La actualización también repara fallas críticas en SharePoint, Office y sistemas de ejecución remota, mientras otras plataformas como Chrome, Cisco y Grafana enfrentan parches urgentes ante riesgos latentes.. Además, esta publicación incluye otras notas breves sobre amenazas y riesgos latentes en los últimos días.
En esta primera entrega de este resumen de Vulnerabilidades, Amenazas y Riesgos (VA&R), destacamos el Patch Tuesday de Microsoft, que lanzó parches para 137 fallas, incluyendo una vulnerabilidad zero-day (CVE-2025-49719) en SQL Server que permitía a atacantes acceder a memoria sensible a través de la red. También se solucionaron fallas críticas en Microsoft Office y SharePoint, muchas con posibilidad de ejecución remota de código.
También encontrarás breves síntesis de otras importantes vulnerabilidades (Chrome, Cisco y Grafana, entre otros), así como breves notas y enlaces sobre amenazas y riesgos latentes de los últimos días.
Microsoft corrige 137 fallos de seguridad en su actualización de julio, incluido un zero-day en SQL Server
Este martes, Microsoft lanzó su actualización mensual de seguridad corrigiendo 137 fallas, entre ellas una vulnerabilidad zero-day ya divulgada públicamente que afecta a Microsoft SQL Server (CVE-2025-49719), la cual permitiría a atacantes no autenticados acceder a información sensible en memoria a través de la red. El problema puede resolverse instalando la última versión del servidor SQL y los controladores OLE DB.
Además, se corrigieron 14 fallas críticas, 10 de ellas de ejecución remota de código, algunas presentes en Microsoft Office, que podrían ser explotadas al abrir un documento especialmente diseñado o incluso mediante la vista previa del archivo. También se reparó una vulnerabilidad crítica en Microsoft SharePoint (CVE-2025-49704) que puede ser explotada remotamente si el atacante posee una cuenta en la plataforma.
Google corrige su cuarta vulnerabilidad crítica en Chrome en lo que va del año
Google lanzó una actualización de emergencia para solucionar la vulnerabilidad CVE-2025-6554, una falla de tipo confusión de tipos en el motor V8 de JavaScript del navegador Chrome. La compañía confirmó que la falla estaba siendo explotada activamente antes de aplicar un cambio de configuración que mitigó el problema el 26 de junio. Esta es la cuarta vulnerabilidad crítica corregida en Chrome durante 2025.
La falla permite a los atacantes ejecutar código malicioso en dispositivos sin parches. Aunque Google no ha divulgado detalles técnicos para evitar abusos, advirtió que la distribución completa del parche podría tardar días o semanas en llegar a todos los usuarios. Afortunadamente, la actualización ya está disponible para quienes verifiquen manualmente.
Cisco elimina cuenta oculta con acceso root en Unified Communications Manager
Cisco liberó una serie de parches, entre ellos, corrigió una vulnerabilidad crítica (CVE-2025-20309) en su Unified Communications Manager (CUCM), un sistema clave para la gestión de telefonía IP, que permitía a atacantes remotos ingresar a dispositivos sin autentificación usando credenciales root predeterminadas. Esta cuenta oculta, introducida durante el desarrollo, no podía ser eliminada ni modificada, lo que la convertía en un serio riesgo de seguridad.
El problema afectaba versiones especiales del software entre las releases 15.0.1.13010-1 y 15.0.1.13017-1, y solo puede resolverse actualizando a la versión 15SU3 de julio de 2025 o aplicando un parche específico. Aunque no se han detectado ataques activos, Cisco ha proporcionado indicadores de compromiso para que los administradores revisen si sus sistemas fueron afectados.
Grafana corrige fallas críticas heredadas de Chromium en plugins ampliamente utilizados
Grafana Labs lanzó parches de seguridad críticos para corregir cuatro vulnerabilidades heredadas de Chromium que afectan a los componentes Image Renderer y Synthetic Monitoring Agent. Las fallas, todas de alta severidad, permiten ejecución remota de código, acceso a memoria y corrupción de heap mediante páginas HTML especialmente diseñadas. La más grave, CVE-2025-5959, permite ejecutar código malicioso dentro del entorno aislado de Chromium.
Aunque las vulnerabilidades fueron corregidas por el proyecto Chromium semanas antes, un investigador demostró su impacto directo en Grafana, lo que llevó a la empresa a priorizar la mitigación. Las versiones afectadas son anteriores a 3.12.9 en Image Renderer y a la 0.38.3 en Synthetic Monitoring Agent, ambos ampliamente usados en entornos de producción.
Grafana Cloud y las instancias gestionadas en Azure ya han sido parcheadas automáticamente. Sin embargo, la compañía advierte que muchos usuarios aún no aplican actualizaciones críticas con la rapidez necesaria, recordando que más de 46 mil instancias continuaban expuestas.
