con archivos etiquetados en la nube, seguidos de actividades de restauración o sobrescritura de archivos, así como la ejecución de binarios sobrescritos desde ubicaciones con permisos de escritura para el usuario bajo el contexto de SYSTEM.

🛡️ Cómo reducir el riesgo (antes de que alguien más lo haga por ti)

Monitorear los indicadores de explotación activa:

• Sobrescritura de C:\Windows\System32\TieringEngineService.exe, ejecución de SYSTEM vinculada a la infraestructura de archivos en la nube.
• Archivos binarios de preparación que el usuario puede escribir (por ejemplo, RedSun.exe en Descargas/Imágenes).
• Validar las alertas recientes de etiquetas en la nube de Defender seguidas del comportamiento de restauración/sobrescritura.
• Aplique todas las actualizaciones de Defender/SO y, hasta que Microsoft publique la solución, considere limitar o deshabilitar temporalmente las funciones de archivos en la nube siempre que sea posible.
• Restringir las rutas de escritura/ejecución de los usuarios locales y aumentar la monitorización.
• Crear y ensayar un plan de respuesta ante incidentes específico para RedSun:
• Desarrollar un manual de procedimientos al estilo Outlook-RCE que defina las medidas de contención, incluido el aislamiento de los huéspedes sospechosos.
• Conserve el correo electrónico malicioso y los artefactos relevantes de Outlook/correo electrónico y registro del punto final.
• Revise los procedimientos de aplicación de parches y de escalamiento.
• Revise la telemetría en busca de comportamientos sospechosos activados por correo electrónico o por respuesta.
• Gire y verifique las credenciales según sea necesario ante la sospecha de una posible vulneración de seguridad.

Una vulnerabilidad crítica en Ghost CMS está siendo explotada 

Los atacantes están explotando una vulnerabilidad crítica, identificada como CVE-2026-26980, en el sistema de gestión de contenido (CMS) Ghost para comprometer más de 700 sitios web legítimos.

¿Cuál es la exposición o el riesgo?

El riesgo principal es doble: la filtración de datos y el secuestro de contenido. Los atacantes pueden explotar la vulnerabilidad de inyección SQL para extraer datos confidenciales de las bases de datos de Ghost, incluidos tokens de autenticación, credenciales de usuario y claves de API de administrador. Con estas claves, pueden modificar programáticamente el contenido del sitio e inyectar cargadores maliciosos, poniendo a los visitantes en riesgo de infección por malware y de sufrir vulneraciones posteriores.

Más de 700 sitios web ya han sido comprometidos, y muchos siguen sin responder a las notificaciones. Esto genera un riesgo constante tanto para los operadores de sitios como para los usuarios, incluyendo daños a la reputación, pérdida de confianza y el uso indebido de dominios legítimos como canales de distribución de malware.

🛡️ Cómo reducir el riesgo (antes de que alguien más lo haga por ti)

• Actualiza Ghost CMS a la versión 6.19.1 o posterior en todas las instancias.
• Asegúrese de que todos los plugins, temas y dependencias estén actualizados.
• Regenerar las claves API de administración y las claves API de contenido.
• Restablecer las contraseñas de administrador y de usuario.
• Invalidar y volver a emitir los tokens/sesiones utilizados por Ghost.
• Revisa las publicaciones, páginas y plantillas en busca de código JavaScript o HTML inesperado.
• Inspeccione los registros de administración/API en busca de accesos, direcciones IP o actividades inusuales.
• Busque cargadores JS desconocidos o relacionados con ClickFix incrustados en el contenido.
• Restrinja el acceso a la base de datos y utilice cuentas de base de datos con privilegios mínimos.
• Limite el acceso de administrador mediante VPN, listas de direcciones IP permitidas o autenticación multifactor (MFA) robusta.
• Deshabilita o bloquea las API e integraciones innecesarias

Acceso total: Así funciona el nuevo Zero-Day en Cisco SD-WAN 

Se ha identificado una vulnerabilidad de día cero de omisión de autenticación, identificada como CVE-2026-20182 con una puntuación CVSS máxima de 10.0, en Cisco Catalyst SD-WAN Controller y Manager. Esta vulnerabilidad permite a atacantes no autenticados obtener el máximo nivel de acceso administrativo a los sistemas afectados sin credenciales válidas y actualmente está siendo explotada activamente por UAT-8616, un grupo de amenazas persistente y sofisticado previamente vinculado a múltiples campañas de día cero dirigidas a tecnologías de borde de red de Cisco.

