Esta semana se destacan la explotación activa de la grave vulnerabilidad CitrixBleed 2 en dispositivos NetScaler, que permite a atacantes no autenticados acceder a memoria sensible y robar sesiones, con CISA imponiendo plazos urgentes para aplicar parches. Asimismo, Fortinet FortiWeb y Wing FTP Server enfrentan ataques de ejecución remota de código gracias a fallos de inyección SQL, mientras que Google Gemini Workspace y plugins populares de WordPress han sido blanco de vulnerabilidades que facilitan la distribución de malware y control remoto de sistemas.
CISA confirma explotación activa de CitrixBleed 2 en dispositivos NetScaler
La Agencia de Ciberseguridad de los Estados Unidos (CISA) confirmó que la vulnerabilidad crítica CitrixBleed 2 (CVE-2025-5777) en dispositivos NetScaler Gateway y ADC está siendo explotada activamente. El fallo, un error de lectura fuera de límites, permite a atacantes no autenticados acceder a memoria sensible del sistema y obtener tokens de sesión de usuarios. La situación es tan grave que la agencia estadounidense ordenó a sus entidades federales instalar los parches en menos de 24 horas.
La vulnerabilidad afecta versiones anteriores a ciertos parches lanzados en junio, y su similitud con el ataque CitrixBleed original de 2023 genera alta preocupación. Aunque Citrix aún no ha actualizado su aviso oficial, los investigadores han detectado múltiples exploits públicos y pruebas activas de su uso. Se recomienda actualizar inmediatamente, terminar sesiones activas potencialmente comprometidas y, si no es posible aplicar parches, restringir el acceso mediante reglas de firewall o ACLs.
Cisco alerta por grave vulnerabilidad en ISE con riesgo de ejecución remota y escalamiento de privilegios
Una nueva vulnerabilidad crítica identificada como CVE-2025-20337 afecta a Cisco Identity Services Engine (ISE) en sus versiones 3.3 y 3.4, permitiendo a atacantes no autenticados ejecutar código arbitrario, almacenar archivos maliciosos o incluso obtener acceso como usuario root. La falla fue calificada con una puntuación de severidad máxima (10/10) y se origina en la validación insuficiente de entradas suministradas por usuarios a través de una API. La vulnerabilidad fue descubierta por el investigador japonés Kentaro Kawane y reportada mediante Trend Micro Zero Day Initiative.
Este hallazgo se suma a otros dos fallos similares (CVE-2025-20281 y CVE-2025-20282) que también afectan ISE y su versión para conectores de políticas (ISE-PIC), y que pueden explotarse de forma independiente. Cisco advierte que aplicar los parches anteriores no mitiga la nueva falla, y urge a los usuarios a actualizar a ISE 3.3 Patch 7 o ISE 3.4 Patch 2, ya que no existen soluciones alternativas ni mitigaciones disponibles.
Adicionalmente, Cisco publicó cuatro avisos sobre vulnerabilidades de severidad media y alta en otros productos como Cisco Unified Intelligence Center y Cisco Prime Infrastructure. Aunque no se ha detectado explotación activa de estas fallas, se recomienda a los administradores aplicar los parches correspondientes y revisar la compatibilidad de sus sistemas antes de actualizar.
Detectan vulnerabilidad en Gemini de Google Workspace que permite resúmenes con instrucciones maliciosas
Un investigador reveló una vulnerabilidad en Google Gemini para Workspace que permite generar resúmenes de correos electrónicos con instrucciones maliciosas ocultas, sin necesidad de incluir enlaces o archivos adjuntos. Esta técnica aprovecha prompt injections invisibles mediante HTML y CSS que ocultan mensajes en el cuerpo del correo, los cuales son interpretados por Gemini al generar el resumen, generando avisos falsos que pueden redirigir a sitios de phishing.
La falla fue reportada a través del programa 0DIN de Mozilla por el investigador Marco Figueroa, quien demostró cómo el modelo obedecía instrucciones ocultas que simulaban advertencias de seguridad falsas. Google aseguró estar trabajando en nuevas mitigaciones, aunque afirma no haber detectado incidentes reales con esta técnica. Se recomienda a los usuarios no confiar ciegamente en los resúmenes generados por IA para temas sensibles como alertas de seguridad.
