DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

🛡️ Threat Intel Diario — 03/05/2026

#security

🤖 Auto-generated daily threat intelligence digest — May 03, 2026

🚨 Resumen diario de threat intelligence — 03 de mayo de 2026
Fuentes: BleepingComputer, Group-IB, MSRC Microsoft, Microsoft Security, The Hacker News, Unit 42 (Palo Alto)

El día de hoy, estamos enfrentando una mezcla de amenazas cibernéticas que van desde la explotación de vulnerabilidades hasta el crimen cibernético organizado. Los atacantes están aprovechando las debilidades en sistemas de seguridad para lanzar ataques de ransomware y malware. Además, la amenaza de otics sigue siendo una preocupación creciente para las organizaciones que dependen de la nube.

Vulnerabilidad — CVE-2026-31431: Fallo al copiar vulnera Linux y permite elevación de privilegios root en entornos de la nube

🔍 Qué está pasando

  • Se ha descubierto una vulnerabilidad de alta gravedad en Linux denominada "Fallo al copiar" (CVE-2026-31431).
  • La vulnerabilidad permite la elevación de privilegios root en entornos de la nube y cargas de trabajo de Kubernetes.
  • Ya existe un exploit funcional en la red.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-31431 puede permitir a un atacante con acceso a un sistema Linux con privilegios de usuario normal, ascender a privilegios root. Esto puede tener consecuencias graves para organizaciones que utilizan Linux en entornos de la nube, ya que un atacante con acceso root puede realizar acciones devastadoras, como acceder a datos confidenciales, modificar configuraciones críticas o incluso tomar el control completo del sistema. Es fundamental que las organizaciones actúen rápidamente para detectar, mitigar y reducir el riesgo de este ataque.

⚙️ Cómo funciona

La vulnerabilidad CVE-2026-31431 se encuentra en el código de copia de archivos de Linux, específicamente en la función de copia de archivos. Un atacante puede explotar esta vulnerabilidad creando un archivo con un nombre específico que, cuando se copia, causa una desbordamiento de búfer en la función de copia, lo que permite al atacante ejecutar código arbitrario con privilegios root.

👁️ Qué vigilar

  • IOC: Buscar tráfico de red que involucre la creación de archivos con nombres específicos en directorios críticos.
  • Parches: Asegurarse de que el sistema de Linux esté actualizado con los últimos parches de seguridad, especialmente para la función de copia de archivos.
  • Recomendaciones: Asegurarse de que los permisos de archivo y directorio estén configurados correctamente para prevenir la creación de archivos con nombres específicos, y realizar un análisis de seguridad exhaustivo para detectar y mitigar cualquier posible ataque.

🔗 Fuente consultada: Microsoft Security

Vulnerabilidad — CVE-2025-9403 jqlang jq JSON jq_test.c run_jq_tests assertion

🔍 Qué está pasando

  • Se ha publicado una información sobre una vulnerabilidad en jqlang jq JSON relacionada con jq_test.c y run_jq_tests.
  • La vulnerabilidad está identificada por el ID CVE-2025-9403.
  • La fuente de la información es Microsoft MSRC.

⚠️ Por qué importa

La vulnerabilidad en jqlang jq JSON podría permitir a un atacante ejecutar código arbitrario en un sistema, lo que podría llevar a una pérdida de datos, acceso no autorizado o incluso a la toma del control del sistema. Esto es especialmente preocupante para organizaciones que utilizan herramientas que dependen de jqlang jq JSON.

⚙️ Cómo funciona

La vulnerabilidad se encuentra en la forma en que jqlang jq JSON maneja las assertion en el archivo jq_test.c y run_jq_tests. Un atacante podría aprovechar esta vulnerabilidad para inyectar código malicioso, lo que permitiría ejecutar acciones no autorizadas en el sistema.

👁️ Qué vigilar

  • Verificar si se ha aplicado el parche correspondiente para la vulnerabilidad CVE-2025-9403.
  • Revisar la configuración de las herramientas que utilizan jqlang jq JSON para asegurarse de que estén actualizadas y seguras.
  • Monitorizar el tráfico de red y los logs de sistema para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2025-8224 GNU Binutils BFD Library elf.c bfd_elf_get_str_section null pointer dereference

🔍 Qué está pasando

  • Se ha detectado una vulnerabilidad en la biblioteca GNU Binutils BFD Library.
  • La vulnerabilidad afecta al archivo elf.c y específicamente a la función bfd_elf_get_str_section.
  • La vulnerabilidad se identifica con el ID CVE-2025-8224.

