La compañía investiga múltiples incidentes donde atacantes lograron eludir autenticación y comprometer redes mediante sus dispositivos de seguridad. Además, Adobe parchea dos fallas críticas tras la publicación pública del exploit y descubren malware “Plague” para Linux que evade detección y se infiltra vía SSH, entre lo más destacado esta semana.
En esta edición del VAR de ciberseguridad (Vulnerabilidades, Amenazas y Riegos) , destacamos los ataques masivos contra dispositivos SonicWall Gen 7, posiblemente mediante una vulnerabilidad zero-day que facilita la intrusión y despliegue de ransomware Akira; en el frente de vulnerabilidades, Adobe corrigió dos fallas críticas en Experience Manager tras la filtración pública del código de explotación, estas permiten ejecución remota de código sin autenticación en Experience Manager Forms y fueron reveladas tras más de 90 días sin respuesta efectiva; y en el ámbito de amenazas, un nuevo malware sigiloso para Linux llamado “Plague” fue descubierto infiltrando sistemas mediante SSH sin ser detectado durante más de un año.
Adobe corrige dos fallas críticas en Experience Manager tras revelación de código de prueba
Adobe lanzó actualizaciones de emergencia para corregir dos vulnerabilidades críticas (CVE-2025-54253 y CVE-2025-54254) en su plataforma Experience Manager Forms on JEE. Ambas permiten ejecución remota de código o lectura arbitraria de archivos sin autenticación. Una de ellas, con puntaje CVSS de 10.0, explota una falla de tipo XXE en el servicio SOAP, mientras que la otra aprovecha un modo de desarrollo mal configurado que permite ejecutar expresiones OGNL. Las fallas fueron reveladas públicamente luego de que Adobe tardara más de 90 días en emitir parches.
Los investigadores de Searchlight Cyber descubrieron estas vulnerabilidades junto con un tercer fallo (CVE-2025-49533), que también permite ejecución de código remoto mediante deserialización insegura en el módulo FormServer. Al detallar la cadena de explotación en un informe técnico, advirtieron sobre el grave riesgo que estas fallas representan para servidores expuestos. Por ello, recomiendan aplicar los parches de inmediato o restringir el acceso externo si no es posible actualizar.
Google corrige vulnerabilidades críticas en Android usadas en ataques dirigidos
Google lanzó el parche de seguridad de agosto de 2025 para Android, abordando seis vulnerabilidades, entre ellas dos fallas críticas en los controladores gráficos de Qualcomm (CVE-2025-21479 y CVE-2025-27038) que ya están siendo explotadas en ataques dirigidos. Ambas permiten corrupción de memoria a través de comandos no autorizados en el GPU y vulnerabilidades use-after-free durante el renderizado gráfico. Qualcomm había advertido en junio que estas fallas presentaban indicios de explotación activa y recomendó aplicar los parches con urgencia.
CISA (agencia Nacional de Ciberseguridad de los Estados Unidos) incluyó estas dos fallas en su catálogo de vulnerabilidades explotadas activamente, ordenando su mitigación antes del 24 de junio. Además, Google corrigió una vulnerabilidad crítica en el componente del sistema que podría permitir ejecución remota de código sin interacción del usuario si se encadena con otros fallos. Aunque los dispositivos Pixel ya recibieron las actualizaciones, otros fabricantes podrían demorar su implementación. Este parche se suma a otros anteriores que abordaron fallos aprovechados en campañas de espionaje como NoviSpy.
Proton corrige falla en su app Authenticator para iOS que exponía secretos TOTP en texto plano
Proton solucionó un error en su nueva aplicación Authenticator para iOS que registraba en texto plano los secretos TOTP utilizados para generar códigos de autenticación en dos pasos. El fallo fue descubierto por un usuario que, al revisar los registros locales tras notar la desaparición de algunas entradas, detectó que los secretos -incluyendo el de su cuenta de Bitwarden- aparecían completos en los logs de depuración de la app.
Aunque los secretos nunca fueron enviados al servidor y la sincronización se realiza con cifrado de extremo a extremo, el problema radicaba en que un atacante con acceso al dispositivo podía obtener los registros y, con ellos, importar los códigos a otra aplicación. Proton afirmó que la versión 1.1.1 ya corrige el comportamiento del registro y recordó que la protección del dispositivo es clave, pues un compromiso local queda fuera del alcance de cualquier cifrado implementado por la app.