Detectan explotación activa de grave vulnerabilidad en Fortinet FortiWeb
Múltiples dispositivos FortiWeb de Fortinet han sido comprometidos tras la publicación de exploits para la vulnerabilidad crítica CVE-2025-25257, una falla de ejecución remota de código (RCE) sin autenticación previa basada en inyección SQL. Según The Shadowserver Foundation, al menos 85 instancias fueron infectadas con webshells el 14 de julio, y otras 77 al día siguiente. La vulnerabilidad afecta a versiones de FortiWeb entre la 7.0.0 y la 7.6.3, y permite a atacantes ejecutar comandos maliciosos mediante peticiones HTTP especialmente diseñadas.
El exploit, hecho público el 11 de julio, permite inyectar código en archivos .pth dentro de los paquetes de Python usados por FortiWeb, los cuales se ejecutan al activar ciertos scripts CGI del sistema. Fortinet había lanzado parches el 8 de julio, pero muchas instancias aún no han sido actualizadas.
Ante esta situación, se insta a los administradores a actualizar inmediatamente a versiones seguras (7.6.4, 7.4.8, 7.2.11 o 7.0.11). Si la actualización no es posible de inmediato, se recomienda desactivar las interfaces administrativas HTTP/HTTPS como medida temporal para mitigar el riesgo.
Google corrige vulnerabilidad crítica en Chrome que permite evadir el sandbox
Google lanzó una actualización de seguridad para Chrome que corrige seis fallos, uno de ellos (CVE-2025-6558) ya está siendo activamente explotado. Este error, con una severidad de 8.8, permite a atacantes escapar del sandbox del navegador mediante una página HTML maliciosa, afectando las versiones anteriores a la 138.0.7204.157. El problema se encuentra en ANGLE, la capa de gráficos que traduce comandos de WebGL al hardware, lo que aumenta su impacto por tratarse de un componente que interactúa con contenido no confiable.
El fallo fue descubierto por el equipo de Google Threat Analysis Group (TAG) y se une a una serie de vulnerabilidades explotadas este año en Chrome. Google recomienda actualizar de inmediato para evitar que actores maliciosos ejecuten código fuera del entorno aislado del navegador. Junto con este parche, se corrigieron otros errores importantes en componentes como V8 y WebRTC, aunque sin evidencia de explotación activa.
Microsoft lanza parche de emergencia por error que bloqueaba el arranque de máquinas virtuales en Azure
Microsoft lanzó una actualización de emergencia (KB5064489) para corregir un error crítico que impedía iniciar máquinas virtuales en Azure cuando estaba habilitada la función Virtualization-Based Security (VBS) y desactivada la opción Trusted Launch. El problema, presente en Windows Server 2025 y Windows 11 24H2, fue introducido por la actualización de seguridad del Patch Tuesday de julio y estaba relacionado con una falla en la inicialización del núcleo seguro.
El error afectaba específicamente a las VMs estándar con versión 8.0, que no utilizan Trusted Launch, sobre SKUs más antiguos. Microsoft recomienda instalar esta nueva actualización en lugar del parche del 8 de julio, y sugiere habilitar Trusted Launch como medida preventiva. Las imágenes de Windows Server 2025 para Azure ya fueron actualizadas con esta corrección.
Placas madre Gigabyte expuestas a graves vulnerabilidades en firmware UEFI
Investigadores descubrieron cuatro vulnerabilidades críticas en el firmware UEFI de más de 240 modelos de placas madre Gigabyte, que permiten a atacantes con permisos administrativos ejecutar código malicioso en el Modo de Gestión del Sistema (SMM). Estas fallas, originadas en el código de referencia de American Megatrends Inc. (AMI), podrían ser explotadas para instalar bootkits persistentes e indetectables que sobreviven incluso a reinstalaciones del sistema operativo.
