Microsoft lanzó su boletín de seguridad de septiembre de 2025 con 81 vulnerabilidades corregidas, entre ellas dos zero-day en Windows SMB Server y SQL Server que ya habían sido divulgadas públicamente. La compañía alertó que algunos de estos fallos críticos permiten ejecución remota de código y elevación de privilegios, por lo que recomiendan aplicar las actualizaciones de inmediato y reforzar auditorías de compatibilidad en entornos sensibles.
Además, esta semana se reportaron fallas críticas en productos de gran uso global: macOS permitió acceder al llavero y apps de iOS sin contraseña, Adobe corrigió SessionReaper en Magento, SAP enfrentó nuevos exploits en NetWeaver y S/4HANA, y una vulnerabilidad en Argo CD expuso credenciales de repositorios de compañías como Google e IBM. También se suman amenazas activas como los escaneos masivos contra Cisco ASA, campañas de phishing con archivos SVG en Colombia, la explotación de la IA Grok en X para difundir malware, y ataques de cadena de suministro en NPM y Sitecore. A nivel de riesgo, plataformas como Plex y Windows enfrentaron problemas de seguridad derivados de brechas y actualizaciones defectuosas.
Microsoft soluciona 81 fallos en Patch Tuesday, incluidos dos zero-day
El Patch Tuesday de septiembre de 2025 corrige un total de 81 vulnerabilidades en productos de Microsoft. Entre ellas se incluyen dos fallos zero-day que ya habían sido divulgados públicamente y nueve vulnerabilidades catalogadas como críticas, la mayoría relacionadas con ejecución remota de código y elevación de privilegios.
Uno de los zero-day, identificado como CVE-2025-55234, afecta al Windows SMB Server y permite ataques de relay que derivan en elevación de privilegios. El otro, CVE-2024-21907, corresponde a un fallo en la librería Newtonsoft.Json incluida en SQL Server, que puede provocar una denegación de servicio al procesar datos maliciosos.
Microsoft advirtió que, aunque existen configuraciones de seguridad que mitigan los riesgos en SMB -como la firma obligatoria y la protección extendida de autenticación-, su activación podría generar problemas de compatibilidad con sistemas antiguos. Por ello, recomienda habilitar auditorías antes de aplicar los cambios.
Falla en macOS permitía acceder al llavero y apps iOS sin contraseña
El investigador Koh M. Nakagawa descubrió la vulnerabilidad CVE-2025-24204 en macOS 15.0, donde la herramienta gcore recibió indebidamente permisos para leer la memoria de cualquier proceso, incluso con System Integrity Protection habilitado. Esto permitió extraer llaves maestras del llavero, saltarse protecciones de TCC y obtener binarios iOS desencriptados en Macs con Apple Silicon.
Apple corrigió el error en macOS 15.3 eliminando el permiso indebido. El caso demuestra cómo un simple desajuste en los entitlements puede exponer información crítica y debilitar protecciones de seguridad que deberían ser infranqueables.
Adobe corrige falla crítica en Magento y Commerce
Adobe advirtió sobre una vulnerabilidad crítica, CVE-2025-54236, apodada SessionReaper, que afecta a las plataformas Commerce y Magento Open Source. Esta falla, considerada una de las más graves en la historia del producto, permite a atacantes tomar control de cuentas sin autenticación mediante la API REST. La empresa lanzó un parche urgente, aunque algunos administradores reportaron que el hotfix inicial se filtró, lo que podría facilitar la creación de exploits.
Investigadores de Sansec confirmaron la reproducción del ataque, señalando que la mayoría de las tiendas usan la configuración vulnerable. Aunque no se ha detectado explotación activa, recomiendan aplicar el parche de inmediato, ya que el fallo podría ser automatizado y explotado a gran escala, como ocurrió con incidentes pasados (CosmicSting, Shoplift).
