Fortinet informó sobre una vulnerabilidad crítica en FortiSIEM que permite a atacantes no autenticados ejecutar comandos maliciosos de forma remota. La compañía confirmó la existencia de código de explotación funcional en circulación, lo que eleva el riesgo de compromisos en entornos sensibles como gobiernos, bancos y proveedores de salud.
Además, esta semana destacamos vulnerabilidades en Cisco y N-able, también con riesgo de explotación activa, lo que evidencia una ola de ataques dirigidos contra proveedores de servicios de TI y seguridad. Mientras tanto, los usuarios de Microsoft enfrentan riesgos derivados de actualizaciones defectuosas que bloquean despliegues, inutilizan procesos de recuperación y generan reinicios inesperados en clústeres y servidores críticos. Entre las amenazas, resalta la filtración del código del troyano bancario ERMAC 3.0 y campañas de ransomware como Crypto24 muestran que los atacantes perfeccionan sus estrategias de monetización y explotación masiva.
Microsoft mitiga fallo que impedía instalar actualizaciones desde recursos compartidos
Microsoft solucionó un error que provocaba fallos al instalar actualizaciones de Windows mediante WUSA desde unidades de red compartidas. El problema afectaba a Windows 11 24H2 y Windows Server 2025, mostrando errores cuando había múltiples archivos .msu en la carpeta.
La mitigación se aplica automáticamente a través de Known Issue Rollback (KIR), aunque los administradores pueden aplicar manualmente políticas de grupo o instalar actualizaciones desde archivos locales como alternativa. Este tipo de fallos ha sido recurrente en los últimos meses, dificultando la gestión de parches en entornos empresariales.
Más de 800 servidores N-able N-central siguen expuestos a fallos críticos explotados activamente
Se detectaron más de 800 servidores N-central sin parchear frente a dos vulnerabilidades críticas (CVE-2025-8875 y CVE-2025-8876) que permiten a atacantes autenticados ejecutar comandos maliciosos. N-able lanzó parches en la versión 2025.3.1, pero numerosos sistemas, sobre todo en Estados Unidos, Canadá y Países Bajos, continúan en riesgo.
CISA incluyó las fallas en su catálogo de vulnerabilidades explotadas y ordenó a agencias federales corregirlas en una semana. Aunque el entorno en la nube de N-able no está comprometido, la explotación activa en servidores locales demuestra la urgencia de actualizar para evitar compromisos de red a gran escala.
Actualización de Windows interrumpen funciones de recuperación en varias versiones
Microsoft confirmó que las actualizaciones de seguridad de agosto de 2025 provocan fallos en las funciones de reinicio y recuperación en Windows 10 y versiones anteriores de Windows 11. Los usuarios afectados no pueden usar herramientas como “Restablecer mi PC” o la recuperación remota, lo que limita la capacidad de restaurar dispositivos tras incidentes.
La compañía trabaja en una actualización fuera de banda para resolver el problema en los sistemas impactados. Este fallo se suma a otros recientes relacionados con actualizaciones de Windows, que han afectado tanto a instalaciones manuales como a despliegues empresariales vía WSUS, generando frustración en administradores y usuarios.
Plex urge a actualizar servidores por fallo de seguridad sin detallar
Plex notificó a usuarios de su Media Server que actualicen de inmediato debido a una vulnerabilidad en versiones 1.41.7.x a 1.42.0.x, ya corregida en la versión 1.42.1.10060. La compañía descubrió el fallo mediante su programa de recompensas de errores, aunque aún no ha revelado detalles técnicos.
El aviso generó preocupación ya que, en el pasado, fallas en Plex fueron aprovechadas para comprometer sistemas, incluso en el caso del robo de credenciales de un ingeniero de LastPass en 2022. Plex advirtió que los usuarios deben parchear cuanto antes para evitar que actores maliciosos desarrollen exploits.
Cisco corrige vulnerabilidad crítica de ejecución remota en su Firewall Management Center
Cisco informó de una vulnerabilidad crítica (CVE-2025-20265) en el subsistema RADIUS de su plataforma Secure Firewall Management Center (FMC), con puntuación máxima de severidad (10/10). El fallo permite a atacantes remotos no autenticados ejecutar comandos arbitrarios con privilegios elevados durante la fase de autenticación.