⚠️ Por qué importa

La vulnerabilidad en la biblioteca GNU Binutils BFD Library puede permitir a un atacante llevar a cabo una dereferencia de puntero nulo, lo que podría resultar en una ejecución de código arbitraria. Esto puede tener graves consecuencias para organizaciones que utilizan esta biblioteca en sus productos o servicios. Los atacantes podrían aprovechar esta vulnerabilidad para comprometer sistemas y exfiltrar información confidencial.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando la función bfd_elf_get_str_section no verifica adecuadamente la entrada de los usuarios antes de realizar una llamada a la función bfd_string_lookup_type_and_name. Si la entrada es manipulada para apuntar a una dirección nula, la función bfd_string_lookup_type_and_name intentará acceder a esa dirección, lo que provocaría una dereferencia de puntero nulo. Esto puede permitir a un atacante ejecutar código arbitrario en el sistema.

👁️ Qué vigilar

  • CVE-2025-8224: Verifique que su sistema esté actualizado con el parche correspondiente para esta vulnerabilidad.
  • Parche disponible: Asegúrese de aplicar el parche proporcionado por el desarrollador de la biblioteca GNU Binutils BFD Library.
  • Revisión de código: Revisar el código que utiliza la biblioteca GNU Binutils BFD Library para asegurarse de que no haya vulnerabilidades similares.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-34757

🔍 Qué está pasando

  • Se ha identificado una vulnerabilidad en la biblioteca LIBPNG que afecta la forma en que maneja la información de chunks.
  • La vulnerabilidad se debe a un uso-after-free en las funciones png_set_PLTE, png_set_tRNS y png_set_hIST.
  • Esto puede provocar la revelación de información del heap y dañar datos de chunks.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-34757 puede ser explotada por atacantes para obtener información confidencial o incluso para ejecutar código malicioso. Esto puede tener graves consecuencias para las organizaciones que utilizan la biblioteca LIBPNG, especialmente aquellas que manejan grandes cantidades de datos de imágenes. Además, la posibilidad de dañar datos de chunks puede provocar problemas de rendimiento y estabilidad en aplicaciones que dependen de LIBPNG.

⚙️ Cómo funciona

La vulnerabilidad se debe a un uso-after-free en las funciones png_set_PLTE, png_set_tRNS y png_set_hIST. Cuando se llama a estas funciones, LIBPNG libera memoria sin actualizar las referencias a ella, lo que permite a los atacantes acceder a la memoria liberada y obtener información del heap. Esto puede ser utilizado para revelar información confidencial o para injectar código malicioso.

👁️ Qué vigilar

  • Parche disponible: Microsoft ha publicado un parche para la vulnerabilidad CVE-2026-34757 en la biblioteca LIBPNG.
  • Recomendaciones: Las organizaciones deben actualizar la biblioteca LIBPNG a la versión puesta a disposición por Microsoft. Además, se recomienda revisar las aplicaciones que dependen de LIBPNG para asegurarse de que no estén utilizando la versión vulnerable.
  • Monitoreo: Es importante monitorear las redes y sistemas para detectar cualquier actividad sospechosa relacionada con la explotación de esta vulnerabilidad.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-37555

🔍 Qué está pasando

  • Se ha publicado información sobre una posible vulnerabilidad.
  • Aún no se proporcionan detalles técnicos.
  • El CVE-2026-37555 ha sido asignado para identificar la vulnerabilidad.

⚠️ Por qué importa

La publicación de información sobre una posible vulnerabilidad puede indicar que se está trabajando en un parche o una solución. Esto puede ser preocupante para las organizaciones que utilizan los sistemas afectados, ya que pueden estar expuestas a ataques hasta que se libere un parche oficial.

⚙️ Cómo funciona

No hay información disponible sobre la forma en que funciona la vulnerabilidad, ya que solo se ha publicado un resumen general. Sin embargo, se espera que los detalles técnicos se revelen pronto, lo que permitirá a los analistas de ciberseguridad comprender mejor la naturaleza de la vulnerabilidad.

👁️ Qué vigilar

  • Parches disponibles: Microsoft anunciará próximamente un parche para la vulnerabilidad.
  • IOCs: No hay información disponible sobre IOCs (Indicadores de actividad sospechosa) asociados con esta vulnerabilidad.
  • Recomendaciones: Las organizaciones deben mantenerse atentas a las actualizaciones de seguridad de Microsoft y aplicar los parches tan pronto como estén disponibles para minimizar el riesgo de explotación.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-6842 Nano

🔍 Qué está pasando

  • Se ha descubierto una vulnerabilidad en nano, un editor de texto por línea de comando, identificada con el ID CVE-2026-6842.
  • El atacante local puede injectar un lanzador de escritorio malicioso (.desktop) debido a permisos de directorio inseguros.
  • La vulnerabilidad afecta a la versión nano.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-6842 en nano puede permitir a un atacante local inyectar un lanzador de escritorio malicioso, lo que podría llevar a la ejecución de código arbitrario en el sistema afectado. Esto puede resultar en la exfiltración de datos confidenciales, la instalación de malware o la toma del control del sistema.