Falla en plugin de WordPress expone datos de donantes de Pi-hole
Pi-hole, conocido bloqueador de publicidad a nivel de red, reveló que nombres y correos electrónicos de sus donantes fueron expuestos debido a una vulnerabilidad en el plugin GiveWP de WordPress, utilizado para procesar donaciones. La filtración permitió que cualquier persona que revisara el código fuente de la página pudiera acceder a esta información sin autenticación. Aunque no se comprometieron datos financieros, el incidente afectó a casi 30 mil personas, según el sitio Have I Been Pwned.
La organización explicó que la brecha fue descubierta tras reportes de correos sospechosos enviados a direcciones usadas exclusivamente para donar. Pi-hole criticó la lenta respuesta de los desarrolladores del plugin, quienes tardaron más de 17 horas en alertar del problema. Aunque la vulnerabilidad fue corregida rápidamente con una nueva versión, Pi-hole asumió la responsabilidad por usar un complemento vulnerable y lamentó los posibles daños a su reputación.
Explotan vulnerabilidad crítica en tema WordPress “Alone” para tomar control total de sitios
Cibercriminales están explotando activamente una vulnerabilidad crítica de carga arbitraria de archivos sin autenticación en el tema WordPress “Alone”, permitiéndoles ejecutar código remoto y apoderarse completamente de sitios afectados. La falla, identificada como CVE-2025-5394 y presente en versiones hasta la 7.8.3, permite a los atacantes instalar plugins maliciosos vía AJAX sin verificación, lo que resulta en la subida de webshells, puertas traseras PHP protegidas por contraseña y creación de usuarios administradores ocultos.
Wordfence ha bloqueado más de 120 mil intentos de explotación y alerta sobre señales de compromiso como nuevos usuarios admin desconocidos o carpetas sospechosas de plugins. Aunque la vulnerabilidad fue reportada a Bearsthemes en mayo, la solución se publicó hasta junio en la versión 7.8.5. Se recomienda a todos los usuarios de “Alone”, especialmente ONGs y organizaciones sin fines de lucro que lo utilizan, actualizar urgentemente para evitar riesgos graves.
Apple parchea vulnerabilidad crítica explotada en ataques zero-day contra usuarios de Google Chrome
Apple lanzó actualizaciones de seguridad para corregir la vulnerabilidad CVE-2025-6558, que afecta el componente ANGLE utilizado en la gestión gráfica de Google Chrome y que ha sido explotada en ataques zero-day. Esta falla permite a atacantes ejecutar código arbitrario en el proceso GPU del navegador, poniendo en riesgo la seguridad del sistema al potencialmente escapar del sandbox de Chrome. Google descubrió y reportó la vulnerabilidad en junio, y Apple liberó los parches para varios de sus sistemas, incluidos iOS, macOS, tvOS, visionOS y watchOS.
La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó esta vulnerabilidad a su lista de fallos activos y urgió a las agencias federales a aplicar los parches antes del 12 de agosto. Este incidente se suma a otros cinco zero-days que Apple corrigió en 2025, muchos de ellos usados en campañas dirigidas por actores estatales para espiar a individuos de alto riesgo, como disidentes y periodistas. Se recomienda a todos los usuarios actualizar sus dispositivos lo antes posible para mitigar estos riesgos.
Lenovo advierte fallas críticas en BIOS que permiten eludir Secure Boot en sus All-in-One
Lenovo ha alertado sobre seis vulnerabilidades graves en el firmware UEFI personalizado de Insyde utilizado en sus modelos IdeaCentre AIO y Yoga AIO. Estos fallos afectan el System Management Mode (SMM), una capa de firmware con altos privilegios, y permiten a atacantes ejecutar código arbitrario, escalar privilegios y comprometer persistentemente el sistema, incluso evadiendo mecanismos de seguridad como Secure Boot. Las vulnerabilidades, reportadas por Binarly, incluyen corrupción de memoria, desbordamientos de buffer y exposición de información sensible.
La compañía ya lanzó actualizaciones de firmware para algunos modelos, como el IdeaCentre AIO 3, recomendando a los usuarios instalarlas cuanto antes. Para los dispositivos Yoga AIO, las correcciones están previstas entre septiembre y noviembre de 2025. Estas fallas reflejan problemas recurrentes en la cadena de suministro de software y ponen en riesgo la seguridad a nivel fundamental del sistema operativo y hardware.
