El fallo CVE-2025-7775 permitía ejecución remota sin autenticación en entornos VPN y balanceadores de cargaque y que fue explotada activamente en ataques como una vulnerabilidad de día cero.
En la edición de esta semana destacamos también el zero-day en Apple, la explotación de un antiguo bug en Cisco IOS, una falla de ejecución remota en Git y el riesgo de compromiso de host en Docker Desktop. En paralelo, sobresalen la aparición del malware Shamos para macOS, campañas masivas de aplicaciones maliciosas en Google Play, robos de tokens en integraciones SaaS y un inusual barrido de servicios RDP a escala global.
Finalmente, en el plano de riesgos emergentes, la investigación sobre inyección de prompts maliciosos ocultos en imágenes apunta a la necesidad de proteger entornos de inteligencia artificial ante vectores creativos de ataque. Mientras tanto, Google avanza en reforzar la confianza en Android con la verificación obligatoria de desarrolladores, una medida preventiva que podría reducir el impacto del malware distribuido fuera de su tienda oficial.
Citrix corrige falla crítica en NetScaler explotada activamente en ataques
Citrix confirmó la explotación activa de la vulnerabilidad CVE-2025-7775, un desbordamiento de memoria que permite ejecución remota de código sin autenticación en NetScaler ADC y Gateway configurados como VPN, RDP Proxy o balanceadores con IPv6. No existen mitigaciones temporales y la empresa urge actualizar firmware de inmediato.
El parche también corrige otras dos fallas: CVE-2025-7776 (denegación de servicio) y CVE-2025-8424 (control de acceso inadecuado). Las versiones vulnerables incluyen NetScaler 14.1, 13.1, FIPS y NDcPP en múltiples ediciones. Citrix ya había enfrentado críticas tras “Citrix Bleed 2”, otro fallo explotado antes de que existiera un PoC público.
Seis gestores de contraseñas afectados por fallas de clickjacking sin corregir
Investigadores revelaron que versiones basadas en navegador de gestores de contraseñas como 1Password, LastPass, Bitwarden, Enpass, iCloud Passwords y LogMeOnce presentan fallas de clickjacking que podrían permitir a atacantes robar credenciales, códigos 2FA y datos financieros. La técnica consiste en superponer elementos invisibles sobre la interfaz del gestor, engañando al usuario para activar el autocompletado.
Aunque algunos proveedores han empezado a corregir las vulnerabilidades, millones de usuarios siguen expuestos. Los investigadores recomiendan desactivar la función de autocompletar hasta que se publiquen actualizaciones de seguridad. El hallazgo fue presentado en DEF CON 33 y validado por la firma Socket, que está coordinando la publicación de CVEs para cada producto.
Apple corrige un nuevo zero-day explotado en ataques dirigidos
Apple lanzó actualizaciones de emergencia para corregir la vulnerabilidad CVE-2025-43300, un fallo de escritura fuera de límites en el framework Image I/O que permitía ejecución remota de código al procesar imágenes maliciosas. Según la empresa, el fallo fue aprovechado en un ataque “extremadamente sofisticado” contra individuos seleccionados.
El problema afecta a una amplia gama de dispositivos iPhone, iPad y Mac, tanto nuevos como antiguos, y ya fue parcheado en iOS, iPadOS y macOS. Con esta corrección, Apple suma seis vulnerabilidades de tipo zero-day explotadas en lo que va de 2025, reafirmando la importancia de instalar rápidamente las actualizaciones de seguridad para prevenir ataques en curso.
Falla crítica en Docker Desktop permite comprometer el host desde un contenedor malicioso
Una vulnerabilidad crítica en Docker Desktop para Windows y macOS (CVE-2025-9074) permite comprometer el sistema anfitrión mediante un ataque SSRF desde un contenedor malicioso, incluso si la función Enhanced Container Isolation (ECI) está activa. El fallo, descubierto por el investigador Félix Boulet, posibilita crear y ejecutar contenedores adicionales con acceso a archivos del host sin necesidad de montar el socket de Docker.
En Windows, el riesgo es mayor porque el atacante podría leer archivos sensibles o sobrescribir DLLs para obtener privilegios de administrador. En macOS, aunque existen protecciones adicionales, sigue habiendo espacio para abuso y manipulación de configuraciones. Docker ya corrigió el fallo en la versión 4.44.3 tras la notificación responsable.
CISA alerta por fallo en Git que permite ejecución remota de código
La Agencia Norteamericana a de Ciberseguridad, CISA, incluyó en su catálogo de vulnerabilidades explotadas activamente (KEV) la falla CVE-2025-48384 en Git, que permite ejecución arbitraria de código debido a un error en el manejo de caracteres de retorno de carro en archivos de configuración. Los atacantes pueden publicar repositorios con submódulos maliciosos que se ejecutan en las máquinas de los desarrolladores al clonarlos.
