No tienes artículos en tu carrito de compras.
Rss

Entradas de blog etiquetadas con ' vulnerabilidad '

Explotación activa de FortiCloud SSO
Alertas en ciberseguridad

FortiCloud SSO en riesgo

Vulnerabilidad crítica CVE-2026-24858


🔍 ¿Qué está pasando exactamente?

La vulnerabilidad CVE-2026-24858 permite a un atacante eludir la autenticación en múltiples productos de Fortinet, incluyendo:

  • FortiGate / FortiOS 
  • FortiManager
  • FortiAnalyzer
  • FortiProxy

El vector de ataque se basa en el uso indebido de FortiCloud SSO. Si esta función está habilitada, un atacante con una cuenta válida de FortiCloud podría autenticarse en dispositivos de otras organizaciones.

👉 Aunque esta opción no viene activada por defecto, puede habilitarse automáticamente durante el registro del dispositivo si no se desactiva manualmente.

¿Por qué esta amenaza es tan crítica? 

Porque rompe uno de los principios más importantes de la seguridad: el control de acceso.

Los atacantes están utilizando FortiCloud SSO como una puerta trasera legítima, lo que les permite:

  • Acceder como administradores sin credenciales internas
  • Evadir mecanismos tradicionales de autenticación
  • Mantener acceso persistente sin ser detectados fácilmente


¿Qué hacen los atacantes una vez dentro?

Los incidentes analizados muestran un patrón claro de ataque:

  • Creación de cuentas de administrador locales (persistencia).
  • Extracción de archivos de configuración completos.
  • Obtención de credenciales (incluso si están cifradas de forma reversible).
  • Movimiento lateral hacia sistemas internos.
  • Escalada rápida dentro de la red corporativa.

En muchos casos, esto permite pasar de un firewall comprometido a una intrusión completa en la red interna en cuestión de tiempo.

Impacto real para las organizaciones

Si esta vulnerabilidad es explotada, el atacante puede obtener:

🔓 Control total del dispositivo perimetral

🔓 Modificación de reglas de seguridad y firewall

🔓 Acceso a credenciales críticas (LDAP / Active Directory)

🔓 Acceso a sistemas internos y datos sensibles

Lo que empieza en el perímetro puede terminar en una brecha total de la organización.

🛡️ ¿Cómo protegerte? (Acciones urgentes)


  • 🔧 1. Actualiza inmediatamente: Aplica los parches de seguridad disponibles para CVE-2026-24858 en todos los dispositivos afectados.
  • 🔒 2. Desactiva FortiCloud SSO (si no es crítico): Desactiva: “Permitir inicio de sesión administrativo mediante FortiCloud SSO”
  • 🌐 3. Limita el acceso administrativo: Solo desde redes internas confiables o VPN seguras.
  • 🔑 4. Cambia credenciales expuestas: Cuentas de servicio LDAP, Active Directory y cualquier credencial almacenada en configuraciones.
  • 🧾 5. Audita tu entorno: Inicios de sesión sospechosos, nuevas cuentas de administrador y exportaciones de configuración no autorizadas. 👉 Restaura configuraciones seguras y elimina accesos no autorizados.
  • 📊 6. Centraliza y conserva logs: Integra con SIEM o syslog, Mantén registros al menos 14 días (ideal: 60–90 días).
Cobra Networs

VMware Aria
Bot-PC

Vulnerabilidades de VMware Aria Operations

El 24 de febrero de 2026, Broadcom publicó un aviso de seguridad crítico que aborda tres vulnerabilidades distintas en VMware Aria Operations. Estas fallas, que abarcan desde la inyección de comandos hasta la escalada de privilegios, pueden comprometer la confidencialidad, la integridad y el control administrativo de los sistemas afectados. Se requiere la aplicación inmediata de parches para evitar una vulneración generalizada de la infraestructura

¿Cúal es la amenaza?