¿Cuál es la exposición o el riesgo?

Las organizaciones que corren mayor riesgo son aquellas que utilizan versiones sin parchear del controlador o administrador Cisco Catalyst SD-WAN, independientemente del tipo de implementación. Esto incluye entornos locales, en la nube y FedRAMP. El riesgo también aumenta cuando las organizaciones exponen las interfaces del controlador o administrador SD-WAN a redes accesibles desde internet, lo que proporciona a los atacantes un punto de entrada directo. Además, las organizaciones que dependen de Cisco SD-WAN para gestionar infraestructuras distribuidas en sucursales, centros de datos y entornos en la nube se ven más afectadas.

Entre las posibles repercusiones se incluyen el control administrativo no autorizado de toda la red superpuesta SD-WAN, la interceptación o manipulación del tráfico enrutado, el despliegue masivo de configuraciones maliciosas, la interrupción del servicio en toda la organización y un posible punto de inflexión para un mayor movimiento lateral hacia la infraestructura conectada.

🛡️ Cómo reducir el riesgo (antes de que alguien más lo haga por ti)

Aplique de inmediato los parches publicados por Cisco para la vulnerabilidad CVE-2026-20182 a todas las implementaciones de Cisco Catalyst SD-WAN Controller y Manager.

Revise y restrinja el acceso externo a los servicios del plano de administración de SD-WAN; limite el acceso únicamente a rangos de IP de confianza y redes de administración.

Revise la exposición a las tres vulnerabilidades previamente encadenadas (CVE-2026-20122, CVE-2026-20128, CVE-2026-20133) y confirme que se hayan aplicado los parches.

Implementar la segmentación de red para aislar la infraestructura de gestión de SD-WAN de las redes de uso general y los sistemas conectados a Internet.

Acceso total: Así funciona el nuevo Zero-Day en Cisco SD-WAN 

Se ha identificado una vulnerabilidad de día cero de omisión de autenticación, identificada como CVE-2026-20182 con una puntuación CVSS máxima de 10.0, en Cisco Catalyst SD-WAN Controller y Manager. Esta vulnerabilidad permite a atacantes no autenticados obtener el máximo nivel de acceso administrativo a los sistemas afectados sin credenciales válidas y actualmente está siendo explotada activamente por UAT-8616, un grupo de amenazas persistente y sofisticado previamente vinculado a múltiples campañas de día cero dirigidas a tecnologías de borde de red de Cisco.

¿Cuál es la exposición o el riesgo?

Las organizaciones que corren mayor riesgo son aquellas que utilizan versiones sin parchear del controlador o administrador Cisco Catalyst SD-WAN, independientemente del tipo de implementación. Esto incluye entornos locales, en la nube y FedRAMP. El riesgo también aumenta cuando las organizaciones exponen las interfaces del controlador o administrador SD-WAN a redes accesibles desde internet, lo que proporciona a los atacantes un punto de entrada directo. Además, las organizaciones que dependen de Cisco SD-WAN para gestionar infraestructuras distribuidas en sucursales, centros de datos y entornos en la nube se ven más afectadas.

Entre las posibles repercusiones se incluyen el control administrativo no autorizado de toda la red superpuesta SD-WAN, la interceptación o manipulación del tráfico enrutado, el despliegue masivo de configuraciones maliciosas, la interrupción del servicio en toda la organización y un posible punto de inflexión para un mayor movimiento lateral hacia la infraestructura conectada.

🛡️ Cómo reducir el riesgo (antes de que alguien más lo haga por ti)

Aplique de inmediato los parches publicados por Cisco para la vulnerabilidad CVE-2026-20182 a todas las implementaciones de Cisco Catalyst SD-WAN Controller y Manager.

Revise y restrinja el acceso externo a los servicios del plano de administración de SD-WAN; limite el acceso únicamente a rangos de IP de confianza y redes de administración.