Git corrigió el problema en múltiples versiones publicadas en julio, y CISA fijó el 15 de septiembre como plazo para que agencias federales apliquen los parches. Además, la agencia agregó dos vulnerabilidades de Citrix Session Recording (CVE-2024-8068 y CVE-2024-8069) que permiten escalamiento de privilegios y ejecución limitada de código.
Descubren 77 apps maliciosas en Google Play con 19 millones de descargas
Investigadores de Zscaler identificaron 77 aplicaciones maliciosas en Google Play, con más de 19 millones de descargas, que distribuían malware como Anatsa, Joker, Harly y variantes de adware y maskware. Estas apps podían robar SMS, credenciales bancarias, contactos, además de suscribir a las víctimas a servicios premium sin consentimiento.
El troyano bancario Anatsa ha expandido sus capacidades, atacando ahora a más de 830 apps financieras y criptográficas, con nuevas técnicas de evasión y módulos de keylogging. Google eliminó las apps tras la denuncia, pero los usuarios deben revisar permisos, activar Play Protect y tomar medidas adicionales si usaban banca móvil en dispositivos comprometidos.
Campaña de phishing abusa de Office.com y ADFS para robar credenciales de Microsoft 365
Actores maliciosos están utilizando una técnica innovadora que combina enlaces legítimos de Office.com con Active Directory Federation Services (ADFS) para redirigir a usuarios a páginas falsas que roban credenciales de Microsoft 365. El ataque, descubierto por Push Security, aprovecha dominios confiables de Microsoft para evadir los sistemas de detección tradicionales.
El vector inicial se originó en anuncios maliciosos en Google que dirigían a las víctimas a Office.com antes de redirigirlas a un dominio falso controlado por los atacantes. Desde allí, ADFS era manipulado para mostrar páginas de inicio de sesión falsas. Los expertos recomiendan monitorear redirecciones sospechosas de ADFS y reforzar la detección de malvertising para prevenir estos ataques.
Actores maliciosos vinculados al FSB explotan vulnerabilidad de Cisco para atacar infraestructura crítica
El FBI advirtió que el grupo ruso Berserk Bear, ligado al FSB, está explotando la vulnerabilidad CVE-2018-0171 en dispositivos Cisco IOS e IOS XE para infiltrarse en organizaciones de infraestructura crítica. La falla, presente desde hace siete años, permite ejecutar código remoto o provocar denegaciones de servicio en equipos no parcheados.
Los atacantes han recolectado configuraciones de miles de dispositivos en sectores sensibles de LOS Estados Unidos y otros países, además de realizar reconocimiento en protocolos industriales. Cisco instó a actualizar urgentemente los equipos, señalando que no solo Rusia, sino también otros actores estatales, aprovechan estas brechas para operaciones de espionaje y sabotaje.
Nuevo malware Shamos roba datos en macOS mediante falsas guías de soporte
Investigadores de CrowdStrike descubrieron un nuevo malware llamado Shamos, variante del Atomic macOS Stealer (AMOS), diseñado para robar credenciales, datos de navegadores, llaveros de Apple y criptomonedas. El grupo criminal COOKIE SPIDER lo distribuye mediante ataques ClickFix, que engañan a los usuarios para ejecutar comandos en la Terminal creyendo que solucionan problemas en macOS.
El malware, activo desde junio de 2025, utiliza publicidad maliciosa y falsos repositorios de GitHub que ofrecen supuestas soluciones técnicas. Una vez instalado, Shamos establece persistencia, descarga payloads adicionales y exfiltra información a servidores remotos. Los expertos recomiendan evitar ejecutar comandos encontrados en internet sin verificar su origen legítimo.
Detectan masivo escaneo de RDP Web Access con fines de enumeración de usuarios
La firma GreyNoise reportó un inusual aumento de casi 2 mil direcciones IP escaneando portales de autenticación de Microsoft RDP Web Access y Web Client en paralelo, en lo que parece ser una campaña coordinada de reconocimiento. Los atacantes buscan aprovechar fallos de temporización para identificar usuarios válidos y preparar futuros ataques de fuerza bruta o password spraying.
La mayoría de las IPs compartían la misma firma de cliente y ya estaban clasificadas como maliciosas, con origen principalmente en Brasil y objetivos en los Estados Unidos. El momento coincide con el regreso a clases en universidades y escuelas en ese país, lo que aumenta la exposición. GreyNoise advierte que el pico podría anticipar la revelación de una nueva vulnerabilidad en RDP.