Cisco sufre filtración de datos tras ataque de vishing contra uno de sus empleados
Cisco reveló que cibercriminales accedieron a información básica de usuarios registrados en Cisco.com luego de engañar por teléfono a un empleado y obtener acceso a un sistema CRM basado en la nube. Los datos expuestos incluyen nombres, correos, teléfonos, direcciones y metadatos de cuentas, aunque la empresa aclaró que no se comprometieron contraseñas ni información confidencial de clientes organizacionales.
El ataque forma parte de una ola más amplia vinculada al grupo ShinyHunters, que ha apuntado a entornos CRM como Salesforce mediante técnicas de vishing y manipulación social. Aunque Cisco no ha confirmado el volumen de usuarios afectados ni si hubo demandas de extorsión, afirmó que cerró el acceso al sistema comprometido, notificó a las autoridades y está reforzando sus medidas de seguridad, incluyendo capacitación al personal para prevenir futuros ataques similares.
SonicWall alerta sobre posible zero-day en firewalls Gen 7 tras ataques con ransomware Akira
SonicWall ha instado a sus clientes a deshabilitar temporalmente los servicios SSL VPN en sus firewalls Gen 7, luego de reportes de múltiples ataques del ransomware Akira desde el 15 de julio. Investigadores de Arctic Wolf y Huntress sugieren que los atacantes estarían explotando una vulnerabilidad zero-day no revelada para obtener acceso inicial, evadir autenticación multifactor y comprometer rápidamente controladores de dominio. Aunque no se descarta el uso de credenciales robadas o ataques de fuerza bruta, el uso de un fallo no documentado es considerado “altamente plausible”.
La empresa recomendó medidas inmediatas como restringir el acceso a IPs confiables, habilitar filtros de geolocalización y botnets, reforzar el uso de MFA, y eliminar cuentas no utilizadas. SonicWall confirmó un aumento de incidentes relacionados con SSL VPN en las últimas 72 horas y aseguró estar investigando si se trata de una vulnerabilidad nueva o ya conocida. Además, recordó a los administradores mantener actualizados sus dispositivos, especialmente los SMA 100, que también han sido blanco reciente de ataques para desplegar el rootkit OVERSTEP.
Detectan “Plague”, un sofisticado malware para Linux que evade detección y compromete autenticación SSH
Investigadores de Nextron Systems descubrieron un malware para Linux denominado Plague, que permaneció indetectado por más de un año y permite a los atacantes mantener acceso persistente mediante SSH, eludiendo la autenticación estándar. El código malicioso se presenta como un módulo PAM (Pluggable Authentication Module) altamente ofuscado, con capacidades de anti-depuración, contraseñas incrustadas y manipulación del entorno para ocultar su actividad, incluso borrando registros de sesión y variables de entorno relacionadas con SSH.
Plague ha sido compilado para distintas distribuciones Linux usando diversas versiones de GCC, lo que sugiere un desarrollo sostenido y dirigido. A pesar de que varias variantes fueron subidas a VirusTotal en el último año, ninguna fue detectada como maliciosa, lo que evidencia su alto nivel de sigilo. Según Nextron, esta amenaza representa un riesgo crítico para infraestructuras Linux debido a su capacidad para integrarse profundamente en el sistema de autenticación y operar sin dejar rastros forenses evidentes.
Ransomware se suma a campaña de explotación masiva de vulnerabilidad en SharePoint
Investigadores de Unit 42 detectaron que grupos de ransomware, incluyendo una variante llamada 4L4MD4R, se han sumado a los ataques que explotan una cadena de vulnerabilidades en Microsoft SharePoint, conocida como ToolShell. Esta variante, basada en código abierto y distribuida mediante un loader malicioso, cifra archivos y exige un rescate de 0.005 Bitcoin. La campaña, que utiliza PowerShell para desactivar medidas de seguridad, ya ha afectado al menos a 148 organizaciones, incluyendo agencias gubernamentales y entidades multinacionales.
Microsoft y Google atribuyen parte de estos ataques a grupos de amenazas vinculados al Estado chino, como Linen Typhoon, Violet Typhoon y Storm-2603. Las vulnerabilidades, identificadas como CVE-2025-53770 y CVE-2025-53771, han sido añadidas al catálogo de CISA, que ordenó a las agencias federales mitigar el riesgo en un plazo de 24 horas.