Aunque AMI ya solucionó las fallas, muchas versiones de firmware personalizadas por Gigabyte no aplicaron los parches. Además, varios de los dispositivos afectados han llegado al fin de su vida útil, por lo que sus usuarios probablemente no recibirán actualizaciones. Expertos advierten que, si bien el riesgo para el público general es bajo, equipos en entornos críticos deben evaluar su exposición utilizando herramientas de detección como Risk Hunt.
Explotan grave vulnerabilidad en Wing FTP Server para tomar control total del sistema
Una vulnerabilidad crítica en Wing FTP Server (CVE-2025-47812) comenzó a ser explotada tan solo un día después de que se publicaran detalles técnicos sobre ella. La falla permite a atacantes remotos, sin necesidad de autenticación, ejecutar código con privilegios de root o SYSTEM mediante inyecciones de código Lua combinadas con bytes nulos en los nombres de usuario. La explotación afecta versiones hasta la 7.4.3, y la actualización que corrige este fallo fue lanzada el 14 de mayo de 2025.
Investigadores de la firma de seguridad Huntress detectaron intentos reales de explotación, donde los atacantes usaron comandos de reconocimiento y persistencia, incluyendo la creación de nuevos usuarios y la descarga de malware mediante certutil. Aunque algunos ataques fallaron, se identificaron al menos cinco direcciones IP distintas intentando comprometer los sistemas, lo que sugiere un escaneo masivo. Se recomienda actualizar a la versión 7.4.4 lo antes posible o, si no es viable, restringir el acceso web, deshabilitar inicios de sesión anónimos y monitorear archivos sospechosos en el servidor.
FortiWeb expuesto a ejecución remota por vulnerabilidad crítica de SQLi
Una grave vulnerabilidad en FortiWeb, identificada como CVE-2025-25257, permite a atacantes ejecutar código remoto sin autenticación mediante una inyección SQL en el componente Fabric Connector. Con una puntuación de severidad de 9.8/10, el error reside en una mala neutralización de elementos especiales en consultas SQL. Los investigadores lograron escalar el fallo a ejecución remota al insertar archivos .pth maliciosos que se ejecutan automáticamente mediante scripts Python legítimos del sistema.
Fortinet lanzó actualizaciones para mitigar el problema en múltiples versiones del producto. Aunque por ahora no se han detectado ataques activos, ya existen exploits públicos disponibles.
Detectan rootkit avanzado en dispositivos SonicWall usados para extorsión y robo de credenciales
Un grupo de cibercriminales identificado como UNC6148 ha estado explotando dispositivos SonicWall Secure Mobile Access (SMA) fuera de soporte, instalando un nuevo malware llamado OVERSTEP, diseñado para alterar el proceso de arranque, ocultar componentes maliciosos, y mantener acceso persistente a los sistemas comprometidos. El rootkit, descubierto por Google Threat Intelligence Group, permite además robar credenciales y archivos sensibles, sin dejar rastros en los registros del sistema.
Aunque no se ha confirmado el vector de entrada, se sospecha que los atacantes explotaron vulnerabilidades conocidas (como CVE-2024-38475) antes de que los dispositivos fueran actualizados. Los analistas también observaron que los atacantes ya poseían credenciales de administrador local, lo que sugiere una intrusión previa. OVERSTEP se instala como un archivo ELF y permanece oculto gracias a capacidades de rootkit en modo usuario, incluso tras reinicios del sistema.
Los especialostas recomiendan a las empresas que usen dispositivos SonicWall SMA que realicen análisis forenses completos, incluyendo copias de disco, para detectar compromisos y evitar interferencia del rootkit.
Hackers norcoreanos usan npm para distribuir nuevo malware dirigido a desarrolladores
Investigadores de la firma de seguridad Socket, descubrieron una nueva campaña del grupo norcoreano conocido como «Contagious Interview», en la que se cargaron 67 paquetes maliciosos al repositorio npm con el objetivo de infectar sistemas de desarrolladores. Estas bibliotecas, con más de 17 mil descargas, contenían un nuevo cargador de malware llamado XORIndex, diseñado para ejecutar código malicioso y permitir la instalación de herramientas como BeaverTail y InvisibleFerret.