La vulnerabilidad afecta a FMC 7.0.7 y 7.7.0 cuando RADIUS está habilitado. Cisco liberó parches gratuitos y recomienda deshabilitar RADIUS como mitigación temporal si no es posible actualizar. Además, publicó correcciones para 13 fallos adicionales de alta severidad en diferentes productos.
Microsoft eliminará PowerShell 2.0 de Windows y Windows Server
Microsoft anunció que eliminará permanentemente PowerShell 2.0 de Windows a partir de agosto de 2025, tras ocho años de haberlo declarado obsoleto. Esta medida busca reducir la complejidad del sistema y mejorar la seguridad, ya que versiones más recientes como PowerShell 5.1 y 7.x seguirán estando disponibles y soportadas.
El cambio afecta principalmente a organizaciones que aún dependen de scripts o software heredado que funcionan únicamente con la versión 2.0. Microsoft recomienda actualizar aplicaciones y migrar scripts a versiones modernas para evitar interrupciones, advirtiendo que algunos instaladores antiguos podrían fallar al intentar habilitar PowerShell 2.0 en sistemas nuevos.
Fortinet alerta sobre falla crítica en FortiSIEM con explotación activa
Fortinet informó sobre una vulnerabilidad crítica en FortiSIEM (CVE-2025-25256), con puntuación CVSS de 9.8, que permite a atacantes no autenticados ejecutar comandos maliciosos de forma remota. La compañía confirmó la existencia de código de explotación funcional en circulación, lo que eleva el riesgo de compromisos en entornos sensibles como gobiernos, bancos y proveedores de salud.
El fallo afecta versiones de FortiSIEM desde la 5.4 hasta la 7.3, y aunque se lanzaron parches para las ramas soportadas, las más antiguas ya no recibirán corrección. Fortinet instó a actualizar de inmediato a versiones seguras o, como medida temporal, limitar el acceso al puerto 7900. Sin embargo, advirtió que los parches son la única solución definitiva.
Filtrado el código del troyano bancario ERMAC 3.0 con capacidades avanzadas
El código fuente del malware ERMAC 3.0 se filtró en línea, revelando detalles de su infraestructura, panel de control y herramientas de generación de APK maliciosos. Esta versión amplía sus capacidades, atacando más de 700 aplicaciones bancarias, de compras y criptomonedas, con funciones de robo de datos, acceso a archivos, captura de fotos y control de apps.
Si bien la filtración debilita la operación original al exponerla a investigadores y soluciones de seguridad, también supone un riesgo: otros grupos criminales podrían reutilizar el código para crear variantes más difíciles de detectar. Esto incrementa el potencial de nuevas campañas de fraude financiero a gran escala.
Oleada de ataques de fuerza bruta contra Fortinet SSL VPN y FortiManager
La plataforma GreyNoise detectó un incremento masivo de ataques de fuerza bruta contra dispositivos Fortinet SSL VPN los días 3 y 5 de agosto de 2025, con un posterior cambio hacia FortiManager. Este patrón, según la empresa, suele anticipar la divulgación de nuevas vulnerabilidades en un plazo de seis semanas.
Los investigadores advierten que no se trata de simples escaneos de investigación, sino de intentos de intrusión activa, por lo que recomiendan bloquear direcciones IP sospechosas, reforzar las medidas de autenticación y restringir el acceso remoto. El aumento de esta actividad apunta a posibles preparativos para la explotación de futuras fallas críticas en productos Fortinet.
Nuevo grupo Crypto24 despliega ransomware con técnicas avanzadas de evasión
Investigadores de Trend Micro revelaron que el grupo de ransomware Crypto24 está atacando organizaciones de alto valor en Estados Unidos, Europa y Asia, empleando herramientas personalizadas para evadir defensas, robar datos y cifrar archivos. Los sectores más afectados son finanzas, manufactura, entretenimiento y tecnología.
El grupo activa cuentas administrativas, usa malware disfrazado de servicios legítimos (como WinMainSvc y MSRuntime) y aprovecha variantes de herramientas de código abierto para deshabilitar antivirus. Además, exfiltra datos a Google Drive antes de ejecutar el cifrado. Los expertos compartieron indicadores de compromiso para ayudar a prevenir estos ataques.