Se han identificado tres vulnerabilidades en VMware Aria Operations:

Imagen ilustrativa

CVE-2026-22720

Scripting entre sitios almacenado (CVSS 8.0): La aplicación permite almacenar datos proporcionados por el usuario y mostrarlos posteriormente sin validación ni codificación adecuadas. Un atacante puede incrustar una carga útil de JavaScript malicioso que se ejecuta cuando un administrador con privilegios elevados accede a la página afectada. Esto puede provocar el secuestro de sesión, lo que permite al atacante robar cookies administrativas y suplantar la identidad de un superusuario.

 CVE‑2026-22720 JavaScript

Imagen ilustrativa

CVE-2026-22719

Inyección de comandos (CVSS 8.1): Una falla en el procesamiento de las entradas administrativas por parte de la interfaz de administración. No depura correctamente los meta-caracteres del shell antes de ejecutar comandos a nivel de sistema. Un atacante autenticado con acceso de red a la configuración de Aria Operations puede inyectar cadenas maliciosas en parámetros de configuración específicos, lo que provoca la ejecución remota de código (RCE).

 CVE‑2026-22719 (RCE)

Imagen ilustrativa

CVE-2026-22721

Escalada de privilegios (CVSS 6.2): Una vulnerabilidad local derivada de la gestión incorrecta de archivos. Un atacante con acceso al dispositivo puede explotar esta vulnerabilidad para elevar sus privilegios de usuario estándar a root, lo que le otorga control total sobre el sistema operativo subyacente y elude la telemetría de seguridad interna.

 CVE‑2026-22721 Vulnerabilidad local

Componentes afectados

  • VMware Aria Operations (todas las versiones 8.x anteriores a 8.18.6)
  • Paquetes de VMware Cloud Foundation Operations y Aria (versiones anteriores a 9.0.2.0)
  • Variantes de VMware Telco Cloud Platform y Telco Cloud Infrastructure que ejecutan versiones de Aria Operations anteriores a las versiones corregidas


¿Por qué es digno de mención?

No se ha informado públicamente de ninguna explotación generalizada, pero Aria Operations suele ejecutarse con privilegios de sistema de alto nivel. Un ataque exitoso podría permitir la ejecución de código arbitrario, la instalación de puertas traseras persistentes o el desplazamiento lateral a través del entorno virtualizado.

¿Cuál es la exposición o riesgo?

Aria Operations es un componente fundamental del plano de gestión. Su vulnerabilidad proporciona a los atacantes una vía de acceso a la pila más amplia de VMware Cloud Foundation. En entornos de nube de telecomunicaciones, estas vulnerabilidades podrían interrumpir los servicios principales de 5G o interferir con las configuraciones de segmentación de red. Los atacantes también podrían alterar las métricas de rendimiento para ocultar otras actividades maliciosas o extraer metadatos de configuración confidenciales.

Recomendaciones

  • VMware Aria Operations: Actualice a 8.18.6 o posterior.
  • VMware Cloud Foundation: actualice a 9.0.2.0 o posterior.
  • Plataforma/infraestructura en nube de telecomunicaciones: aplique los parches correspondientes como se describe en KB428241.
  • Asegúrese de que Aria Operations esté aislado en una red de administración restringida y no esté expuesto a Internet público.
Cobra Networks

Impacto Empresarial de la Vulnerabilidad Crítica en SolarWinds Serv-U
Bot-PC

Análisis Técnico de CVE-2025-40538 en SolarWinds Serv-U

CVE‑2025‑40538 es una vulnerabilidad crítica de control de acceso en SolarWinds Serv‑U, un servidor de transferencia de archivos administrada (MFT) y FTP/SFTP/FTPS/HTTP(S) autoalojado, utilizado para el intercambio seguro de archivos.

¿Cúal es la amenaza?