⚙️ Cómo funciona

El ataque funciona debido a permisos de directorio inseguros en la versión afectada de nano. Un atacante local puede crear un archivo .desktop malicioso en un directorio que es ejecutable por el usuario, lo que permite la inyección de código malicioso en el sistema.

👁️ Qué vigilar

  • Busque actualizaciones de seguridad para nano y aplique el parche correspondiente.
  • Verifique los permisos de directorio en sus sistemas y asegúrese de que sean seguros.
  • Monitoree sus sistemas para detectar y responder a posibles intentos de inyección de código malicioso.

🔗 Fuente consultada: MSRC Microsoft

Cibercrimen — The npm Threat Landscape: Attack Surface and Mitigations (Actualizado el 1 de mayo)

🔍 Qué está pasando

  • Se analiza la evolución de la cadena de suministro de npm después de Shai Hulud.
  • Se descubren malware wormables, persistencia en CI/CD, ataques de múltiples etapas y más.
  • No se menciona un CVE específico.

⚠️ Por qué importa

El análisis de Unit 42 sobre la amenaza npm es crucial para organizaciones que dependen de paquetes npm en sus proyectos. Estas organizaciones pueden verse afectadas por malware wormables, persistencia en CI/CD y ataques de múltiples etapas, lo que puede provocar pérdidas de datos y reputación. Además, los ataques a la cadena de suministro de npm pueden ser especialmente dañinos debido a la naturaleza descentralizada de la plataforma.

⚙️ Cómo funciona

Los atacantes pueden aprovechar la naturaleza de la plataforma npm para difundir malware wormables, que se pueden propagar automáticamente a otros proyectos que dependen de los mismos paquetes. Además, los atacantes pueden utilizar la persistencia en CI/CD para mantenerse en la plataforma durante períodos prolongados, lo que les permite realizar múltiples ataques y evadir las medidas de seguridad de la plataforma.

👁️ Qué vigilar

  • Vigilar paquetes npm sospechosos y actualizar a versiones más recientes.
  • Implementar medidas de seguridad en la cadena de suministro, como la verificación de firmas digitales y la autenticación de usuarios.
  • Realizar pruebas de penetración y análisis de seguridad regularmente para detectar posibles vulnerabilidades.

🔗 Fuente consultada: Unit 42 (Palo Alto)

Cibercrimen — Phoenix Rising: Exponiendo el Kit PhaaS detrás de las campañas de phishing masivas globales

🔍 Qué está pasando

  • Los investigadores de Group-IB han descubierto un panel administrativo llamado "Phoenix System".
  • Este panel corresponde a una plataforma de Phishing-as-a-Service (PhaaS) centralizada.
  • La plataforma tiene capacidad para monitorear a víctimas en tiempo real, geofencing y intervenciones de phishing en vivo para burlar la autenticación multifactor.

⚠️ Por qué importa

La existencia de una plataforma PhaaS centralizada como la "Phoenix System" plantea un riesgo significativo para las organizaciones y usuarios en todo el mundo. Estas plataformas permiten a los cibercriminales llevar a cabo campañas de phishing masivas de manera eficiente y escalable, lo que puede resultar en pérdidas financieras importantes y compromiso de datos confidenciales.

⚙️ Cómo funciona

La "Phoenix System" es una plataforma PhaaS que permite a los cibercriminales crear y personalizar mensajes de phishing, incluyendo smishing, que pueden ser enviados a víctimas en todo el mundo. La plataforma cuenta con características como la monitoreo en tiempo real de las víctimas, geofencing para dirigir los mensajes a regiones específicas y intervenciones de phishing en vivo para burlar la autenticación multifactor.

👁️ Qué vigilar

  • Buscar tráfico sospechoso hacia la plataforma PhaaS "Phoenix System".
  • Mantener actualizados los parches de seguridad para proteger contra amenazas de phishing.
  • Vigilar las cuentas de correo electrónico y SMS para detectar mensajes de phishing sospechosos.