Roban tokens de integración entre Salesloft y Salesforce para exfiltrar datos
El grupo ShinyHunters, asociado con Scattered Spider, robó tokens OAuth y de actualización de la integración Drift-Salesforce de Salesloft, lo que permitió a los atacantes acceder a entornos de clientes y extraer credenciales sensibles como claves de AWS y tokens de Snowflake. La campaña estuvo activa entre el 8 y el 18 de agosto de 2025.
Salesloft y Salesforce revocaron todos los tokens comprometidos y obligaron a los clientes a reconfigurar la integración. Google Mandiant identificó al actor como UNC6395, que usó Tor y servicios en la nube para ocultar su infraestructura. El ataque forma parte de una ola más amplia de intrusiones a Salesforce vinculadas a extorsión y espionaje corporativo.
Fallos en actualizaciones de Windows 11 y 10 afectan a discos y procesos de recuperación
Las actualizaciones de agosto de 2025 de Windows 11 (24H2) y Windows 10 han provocado graves problemas en unidades SSD y HDD, especialmente aquellas con controladores Phison. Usuarios reportaron corrupción de datos, fallas en operaciones de escritura y errores al intentar restablecer o recuperar el sistema. Microsoft y Phison confirmaron estar investigando el problema y recomendaron medidas temporales, como dividir grandes cargas de archivos para minimizar riesgos.
Ante la magnitud del fallo, Microsoft lanzó actualizaciones de emergencia fuera de banda (OOB) para corregir los errores en los procesos de recuperación y restablecimiento, que afectaban tanto a usuarios finales como a administradores de TI. Los parches están disponibles en Windows Update y en el Catálogo de Microsoft Update, con la recomendación de instalarlos cuanto antes para evitar daños mayores.
Microsoft resuelve error que impedía completar actualizaciones de Windows con código 0x8007007F
Un fallo conocido impedía que algunas actualizaciones de Windows 10, 11 y Windows Server se completaran correctamente, arrojando el error 0x8007007F. Este problema afectaba a rutas específicas de actualización, como el paso de Windows 10 a versiones más recientes de Windows 11 y migraciones entre versiones de Windows Server. Microsoft solucionó la incidencia el 15 de agosto de 2025.
Tras la corrección, la compañía recomendó a los usuarios que habían experimentado fallas reintentar el proceso de actualización, ya que el error no debería repetirse. En paralelo, Microsoft desplegó parches fuera de banda para resolver otros problemas derivados de las actualizaciones de agosto, incluyendo fallos en procesos de restablecimiento y errores en la distribución mediante WSUS.
Error en Microsoft Teams impide iniciar aplicaciones web y de escritorio
Microsoft confirmó un fallo en Teams que generaba errores de conexión al iniciar las versiones web y de escritorio. El origen fue un cambio en la barra lateral que habilitó un flujo de código no optimizado. Los usuarios veían el mensaje “No pudimos conectarnos a esta aplicación” al intentar ingresar.
La empresa informó que ya desplegó una solución parcial que cubre al 25% de los clientes y se completará en los próximos días. Mientras tanto, recomendó a los afectados iniciar Teams a través de botones laterales como “Actividad” o “Chat”. Además, adelantó mejoras en seguridad de Teams, incluyendo protección contra URL maliciosas y listas de bloqueo de dominios.
Ataque inyecta prompts maliciosos ocultos en imágenes para engañar a IA
Investigadores de Trail of Bits desarrollaron un ataque que oculta instrucciones maliciosas en imágenes de alta resolución, invisibles al ojo humano pero visibles tras el re-escalado automático que hacen muchos sistemas de IA. Esto permite que los modelos interpreten esas órdenes ocultas como parte de la interacción legítima.
En pruebas, lograron extraer datos de Google Calendar mediante Gemini CLI y Zapier MCP. La técnica es aplicable a múltiples interfaces basadas en Gemini y podría usarse en otros modelos multimodales. Como mitigación, recomiendan vista previa de imágenes re-escaladas y confirmación explícita del usuario antes de ejecutar acciones sensibles.
Google implementará verificación obligatoria de desarrolladores para apps en Android
Google anunció que a partir de 2026 exigirá la verificación de identidad de todos los desarrolladores de aplicaciones en dispositivos Android certificados, con el fin de reducir el malware distribuido mediante sideloading. La medida extiende el requisito de número D-U-N-S, que ya había disminuido la presencia de apps maliciosas en Google Play.
El nuevo sistema será obligatorio primero en Brasil, Indonesia, Singapur y Tailandia en septiembre de 2026, y se aplicará globalmente en 2027. En la práctica, los dispositivos certificados (Samsung, Xiaomi, Motorola, Pixel, etc.) bloquearán la instalación de apps de desarrolladores no verificados. Dispositivos no certificados, como los de Huawei o Amazon Fire, quedarán fuera de esta obligación.
Debe estar conectado para enviar un comentario.