CVE‑2025‑40538 es una vulnerabilidad crítica de control de acceso en SolarWinds Serv‑U que permite a un atacante con privilegios de administrador de dominio o de grupo crear una cuenta de administrador del sistema Serv‑U y ejecutar código arbitrario como usuario con privilegios (root/admin). SolarWinds califica el problema con una calificación de 9.1 (crítico) dado que su explotación requiere privilegios administrativos de alto nivel. Los ataques viables son más probables en escenarios que involucran el robo de credenciales o la escalada de privilegios encadenada.

Imagen ilustrativa

SolarWinds

Es una plataforma integral diseñada para la administración, monitoreo y observabilidad de infraestructuras de TI, redes, bases de datos y aplicaciones en entornos híbridos o de nube.

 CVE‑2025‑40538 vulnerabilidad en progreso


¿Por qué es digno de mención?

Esta vulnerabilidad es notable porque permite a un atacante con privilegios de administrador de dominio o de grupo obtener el control total del servidor Serv‑U. Dado que Serv‑U suele almacenar o facilitar el acceso a datos confidenciales de empresas y clientes, una vulnerabilidad puede tener un impacto considerable.

Si bien el requisito de privilegios administrativos limita la explotación oportunista, la vulnerabilidad aumenta significativamente el riesgo en los casos en que los atacantes ya poseen credenciales de administrador robadas o pueden elevar el acceso como parte de una intrusión más amplia.

¿Cuál es la exposición o riesgo?

El principal riesgo de CVE-2025-40538 es la ejecución de código privilegiado y la toma de control administrativo total del servidor Serv-U. Un atacante con privilegios de administrador de dominio o de grupo puede explotar el control de acceso vulnerado para:

  • Crear un nuevo usuario administrador del sistema Serv‑U
  • Ejecutar código arbitrario como root/admin
  • Controle completamente el host Serv‑U y sus servicios asociados


Un servidor Serv-U comprometido podría utilizarse para el acceso no autorizado a archivos transferidos o almacenados, la recolección de credenciales, la persistencia mediante nuevas cuentas de administrador y el acceso lateral a otros sistemas. Esto es especialmente cierto en entornos donde Serv-U se integra con flujos de trabajo de identidad y transferencia de archivos empresariales.

Si bien la explotación requiere privilegios administrativos, esto aún representa un riesgo significativo para las organizaciones donde las credenciales privilegiadas pueden quedar expuestas o donde los atacantes pueden escalar privilegios durante una intrusión de múltiples etapas.

Recomendaciones

  • Actualice SolarWinds Serv‑U a la versión 15.5.4, la versión que aborda CVE‑2025‑40538 y soluciona el problema de control de acceso dañado.
  • Restrinja el acceso de administración a Serv-U a redes exclusivas para administradores (VPN/IP permitidas) y asegúrese de que no se administre desde estaciones de trabajo de usuarios estándar. Reduzca el número de usuarios con privilegios de administrador de dominio o de grupo y aplique la MFA para todos los accesos con privilegios.
  • Auditar la membresía del administrador del dominio/administrador del grupo, aplicar los principios de privilegio mínimo y monitorear el uso de cuentas privilegiadas en o contra el servidor Serv-U.
  • Conserve y revise los registros de Serv‑U y del sistema operativo para detectar indicadores de explotación. En particular, la creación inesperada de cuentas de administrador del sistema Serv‑U o la ejecución imprevista de código privilegiado. Si se detecta actividad sospechosa, aísle el servidor, restablezca las credenciales afectadas y evalúe si hay acceso no autorizado a los archivos transferidos o almacenados.
  • Inventariar todas las implementaciones de Serv-U e identificar las instancias expuestas a internet. Implementar la segmentación de red para aislar los servidores Serv-U del entorno general. Colóquelos detrás de firewalls, restrinja el acceso entrante y limite la conectividad solo a los sistemas requeridos.
Cobra Networks

Vulnerabilidad de día cero en Chrome
Bot-PC

ZeroDay Vulnerabilidad presente en Chrome

Google ha publicado actualizaciones de seguridad de emergencia para Chrome para corregir CVE-2026-2441, una vulnerabilidad de día cero de alta gravedad en el motor CSS del navegador que los atacantes ya están explotando. La falla es un problema de memoria de uso después de la liberación que permite que un sitio web malicioso o comprometido ejecute código dentro del entorno de pruebas de Chrome.