🔗 Fuente consultada: Group-IB

Fraude cibernético — Cómo los ataques a plataformas fintech afectan a empresas francesas

🔍 Qué está pasando

  • Se han descubierto operaciones de fraude cibernético en plataformas fintech de B2B en Francia.
  • Los atacantes utilizan técnicas de fingerprinting de dispositivos y redes de "mulas" para explotar cuentas corporativas y de retail.
  • La investigación se centró en la creación de cuentas de "mula" en estas plataformas.

⚠️ Por qué importa

Estos ataques pueden tener un impacto significativo en las empresas francesas que utilizan plataformas fintech, ya que pueden resultar en pérdidas financieras y daño a su reputación. Además, estos ataques pueden ser difíciles de detectar y pueden requerir recursos significativos para mitigarlos.

⚙️ Cómo funciona

Los atacantes utilizan técnicas de fingerprinting de dispositivos para identificar y crear perfiles de dispositivos que pueden acceder a las plataformas fintech. Una vez que tienen acceso, crean redes de "mulas" que pueden ser utilizadas para realizar transacciones fraudulentas. Estas redes de "mulas" pueden ser difíciles de detectar y pueden ser utilizadas para evadir controles de seguridad.

👁️ Qué vigilar

  • Fingerprinting de dispositivos: Las empresas deben estar atentas a técnicas de fingerprinting de dispositivos que puedan ser utilizadas para acceder a sus plataformas.
  • Redes de "mulas": Las empresas deben estar atentas a la creación de redes de "mulas" que puedan ser utilizadas para realizar transacciones fraudulentas.
  • Actualizaciones de seguridad: Las empresas deben asegurarse de que sus plataformas estén actualizadas con las últimas medidas de seguridad para evitar ataques de este tipo.

🔗 Fuente consultada: Group-IB

Cibercrimen — W3LL Unmasked

🔍 Qué está pasando

  • La operación de takedown de W3LL, un ecosistema de phishing como servicio global, ha sido realizada por Group-IB.
  • W3LL era un servicio que permitía a los ciberdelincuentes crear y distribuir ataques de phishing personalizados.
  • El ecosistema W3LL estaba compuesto por varios componentes, incluyendo un panel de control y un conjunto de herramientas para crear y configurar ataques de phishing.

⚠️ Por qué importa

La operación de takedown de W3LL es importante porque este ecosistema de phishing como servicio estaba siendo utilizado por ciberdelincuentes de todo el mundo para lanzar ataques de phishing contra organizaciones y usuarios. Estos ataques pueden ser muy efectivos, ya que los ciberdelincuentes pueden crear mensajes de phishing personalizados que parecen proceder de fuentes confiables, lo que aumenta las probabilidades de que los usuarios caigan en la trampa. La eliminación de W3LL reduce significativamente la capacidad de los ciberdelincuentes para lanzar ataques de phishing a escala.

⚙️ Cómo funciona

El ecosistema W3LL funcionaba mediante un modelo de suscripción, donde los ciberdelincuentes podían pagar por acceder a las herramientas y servicios necesarios para crear y distribuir ataques de phishing. El panel de control de W3LL permitía a los ciberdelincuentes crear y configurar ataques de phishing personalizados, incluyendo el diseño del mensaje, el enlace de destino y la dirección de correo electrónico de origen. Los ciberdelincuentes también podían utilizar las herramientas de W3LL para monitorear el rendimiento de sus ataques y ajustar su estrategia según sea necesario.

👁️ Qué vigilar

  • IOC: El dominio w3ll.io ha sido identificado como una fuente de ataques de phishing. Es importante vigilar este dominio y otros relacionados para evitar caer en la trampa.
  • Parches: No hay parches específicos disponibles para este ataque, ya que se trata de un ecosistema de phishing como servicio que ha sido eliminado. Sin embargo, es importante mantener actualizados los sistemas y aplicaciones para evitar caer en ataques de phishing en el futuro.
  • Recomendaciones: Las organizaciones y usuarios deben estar alertas a los ataques de phishing y tomar medidas para protegerse, como verificar la autenticidad de los correos electrónicos y mensajes antes de abrirlos o seguir los enlaces.

🔗 Fuente consultada: Group-IB

Ciberseguridad — Seven Signals Cyber Experts Agreed on at FIRST Paris 2026

🔍 Qué está pasando

  • Los expertos en ciberseguridad de Group-IB organizaron el FIRST Technical Colloquium en París.
  • Los expertos cuestionaron suposiciones sobre la defensa moderna contra ciberataques.
  • El evento se llevó a cabo bajo la moderación del presidente de FIRST, Olivier Caleff.