Revise la exposición a las tres vulnerabilidades previamente encadenadas (CVE-2026-20122, CVE-2026-20128, CVE-2026-20133) y confirme que se hayan aplicado los parches.

Implementar la segmentación de red para aislar la infraestructura de gestión de SD-WAN de las redes de uso general y los sistemas conectados a Internet.

Vulnerabilidad de omisión de autenticación está poniendo bajo presión entornos Cisco SD-WAN. 

Se ha identificado una vulnerabilidad de día cero de omisión de autenticación, identificada como CVE-2026-20182 con una puntuación CVSS máxima de 10.0, en Cisco Catalyst SD-WAN Controller y Manager. Esta vulnerabilidad permite a atacantes no autenticados obtener el máximo nivel de acceso administrativo a los sistemas afectados sin credenciales válidas y actualmente está siendo explotada activamente por UAT-8616, un grupo de amenazas persistente y sofisticado previamente vinculado a múltiples campañas de día cero dirigidas a tecnologías de borde de red de Cisco.

¿Cuál es la exposición o el riesgo?

Las organizaciones que corren mayor riesgo son aquellas que utilizan versiones sin parchear del controlador o administrador Cisco Catalyst SD-WAN, independientemente del tipo de implementación. Esto incluye entornos locales, en la nube y FedRAMP. El riesgo también aumenta cuando las organizaciones exponen las interfaces del controlador o administrador SD-WAN a redes accesibles desde internet, lo que proporciona a los atacantes un punto de entrada directo. Además, las organizaciones que dependen de Cisco SD-WAN para gestionar infraestructuras distribuidas en sucursales, centros de datos y entornos en la nube se ven más afectadas.

Entre las posibles repercusiones se incluyen el control administrativo no autorizado de toda la red superpuesta SD-WAN, la interceptación o manipulación del tráfico enrutado, el despliegue masivo de configuraciones maliciosas, la interrupción del servicio en toda la organización y un posible punto de inflexión para un mayor movimiento lateral hacia la infraestructura conectada.

🛡️ Cómo reducir el riesgo (antes de que alguien más lo haga por ti)

Aplique de inmediato los parches publicados por Cisco para la vulnerabilidad CVE-2026-20182 a todas las implementaciones de Cisco Catalyst SD-WAN Controller y Manager.

Revise y restrinja el acceso externo a los servicios del plano de administración de SD-WAN; limite el acceso únicamente a rangos de IP de confianza y redes de administración.

Revise la exposición a las tres vulnerabilidades previamente encadenadas (CVE-2026-20122, CVE-2026-20128, CVE-2026-20133) y confirme que se hayan aplicado los parches.

Implementar la segmentación de red para aislar la infraestructura de gestión de SD-WAN de las redes de uso general y los sistemas conectados a Internet.

Vulnerabilidad de día cero PAN-OS permite a atacantes ejecutar código remoto 

Los ciberdelincuentes están explotando activamente una vulnerabilidad de día cero en PAN-OS que afecta al portal de autenticación de ID de usuario (cautivo). Esta vulnerabilidad permite la ejecución remota de código sin autenticación con privilegios de administrador en firewalls de las series PA y VM.

¿Cuál es la exposición o el riesgo?

Las organizaciones que exponen el portal de autenticación de ID de usuario de PAN-OS a redes no confiables se enfrentan a un riesgo inmediato. Una explotación exitosa puede otorgar a los atacantes control total de nivel raíz del firewall, lo que permite la manipulación de la configuración, la persistencia, el robo de credenciales y el reconocimiento de Active Directory o del dominio mediante cuentas de servicio almacenadas en el dispositivo. Los atacantes también pueden establecer túneles ocultos para penetrar más profundamente en el entorno y extraer datos, eliminando registros y artefactos para dificultar la respuesta a incidentes y prolongar el tiempo de permanencia.

🛡️ Cómo reducir el riesgo (antes de que alguien más lo haga por ti)

inventaríe todos los firewalls de las series PA y VM y determine si el portal de autenticación de ID de usuario (cautivo) está habilitado y es accesible desde redes no confiables.

Mapear las zonas de acceso y las interfaces para identificar cualquier exposición a Internet o a socios comerciales.