Detectan vulnerabilidades críticas en ScriptCase que permiten tomar control total del servidor
Dos fallas graves en ScriptCase, una plataforma low-code para crear aplicaciones PHP, exponen a miles de servidores a ciberataques remotos que pueden resultar en la toma completa del sistema. Las vulnerabilidades afectan el módulo “Production Environment” y permiten desde el reinicio no autorizado de la contraseña de administrador (CVE-2025-47227) hasta la ejecución remota de comandos (CVE-2025-47228).
Ambas fallas pueden combinarse para que un atacante, sin necesidad de autenticación previa, tome control del entorno administrativo y ejecute comandos arbitrarios en el servidor. Estas funciones son frecuentemente expuestas en entornos de producción, y no existe aún un parche oficial que las corrija.
Se aconseja restringir el acceso a la consola de producción y bloquear rutas específicas mediante firewall o proxy. Mientras tanto, los administradores deben monitorear futuras actualizaciones de seguridad del proveedor y tomar medidas para prevenir posibles intrusiones.
CISA incluye fallas de TeleMessage TM SGNL en su catálogo de vulnerabilidades explotadas
La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) agregó dos vulnerabilidades del software TeleMessage TM SGNL a su catálogo de vulnerabilidades conocidas y explotadas (KEV), tras evidencias de ataques ocurridos en mayo de 2025. Las fallas, identificadas como CVE-2025-48927 y CVE-2025-48928, exponen información sensible como volcados de memoria y contraseñas transmitidas vía HTTP debido a configuraciones inseguras.
La primera vulnerabilidad permite inicializar recursos con valores predeterminados inseguros, y la segunda expone archivos de volcado de memoria (heapdump) a accesos no autorizados. Ambas fueron explotadas activamente antes de ser corregidas el 5 de mayo de 2025. CISA ordenó a las agencias federales de ese país, corregir estas fallas antes del 22 de julio, e instó también a las organizaciones privadas a revisar su infraestructura y aplicar los parches correspondientes para prevenir intrusiones.
Interfaces JDWP mal configuradas facilitan ataques de criptojacking y DDoS con nueva botnet Hpingbot
Investigadores de la firma de seguridad Wiz alertaron sobre el uso malicioso del protocolo Java Debug Wire Protocol (JDWP), comúnmente activado en entornos de desarrollo de herramientas como Jenkins, TeamCity o Tomcat. Al carecer de autenticación, JDWP expuesto a internet permite a los atacantes ejecutar comandos en servidores vulnerables, desplegando mineros de criptomonedas personalizados (como XMRig) con configuraciones ocultas para evitar su detección. Estos ataques se han observado en la naturaleza y aprovechan la falta de conciencia de los desarrolladores sobre los riesgos al dejar el modo debug habilitado.
En paralelo, la firma NSFOCUS reportó la aparición de Hpingbot, una nueva botnet escrita desde cero que apunta tanto a sistemas Linux como Windows, explotando configuraciones débiles de SSH mediante ataques de password spraying. Esta botnet usa herramientas como hping3 para lanzar ataques DDoS y se vale de plataformas como Pastebin para distribuir sus cargas útiles. Aunque la versión de Windows no puede ejecutar directamente hping3, puede descargar otros payloads, lo que sugiere que los operadores podrían usarla también como red de distribución de malware en el futuro.
Troyano bancario Anatsa vuelve a Google Play disfrazado de visor de documentos
El troyano bancario Anatsa volvió a infiltrarse en Google Play mediante una aplicación falsa llamada “Document Viewer – File Reader”, que superó las 50 mil descargas antes de ser eliminada. Tras la instalación, el malware se activa en segundo plano, intercepta el uso de apps bancarias y despliega pantallas superpuestas que simulan mantenimientos del sistema, ocultando su actividad y evitando que los usuarios detecten transacciones fraudulentas.
Investigadores de Threat Fabric, quienes alertaron a Google, explicaron que los operadores de Anatsa usan tácticas sigilosas: primero lanzan apps “limpias” para ganar popularidad y luego introducen el código malicioso mediante una actualización. Una vez instalada, la app se conecta a un servidor de comando y control (C2) para recibir instrucciones y monitorear apps específicas.
Aunque Google eliminó la app y activó protecciones automáticas a través de Play Protect, la empresa recomienda que quienes la hayan instalado la desinstalen, realicen un escaneo completo y cambien sus credenciales bancarias.