Mozilla alerta sobre campaña de phishing contra desarrolladores de extensiones
Mozilla ha advertido sobre una campaña de phishing activa que apunta a cuentas de desarrolladores en su plataforma oficial AMO (addons.mozilla.org), que alberga más de 60 mil extensiones utilizadas por millones de usuarios. Los correos maliciosos se hacen pasar por el equipo de Mozilla y solicitan actualizaciones de cuenta para mantener el acceso a funciones de desarrollo. La organización recomienda a los desarrolladores verificar cuidadosamente la autenticidad de los correos, evitar hacer clic en enlaces sospechosos y acceder solo mediante sitios oficiales.
Aunque Mozilla no ha revelado cuántas cuentas han sido comprometidas, al menos un desarrollador reportó haber sido víctima. La advertencia se produce tras la implementación de nuevas funciones de seguridad para bloquear extensiones maliciosas, en un contexto donde cibercriminales han robado cientos de millones en criptomonedas mediante ataques de vaciado de billeteras. Mozilla se comprometió a entregar más detalles si surgen nuevos hallazgos.
Campaña de phishing explota servicios de seguridad para robar credenciales de Microsoft 365
Investigadores de Cloudflare descubrieron una campaña de phishing activa que abusa de los servicios de «link wrapping» de empresas como Proofpoint e Intermedia para ocultar enlaces maliciosos que llevan a páginas falsas de Microsoft 365. El atacante comprometió cuentas protegidas por estas plataformas y utilizó su acceso para enviar correos con URLs acortadas y redireccionadas, lo que facilitó la entrega encubierta de los enlaces de phishing sin ser detectados por sistemas de seguridad tradicionales.
Los correos suplantaban notificaciones legítimas de Teams o mensajes seguros, y al hacer clic en los enlaces, las víctimas eran redirigidas a páginas fraudulentas donde se recolectaban credenciales. Esta técnica representa una evolución del uso malicioso de servicios confiables, aumentando significativamente la efectividad del engaño. Aunque el uso de plataformas legítimas para distribuir contenido malicioso no es nuevo, la explotación específica del mecanismo de seguridad de link wrapping marca un avance preocupante en las tácticas de los atacantes.
Hackers rusos de Secret Blizzard infectan embajadas en Moscú usando redes de proveedores locales
Microsoft alertó sobre una sofisticada campaña de ciberespionaje dirigida por el grupo ruso Secret Blizzard (también conocido como Turla), vinculado al FSB, que apunta a misiones diplomáticas en Moscú. Utilizando una posición de atacante en el medio (adversary-in-the-middle) a nivel de proveedor de internet local, los atacantes redirigen a las víctimas a portales falsos para instalar el malware ApolloShadow, disfrazado de actualización de Kaspersky. Una vez instalado, el software permite el acceso persistente y la manipulación de conexiones para espiar comunicaciones diplomáticas.
La campaña habría estado activa desde al menos 2024 y representa un riesgo elevado para embajadas y organizaciones sensibles que operan en Rusia y dependen de infraestructura local. Según Microsoft, esta es la primera vez que se confirma que el grupo tiene capacidad para operar a nivel ISP, explotando incluso sistemas de interceptación rusos como SORM. Secret Blizzard ha sido responsable de ataques anteriores a gobiernos de los Estados Unidos, la Unión Europea y diversas agencias, utilizando tácticas poco convencionales como el uso de cuentas de redes sociales para controlar malware.
Campaña de phishing apunta a desarrolladores de Python con sitio falso de PyPI
La Python Software Foundation alertó esta semana sobre una campaña de phishing dirigida a desarrolladores que publican paquetes en el repositorio oficial PyPI. Los atacantes envían correos electrónicos falsos con el asunto “[PyPI] Email verification” desde una dirección que simula ser oficial, invitando a los usuarios a ingresar a un sitio clonado (pypj.org) para “verificar” su cuenta. Una vez allí, los desarrolladores ingresan sus credenciales creyendo que están en el sitio legítimo, pero en realidad estas son robadas por los atacantes.
Aunque el repositorio PyPI no fue comprometido directamente, el objetivo de los atacantes es acceder a cuentas legítimas para insertar malware en paquetes existentes o publicar nuevos paquetes maliciosos. La fundación ya implementó advertencias en la página principal de PyPI y está gestionando acciones legales y técnicas para dar de baja el dominio fraudulento. Se recomienda a quienes hayan ingresado sus datos en el sitio falso cambiar su contraseña de inmediato y revisar el historial de seguridad de sus cuentas.
Debe estar conectado para enviar un comentario.