Confirme que las implementaciones de Prisma Access, Cloud NGFW y Panorama no se vean afectadas.

Aplicar medidas de mitigación inmediatas:

• Restrinja el acceso al portal cautivo únicamente a redes internas de confianza; asegúrese de que no sea accesible públicamente.
• Desactive las páginas de respuesta en los perfiles de administración de interfaz asociados a interfaces de capa 3 no confiables o con acceso a Internet.
• Desactive completamente el portal cautivo si no es necesario.
• Habilite la ID de amenaza 510019 y actualice a la versión 9097-10022 o posterior del contenido de Aplicaciones y amenazas (clientes de Prevención avanzada de amenazas).
• Asegúrese de tener PAN-OS 11.1 o posterior para la compatibilidad con el decodificador.

Refuerzo de los controles de red y gestión:

• Aísle el plano de administración mediante redes de administración dedicadas o acceso VPN con autenticación multifactor (MFA) y lista blanca de direcciones IP.
• Siempre que sea posible, coloque los servicios accesibles desde Internet detrás de servidores proxy de confianza.
• Reenvíe todos los registros del firewall a un SIEM externo o a un repositorio de registros seguro prácticamente en tiempo real.

Detección y búsqueda de vulnerabilidades:

• Inspeccione los dispositivos expuestos para detectar comportamientos anormales del proceso NGINX, fallos, volcados de memoria o uso de ptrace.
• Revise los registros del sistema, de fallos y de NGINX en busca de lagunas o eliminaciones cerca de las ventanas de posible explotación.
• Búsqueda de herramientas de tunelización (por ejemplo, Earthworm, ReverseSocks5), reconocimiento de directorios mediante cuentas de servicio de firewall y conexiones salientes anómalas o túneles SOCKS.
• Supervise las consultas sospechosas a Active Directory, el uso de credenciales y las anomalías de autenticación SAML de alto volumen.

Responder y recuperarse:

• Aísle inmediatamente cualquier dispositivo que se sospeche que está comprometido y conserve los registros y los archivos relevantes.
• Involucre a los equipos de soporte del proveedor y de respuesta a incidentes.
• Reinstalar una imagen de PAN-OS en los dispositivos afectados, utilizando una versión que se sabe que funciona correctamente, y restaurar las configuraciones validadas.
• Rote todas las credenciales, secretos, claves API y certificados asociados al firewall.
• Validar los nodos HA para detectar compromisos secundarios.

Fortalecer la gobernanza y la garantía de calidad:

• Implementar acuerdos de nivel de servicio (SLA) para la aplicación rápida de parches y la actualización de contenido en los servicios expuestos a Internet.
• Verifique periódicamente que el portal cautivo no esté expuesto a redes no confiables.
• Supervise continuamente la superficie de ataque externa y haga un seguimiento de los avisos de los proveedores para tomar medidas oportunas.

No atacaron a la IA: Atacaron a la plataforma donde se conecta

Investigadores de seguridad han confirmado la explotación activa de una vulnerabilidad crítica de inyección SQL en el proxy LiteLLM. Se trata de una plataforma de IA de código abierto ampliamente utilizada para centralizar y gestionar el acceso a la API de grandes proveedores de modelos de lenguaje (LLM) como OpenAI, Anthropic y Google.

• Ejecución arbitraria de consultas SQL contra la base de datos LiteLLM.
• Acceso no autorizado a las claves API del proveedor LLM almacenadas.
• Inspección o modificación de la configuración del proxy y las tabalas de credenciales

La importancia de la actualización

La vulnerabilidad afecta a las versiones de LiteLLM desde la 1.81.16 hasta la 1.83.7. El problema se solucionó en la versión 1.83.7, y el proveedor recomienda la versión 1.83.10-stable como la preferida.

Recomendaciones.

• Actualice inmediatamente LiteLLM a la versión 1.83.7 o posterior, siendo la versión 1.83.10-stable la preferida.
• Restringir la exposición de la red de los proxies LiteLLM, limitando el acceso a rangos de IP de confianza o redes internas.
• Rote todas las claves API del proveedor LLM almacenadas en las instancias de proxy afectadas, especialmente si la exposición ocurrió antes de la aplicación del parche.