CISA alerta sobre explotación activa de vulnerabilidades críticas en N-able N-central
La Agencia de Ciberseguridad de los Estados Unidos, CISA, advirtió que atacantes están explotando dos fallos graves en la plataforma de monitoreo remoto N-central, usados por proveedores de servicios gestionados y departamentos de TI. Las las dos fallas pueden permitir a atacantes autenticados obtener la ejecución de comandos a través de una debilidad de deserialización insegura (CVE-2025-8875) e inyectar comandos explotando una vulnerabilidad de desinfección inadecuada de la entrada del usuario (CVE-2025-8876).
N-able ya lanzó el parche en la versión 2025.3.1, recomendando a administradores actualizar urgentemente. Alrededor de 2,000 instancias expuestas online podrían estar en riesgo, principalmente en Estados Unidos, Australia y Alemania. CISA incluyó los fallos en su catálogo de vulnerabilidades explotadas y fijó un plazo de corrección para agencias federales.
Investigadores descubren ataque de degradación contra autenticación FIDO en Microsoft Entra ID
Expertos de Proofpoint desarrollaron un ataque de downgrade contra Microsoft Entra ID que obliga a los usuarios a autenticar con métodos más débiles al simular un navegador no compatible con FIDO. Esto permite a los atacantes interceptar credenciales y tokens de sesión mediante técnicas de phishing en el medio (AiTM).
Aunque la vulnerabilidad no reside en FIDO directamente, el ataque demuestra que suplantando la compatibilidad del navegador es posible evadir la protección de las claves de acceso. Microsoft recomienda a las organizaciones desactivar métodos de autenticación alternativos y reforzar la seguridad condicional para mitigar estos riesgos de robo de sesión.
Microsoft pide ignorar errores falsos tras actualizaciones de Windows 11
Microsoft advirtió a los usuarios que ignoren nuevos errores de CertificateServicesClient (CertEnroll) que aparecen en el Visor de eventos después de instalar las actualizaciones de Windows 11 24H2 desde julio de 2025. Estos avisos, aunque reiterados en cada reinicio del sistema, no reflejan fallos reales en los componentes activos, sino que se deben a una función aún en desarrollo.
La compañía recordó que no es la primera vez que se presentan advertencias sin impacto real, como ocurrió con fallos falsos en Firewall, BitLocker o en entornos de recuperación. Según Microsoft, los usuarios no deben realizar ninguna acción ya que el error carece de consecuencias prácticas en el sistema operativo.
Actualización KB5063878 de Windows 11 falla en sistemas empresariales vía WSUS
La actualización acumulativa KB5063878 de Windows 11 24H2 publicada en agosto de 2025 presenta fallos de instalación en entornos que usan Windows Server Update Services (WSUS), generando el error 0x80240069 y deteniendo el servicio de Windows Update. El problema fue reportado masivamente por administradores de sistemas en foros y redes sociales.
Microsoft aún no ha publicado una solución oficial, pero algunos administradores han compartido un método alternativo para importar manualmente la actualización en WSUS. El error no afecta a usuarios domésticos, ya que el servicio WSUS se utiliza principalmente en entornos corporativos, aunque evidencia nuevamente la fragilidad de los procesos de actualización empresarial.
Microsoft soluciona fallo que bloqueaba actualización de Windows 11 en WSUS
Microsoft corrigió un problema que impedía a administradores de TI instalar la actualización acumulativa de Windows 11 24H2 (KB5063878) a través de Windows Server Update Services (WSUS), generando errores 0x80240069 y fallos en el servicio de actualizaciones. El fallo afectaba principalmente a entornos empresariales, no a usuarios domésticos.
La compañía desplegó una solución mediante Known Issue Rollback (KIR), que requiere aplicar una política de grupo en los equipos afectados. Como alternativa, los administradores pueden instalar manualmente la actualización desde el Catálogo de Microsoft Update.
Microsoft corrige reinicios de clúster y máquinas virtuales en Windows Server 2019
Una falla introducida por la actualización de seguridad de julio (KB5062557) provocaba reinicios del servicio de clúster y de máquinas virtuales en Windows Server 2019, además de impedir que algunos nodos se reintegraran al clúster, afectando sistemas con BitLocker.
Microsoft solucionó el problema en el paquete acumulativo de agosto (KB5063877), disponible mediante WSUS, Windows Update y el Catálogo de Microsoft. Para aplicar la corrección es necesario instalar previamente la actualización de pila de servicio KB5005112.
Debe estar conectado para enviar un comentario.