Corea del Norte distribuye malware NimDoor para macOS disfrazado de actualización falsa de Zoom
Un grupo de ciberespionaje vinculado a Corea del Norte está atacando a empresas de Web3 y criptomonedas mediante una campaña que distribuye el malware NimDoor, un backdoor para macOS disfrazado como actualización de Zoom, así lo afirmaron recientemente expertos de SentinelLabs. El ataque comienza con enlaces de phishing enviados por Telegram o Calendly que descargan un script llamado “zoom_sdk_support.scpt”, diseñado para parecer legítimo pero que ejecuta una carga maliciosa desde dominios falsos que imitan a Zoom.
NimDoor combina AppleScript, C++ y el lenguaje Nim, poco común en amenazas macOS. Utiliza técnicas de inyección de procesos, persistencia por señales del sistema y comunicaciones cifradas por WebSocket (wss). El malware extrae datos sensibles como historial de navegador y credenciales del llavero de macOS, además de auto-reinstalarse si es eliminado. La campaña revela el creciente uso de lenguajes multiplataforma y cadenas de ataque sofisticadas por parte de grupos patrocinados por estados.
Malware Atomic para macOS incorpora backdoor para control remoto permanente
Una nueva versión del Atomic macOS Stealer (AMOS) fue revelada por especialistas de Moonlock de firma MacPaw. El malware, que es dirigido a usuarios de Mac, ahora incluye una puerta trasera que permite a los atacantes ejecutar comandos remotos y mantener el control de los dispositivos infectados incluso después de reiniciarlos. AMOS ya ha afectado a usuarios en más de 120 países.
El malware opera como un servicio de suscripción distribuido en canales de Telegram y ha evolucionado de campañas masivas a ataques dirigidos, como phishing a propietarios de criptomonedas o freelancers. La nueva versión instala archivos ocultos que garantizan su persistencia en el sistema mediante LaunchDaemons, robando credenciales del usuario para ejecutar procesos con privilegios de administrador.
Con esta capacidad, los atacantes pueden registrar teclas, introducir más malware, o explorar nuevas formas de movimiento lateral dentro de una red.
Extensiones falsas en Firefox roban criptomonedas con identidades suplantadas
Más de 40 extensiones maliciosas fueron descubiertas por investigadores de Koi Security en la tienda oficial de complementos de Firefox, suplantando billeteras de criptomonedas populares como MetaMask, Trust Wallet, Coinbase y Exodus. Estas extensiones fraudulentas, activas desde abril pasado, están diseñadas para robar frases semilla y credenciales de acceso, enviando la información a servidores controlados por atacantes.
Los desarrolladores detrás de esta campaña clonan versiones legítimas de carteras open-source e incorporan código que monitorea entradas de datos, ocultan errores y filtran frases clave con técnicas de ofuscación. Las extensiones suelen incluir logotipos oficiales y reseñas falsas para parecer confiables, aunque algunas ya presentan valoraciones negativas de usuarios que reportaron pérdidas. Mozilla ha eliminado varias de estas extensiones.
Filtración de herramienta Shellter Elite permite a hackers distribuir malware infostealer
Cibercriminales han estado utilizando de forma maliciosa Shellter Elite, una herramienta comercial destinada a equipos de red team, tras la filtración de una copia por parte de un cliente. El software fue diseñado para evadir antivirus y soluciones EDR, permitiendo ejecutar cargas útiles dentro de binarios legítimos de Windows sin ser detectados. La empresa desarrolladora confirmó que esta es la primera vez que su herramienta es abusada desde la implementación de un modelo de licenciamiento estricto en 2023.
Desde abril de 2025, actores maliciosos han estado desplegando infostealers como Rhadamanthys, Lumma y Arechclient2 usando Shellter Elite v11.0, distribuidos mediante comentarios en YouTube y correos de phishing. Yya se liberó una versión 11.1 con restricciones de distribución.
Extensiones maliciosas en Chrome y Edge comprometen a más de 2,3 millones de usuarios
Investigadores de Koi Security identificaron casi una docena de extensiones maliciosas en la Chrome Web Store, con más de 1,7 millones de descargas, las que aparentaban ser herramientas útiles -como teclados emoji, VPNs o controladores de volumen- pero incluían código que rastreaba la actividad del navegador y enviaba datos a servidores externos. Los especialistas señalaron que algunas de estas extensiones todavía están disponibles en la tienda, y muchas incluso cuentan con verificaciones y reseñas positivas que engañan a los usuarios.
El código malicioso fue introducido en actualizaciones posteriores, aprovechando el sistema automático de actualizaciones de Chrome que no requiere aprobación del usuario. Aunque los especialistas no detectaron redirecciones maliciosas durante las pruebas, existe un alto potencial de secuestro de navegación y exposición a sitios peligrosos. También se hallaron extensiones similares en la tienda de Microsoft Edge, elevando el número total de usuarios afectados a más de 2,3 millones.
Debe estar conectado para enviar un comentario.