SAP soluciona 21 fallos, tres de ellos críticos en NetWeaver
SAP publicó su boletín de seguridad de septiembre, corrigiendo 21 vulnerabilidades, incluidas tres críticas que afectan a NetWeaver. Una de ellas, CVE-2025-42944, tiene severidad máxima (10/10) y permite a atacantes ejecutar comandos arbitrarios en el sistema explotando la deserialización insegura de objetos Java. Otros dos fallos críticos incluyen la posibilidad de subir archivos maliciosos y la ausencia de autenticación en funciones administrativas.
Los errores representan un alto riesgo, dado que NetWeaver es ampliamente usado en entornos empresariales con datos críticos. Además de estas tres fallas, SAP resolvió problemas de almacenamiento inseguro de credenciales y validaciones insuficientes en productos como S/4HANA, aunque investigadores advirtieron que están siendo explotadas (ver en sección de amenazas). Los administradores deben aplicar los parches de inmediato, ya que vulnerabilidades similares han sido explotadas recientemente en ataques reales.
Falla crítica en Argo CD expone credenciales de repositorios
Una vulnerabilidad en Argo CD (CVE-2025-55190), con puntuación CVSS de 10.0, permite que tokens con permisos mínimos accedan a credenciales completas de repositorios. Esto pone en riesgo implementaciones de grandes organizaciones como Adobe, Google, IBM y Capital One, que utilizan la herramienta en entornos de despliegue críticos.
Aunque requiere un token válido, el nivel de privilegio necesario es bajo, lo que facilita la explotación. Con estas credenciales, atacantes podrían clonar código privado, inyectar manifiestos maliciosos o lanzar ataques en cadena. La falla afecta todas las versiones hasta la 2.13.0, y ya ha sido corregida en versiones posteriores que se recomienda instalar de inmediato.
Zero-day en routers TP-Link expone a millones de usuarios
TP-Link confirmó una vulnerabilidad de tipo stack-based buffer overflow en CWMP que afecta a varios modelos populares, entre ellos Archer AX10 y AX1500. El fallo, reportado en 2024 y aún sin parche global, permite ejecución remota de código al manipular paquetes SOAP, lo que puede derivar en desvío de tráfico, inyección de malware y espionaje de conexiones.
Aunque ya existe un parche parcial para Europa, aún no está disponible para el resto de las regiones. Investigadores advierten que, mientras tanto, los usuarios deben cambiar contraseñas predeterminadas, deshabilitar CWMP si no es necesario y mantener el firmware actualizado. CISA también alertó sobre fallas similares explotadas por el botnet Quad7.
Google corrige 84 fallos en Android, incluidos dos zero-day explotados
Google liberó su parche de seguridad de septiembre de 2025 para Android, corrigiendo 84 vulnerabilidades, entre ellas dos zero-day que ya estaban siendo explotadas activamente (CVE-2025-38352 y CVE-2025-48543). Estos fallos permiten escalación de privilegios y comprometen la seguridad de los dispositivos.
Además, el paquete incluye cuatro vulnerabilidades críticas, como una de ejecución remota en el componente del sistema y otras en chips Qualcomm. Google recomienda a los usuarios instalar el nivel de parche 2025-09-01 o superior, mientras que equipos con Android 12 o anteriores deberían ser reemplazados o migrados a distribuciones seguras.
Escaneos masivos apuntan a dispositivos Cisco ASA
Investigadores detectaron un aumento en los escaneos dirigidos a dispositivos Cisco ASA, lo que podría anticipar la explotación de nuevas vulnerabilidades. GreyNoise reportó dos picos de actividad en agosto, con hasta 25 mil direcciones IP involucradas, principalmente desde un botnet brasileño. Los objetivos principales fueron portales de inicio de sesión ASA y servicios Telnet/SSH.