Los paquetes usaban nombres similares a proyectos populares de JavaScript para pasar desapercibidos, y ejecutaban scripts tras la instalación para conectarse con servidores de comando y control (C2), desde donde recibían más cargas útiles. A pesar de los esfuerzos de limpieza por parte de npm, los atacantes continúan publicando variantes con ligeros cambios para evadir la detección, lo que obliga a reforzar las medidas de validación al instalar nuevas bibliotecas.
Nueva variante de malware Android “Konfety” evade análisis con archivos ZIP manipulados
Investigadores de la firma Zimperium detectaron una nueva variante del malware Android Konfety, que se disfraza de aplicaciones legítimas y utiliza técnicas de evasión avanzadas como estructuras ZIP malformadas y archivos DEX cifrados. El malware es distribuido a través de tiendas de aplicaciones de terceros, muestra anuncios ocultos, redirige a sitios maliciosos, instala aplicaciones no deseadas y recopila información del sistema del usuario.
Konfety manipula archivos APK para frustrar herramientas de análisis y evita ser detectado por sistemas de seguridad, empleando tácticas como compresión no estándar y cifrado simulado. Además, puede cargar código malicioso dinámicamente y modificar su comportamiento según la ubicación geográfica del dispositivo. Los expertos recomiendan evitar tiendas no oficiales y solo instalar apps de fuentes confiables.
Interlock ransomware adopta nueva técnica “FileFix” para instalar troyano de acceso remoto
El grupo detrás del ransomware Interlock ha comenzado a utilizar la técnica de ataque FileFix para distribuir un troyano de acceso remoto (RAT), aprovechando elementos legítimos de Windows para engañar a los usuarios sin activar alertas de seguridad. Esta evolución de la táctica ClickFix implica que los usuarios peguen cadenas falsas en el Explorador de archivos, activando comandos PowerShell que descargan el malware desde servidores como trycloudflare.com.
Una vez infectado el sistema, el RAT recopila información sensible del entorno, como redes, usuarios y controladores de dominio, y permite a los atacantes ejecutar comandos, establecer persistencia y desplazarse lateralmente. Este cambio de táctica refleja la rápida adaptación del grupo Interlock, responsable de ataques a instituciones como Texas Tech University y Kettering Health. Investigadores alertan que FileFix podría ganar popularidad entre otros actores maliciosos por su efectividad y bajo perfil.
Plugin Gravity Forms fue comprometido con backdoor que permite control total del sitio
El plugin premium Gravity Forms para WordPress sufrió un ataque a la cadena de suministro que afectó sus versiones descargadas manualmente entre el 10 y 11 de julio. La amenaza incluyó un archivo PHP malicioso que recolectaba metadatos del sitio y descargaba código adicional capaz de ejecutar comandos en el servidor sin necesidad de autenticación. El backdoor también bloqueaba actualizaciones, instalaba cargas remotas y creaba un usuario administrador para controlar el sitio.
RocketGenius, desarrollador del plugin, confirmó que solo se vieron afectadas las instalaciones manuales y mediante Composer. Instancias que usaron actualizaciones automáticas a través del sistema interno de licencias permanecieron seguras. Se recomienda a los administradores reinstalar desde una fuente limpia y escanear sus sitios en busca de infecciones o cuentas sospechosas.
NVIDIA alerta sobre riesgo de ataques Rowhammer en GPUs con GDDR6
NVIDIA emitió una advertencia tras la publicación de un estudio que demuestra que las GPUs con memoria GDDR6, como la RTX A6000, son vulnerables a ataques Rowhammer. Estos ataques manipulan físicamente las celdas de memoria mediante repetidas operaciones de lectura-escritura, provocando errores de bits que pueden causar corrupción de datos, degradación de modelos de IA o incluso escalamiento de privilegios en entornos compartidos.
Aunque el riesgo de explotación masiva es bajo debido a la complejidad técnica del ataque, la compañía recomienda habilitar ECC a nivel de sistema para prevenir errores de memoria no detectados. Esta medida es especialmente importante en centros de datos, entornos de inteligencia artificial o servicios en la nube, donde la precisión de los datos es crítica. Herramientas como nvidia-smi o interfaces de gestión remota permiten verificar y activar esta protección.
Debe estar conectado para enviar un comentario.