¿Cúal es la amenaza?

CVE‑2026‑2441 es una falla de seguridad en el procesamiento de cierto código CSS en páginas web por parte de Google Chrome. Cuando un usuario visita un sitio web malicioso o comprometido, un atacante puede generar un error de memoria de uso tras liberación y ejecutar código dentro del proceso del navegador Chrome. Esto le permite robar datos a los que el navegador tiene acceso, como cookies, tokens de sesión y otra información confidencial, y potencialmente descargar o ejecutar herramientas maliciosas adicionales. Si el atacante combina esta falla con otra vulnerabilidad que escape al entorno de pruebas del navegador, podría obtener el control total del dispositivo subyacente.

Imagen ilustrativa

Navegadores en basados ​​en Chromium corren riesgo

Es ideal para ataques drive-by y watering-hole a gran escala.

 Siguen en riesgo hasta que publiquen parches equivalentes.


¿Por qué es digno de mención?

Esta vulnerabilidad es significativa porque se trata de una vulnerabilidad de día cero que se explota activamente antes de que muchos usuarios hayan tenido la oportunidad de actualizar. Chrome y otros navegadores basados ​​en Chromium representan una gran parte del uso tanto doméstico como empresarial, por lo que una falla en este motor principal del navegador crea una superficie de ataque excepcionalmente amplia.

Las vulnerabilidades del navegador son especialmente valiosas para los atacantes, ya que a menudo no requieren descargas ni acciones obvias del usuario: basta con visitar una página web. En muchas organizaciones, el navegador es el principal punto de acceso a las aplicaciones en la nube y a los datos confidenciales, lo que convierte una vulnerabilidad en una posible puerta de entrada a ataques más profundos.

¿Cuál es la exposición o riesgo?

Cualquier usuario que utilice un navegador Chrome o Chromium sin parchear puede verse comprometido simplemente visitando un sitio web malicioso o comprometido. En entornos empresariales, esta exposición puede provenir de correos electrónicos de phishing, resultados de búsqueda envenenados o sitios web legítimos comprometidos

Una vez que los atacantes ejecutan código dentro del navegador, pueden robar cookies de sesión, tokens de autenticación y otros datos que podrían otorgar acceso al correo electrónico, servicios en la nube o sistemas internos. Combinado con exploits adicionales, los atacantes podrían obtener el control total del endpoint. Esto podría permitirles instalar malware, operar lateralmente o lanzar ataques de ransomware.

Dado que el tráfico del navegador suele usar HTTPS y se asemeja al comportamiento normal del usuario, muchas herramientas de seguridad tradicionales podrían no detectar estos ataques inmediatamente. Los trabajadores remotos y los dispositivos no administrados se enfrentan a un riesgo aún mayor si no reciben actualizaciones con prontitud. La aplicación tardía de parches deja a las organizaciones vulnerables a la explotación oportunista y dirigida de este día cero.

Recomendaciones

  • Asegúrese de que todos los navegadores basados ​​en Chromium estén completamente actualizados y reiniciados. Distribuya las últimas actualizaciones de Chrome/Chromium a través de las herramientas de administración de endpoints e indique a los usuarios que reinicien los navegadores para que se apliquen los parches.
  • Limite los derechos de administrador local cuando sea posible y utilice el control de aplicaciones para bloquear ejecutables desconocidos iniciados desde procesos del navegador.
  • Utilice puertas de enlace web seguras, filtrado DNS/web y seguridad de correo electrónico para bloquear dominios y URL maliciosos conocidos que se utilizan en ataques drive-by.
Cobra Networks