Aunque parte de la actividad podría estar relacionada con intentos fallidos sobre fallas ya corregidas, los analistas advierten que este tipo de reconocimiento suele preceder a la publicación de nuevos fallos. Administradores deben aplicar los últimos parches, habilitar MFA en accesos remotos y evitar exponer interfaces críticas directamente a internet.
Ataque a la cadena de suministro compromete paquetes NPM
Un grupo de atacantes comprometió cuentas de mantenedores en NPM mediante phishing, inyectando malware en paquetes que acumulan más de 2.600 millones de descargas semanales. El código malicioso se añadió en versiones actualizadas y estaba diseñado para interceptar transacciones de criptomonedas, reemplazando direcciones de destino por billeteras controladas por los atacantes.
El ataque afectó paquetes muy populares como chalk, debug y ansi-styles. El malware se integraba en navegadores interceptando funciones críticas de APIs web3 y reemplazando destinos de transacciones sin ser detectado. Aunque la ventana de infección fue limitada, la magnitud del ataque demuestra el alto riesgo de la cadena de suministro de software y la necesidad de fortalecer la seguridad de los desarrolladores.
Campaña de phishing en archivos SVG suplanta a la justicia colombiana
VirusTotal descubrió una campaña de phishing en la que atacantes usaron archivos SVG para simular portales oficiales del sistema judicial colombiano. Estos archivos, al abrirse, mostraban páginas falsas con barras de progreso y descargas de documentos que entregaban archivos maliciosos en formato ZIP protegido por contraseña. Dentro del paquete se incluía un ejecutable legítimo de navegador y una DLL maliciosa para instalar malware adicional.
El hallazgo fue posible gracias a la incorporación de análisis de SVG en la plataforma de inteligencia de VirusTotal, que identificó más de 500 archivos similares previamente ignorados por antivirus. Los atacantes aprovecharon la capacidad de SVG de ejecutar JavaScript y mostrar HTML, lo que les permitió construir interfaces de phishing altamente convincentes para engañar a las víctimas.
Ataque “s1ngularity” expone miles de cuentas y repositorios en NPM
Investigaciones sobre el ataque a la cadena de suministro de Nx revelaron una filtración masiva de credenciales y secretos de repositorios. El malware telemetry.js, introducido en versiones maliciosas de Nx, robó tokens de GitHub, npm y SSH, además de archivos sensibles y billeteras de criptomonedas. Según Wiz, se filtraron 2.180 cuentas y más de 7.200 repositorios en tres fases de ataque.
El impacto aún se mantiene porque muchas credenciales siguen siendo válidas. El ataque aprovechó fallos en GitHub Actions y técnicas de prompt injection con IA para mejorar la exfiltración de datos. Como respuesta, el equipo de Nx adoptó el modelo de Trusted Publisher de NPM, eliminó tokens comprometidos y reforzó medidas de autenticación.
Explotan vulnerabilidad crítica en SAP S/4HANA
Investigadores advierten que la vulnerabilidad CVE-2025-42957 en SAP S/4HANA, corregida en agosto -y mencionada más arriba en este reporte-, ya está siendo aprovechada por atacantes. El fallo permite inyección de código ABAP con privilegios bajos, lo que deriva en ejecución remota, robo de datos, escalamiento de privilegios y potencial instalación de malware.
Aunque el parche está disponible desde el 11 de agosto de 2025, numerosos sistemas no lo han aplicado, lo que los deja expuestos. SecurityBridge confirmó explotación activa y advirtió que es sencillo reconstruir el exploit a partir del parche publicado, aumentando el riesgo de ataques generalizados.
Explotan falla en Sitecore para desplegar malware WeepSteel
Mandiant reporta que actores maliciosos aprovechan la vulnerabilidad CVE-2025-53690 en implementaciones antiguas de Sitecore para ejecutar código remoto mediante ViewState deserializado. El problema surge del uso indebido de claves ASP.NET de ejemplo en entornos productivos.
Los atacantes han desplegado el malware WeepSteel, diseñado para reconocimiento y robo de datos, junto con herramientas de túneles y acceso remoto. Además, crean cuentas privilegiadas persistentes y manipulan credenciales para mantener control sobre los sistemas comprometidos. Se recomienda reemplazar las claves afectadas y adoptar prácticas de rotación periódica.
Hackers usan la IA Grok para difundir enlaces maliciosos en X
Investigadores de Guardio Labs descubrieron que actores maliciosos están explotando a Grok, el asistente de IA integrado en X (antes Twitter), para evadir restricciones de enlaces en anuncios fraudulentos. Los atacantes ocultan los links en campos ignorados de los metadatos y luego hacen que Grok los revele en respuestas automáticas, presentándolos como enlaces confiables.
Este método, denominado “Grokking”, ha permitido que anuncios con malware y estafas alcancen millones de impresiones, aumentando la propagación de campañas maliciosas. La recomendación es que X implemente filtros adicionales y verificación en Grok para evitar que amplifique contenido dañino.
HexStrike-AI acelera la explotación de vulnerabilidades en Citrix
El marco de pruebas de penetración HexStrike-AI, creado con fines legítimos, está siendo aprovechado por hackers para explotar vulnerabilidades de Citrix recién divulgadas. Según CheckPoint Research, este sistema de IA automatiza la explotación de fallos, reduciendo el tiempo de ataque de días a minutos.
La herramienta, de código abierto, ya fue usada en foros de hacking para ejecutar ataques que permitieron instalación de webshells y venta de dispositivos comprometidos. Esto marca un cambio crítico en la velocidad de los ataques, lo que obliga a reforzar medidas de parcheo temprano y detección proactiva.
Plex obliga a restablecer contraseñas tras nueva filtración
La plataforma Plex notificó a sus usuarios sobre una brecha de seguridad en la que un actor no autorizado accedió a datos de autenticación. Los registros comprometidos incluyen correos electrónicos, nombres de usuario y contraseñas cifradas. Aunque la empresa asegura que las contraseñas estaban protegidas con hashing, advierte que podrían ser descifradas si los atacantes usan métodos avanzados.
Como medida preventiva, Plex solicita a todos los clientes restablecer su contraseña y cerrar todas las sesiones activas en sus dispositivos. También recomienda activar la autenticación de dos factores (2FA) para reforzar la seguridad. No es la primera vez que Plex enfrenta un incidente similar: en 2022 sufrió otra brecha con exposición de credenciales.
Actualización de Windows provoca problemas con UAC y aplicaciones
El parche de agosto de 2025 para Windows, que corrige la vulnerabilidad CVE-2025-50173, ha generado efectos secundarios: aparición de múltiples solicitudes de UAC y fallos al instalar aplicaciones para usuarios sin privilegios de administrador. Esto afecta tanto a clientes como a servidores en versiones soportadas de Windows 10, 11 y Windows Server.
Microsoft explicó que el cambio fortalece la seguridad del instalador MSI, pero impacta procesos habituales en entornos corporativos. Mientras desarrolla una solución, recomienda ejecutar aplicaciones como administrador o aplicar políticas especiales de reversión (KIR). También trabaja en resolver un problema paralelo que causa fallos en software de transmisión NDI.
Linux Kernel Runtime Guard 1.0 llega tras siete años de desarrollo
Se lanzó la versión 1.0 del Linux Kernel Runtime Guard (LKRG), un módulo de seguridad destinado a monitorear la integridad del kernel en tiempo real. La nueva versión amplía la compatibilidad con kernels modernos (hasta la rama 6.17), mejora el rendimiento y fortalece la detección de ataques de sobreescritura de punteros de credenciales, incluso en kernels más antiguos.
Esta herramienta de protección, tras siete años de evolución, ofrece mayor confiabilidad para entornos Linux, especialmente en servidores y sistemas críticos donde la integridad del kernel es esencial.
Debe estar conectado para enviar un comentario.