⚠️ Por qué importa

La discusión entre los expertos en ciberseguridad es crucial para mejorar la defensa contra ciberataques. Al cuestionar suposiciones y compartir conocimientos, los expertos pueden identificar áreas de mejora en la protección de las organizaciones y usuarios contra amenazas cibernéticas. Esto puede llevar a la implementación de medidas de seguridad más efectivas y a una reducción del riesgo de ciberataques.

⚙️ Cómo funciona

La discusión en el evento se centró en desafiar suposiciones sobre la defensa moderna contra ciberataques. Sin embargo, no se proporcionó información específica sobre la naturaleza de la discusión o las suposiciones que se cuestionaron.

👁️ Qué vigilar

  • No hay IOCs o parches disponibles relacionados con esta noticia.
  • Los expertos en ciberseguridad deben mantenerse atentos a las discusiones y conclusiones del evento para aplicar conocimientos y mejores prácticas en la protección de las organizaciones y usuarios.
  • Las organizaciones deben considerar la importancia de la colaboración y la comunicación entre expertos en ciberseguridad para mejorar la defensa contra ciberataques.

🔗 Fuente consultada: Group-IB

OT_ICS — Análisis de Análisis de Conducta en Seguridad Cibernética

🔍 Qué está pasando

  • Los atacantes confían en defensas estáticas, lo que los hace vulnerables a ser detectados.
  • Es necesario adoptar análisis de comportamiento avanzado para identificar conductas anormales en tiempo real.
  • La seguridad cibernética tradicional no es suficiente para proteger contra amenazas modernas.

⚠️ Por qué importa

La seguridad cibernética tradicional se centra en detección de amenazas estáticas, lo que permite a los atacantes evadir los sistemas de detección. Al no tener en cuenta el comportamiento anormal, las organizaciones pueden quedar expuestas a ataques devastadores. El uso de análisis de comportamiento avanzado puede ayudar a mitigar esta vulnerabilidad.

⚙️ Cómo funciona

El análisis de comportamiento se basa en la recopilación y análisis de datos de eventos en tiempo real para identificar patrones y conductas anormales. Esto se logra mediante la implementación de soluciones de análisis de comportamiento avanzado que pueden detectar cambios en el comportamiento de los usuarios, sistemas y aplicaciones. Al identificar estas anormalidades, las organizaciones pueden tomar medidas de respuesta rápida para prevenir ataques y minimizar el daño.

👁️ Qué vigilar

  • Análisis de comportamiento avanzado: Implementar soluciones de análisis de comportamiento que puedan detectar cambios en el comportamiento de los usuarios, sistemas y aplicaciones.
  • Parches y actualizaciones: Mantener los sistemas y aplicaciones actualizados con los últimos parches y actualizaciones para cerrar vulnerabilidades.
  • Educación y capacitación: Capacitar a los empleados sobre la importancia de la seguridad cibernética y cómo identificar y reportar conductas anormales.

🔗 Fuente consultada: Group-IB

Vulnerabilidad — CISA Agrega Falha de Acceso Root Activo en Linux CVE-2026-31431 a KEV

🔍 Qué está pasando

  • La Agencia de Seguridad Cibernética e Infraestructura de los Estados Unidos (CISA) ha agregado una vulnerabilidad recientemente descubierta que afecta varias distribuciones de Linux a su catálogo de Vulnerabilidades Exploitable Conocidas (KEV).
  • La vulnerabilidad, identificada como CVE-2026-31431 (puntuación CVSS: 7.8), se refiere a una falla de elevación de privilegios local (LPE) que podría permitir a un atacante acceder a derechos de root.

⚠️ Por qué importa

La adición de esta vulnerabilidad a KEV por parte de la CISA indica que hay evidencia de explotación activa en la red, lo que significa que las organizaciones deben actuar con prontitud para mitigar el riesgo. Si una organización utiliza una distribución de Linux afectada y no tiene medidas de seguridad adecuadas en lugar, los atacantes podrían aprovechar esta vulnerabilidad para acceder a la cuenta de root y realizar acciones maliciosas.

⚙️ Cómo funciona

La vulnerabilidad CVE-2026-31431 es un tipo de falla de LPE que permite a un atacante, que inicialmente tiene permisos de usuario estándar, elevar sus privilegios a root. Esto se logra a través de una manipulación de la configuración de la memoria, lo que permite al atacante acceder a áreas de la memoria que no están destinadas a ser accedidas por usuarios normales. A partir de allí, el atacante puede realizar acciones que requieren derechos de root, como instalar software malicioso o tomar control total del sistema.

👁️ Qué vigilar

  • CVE-2026-31431: La vulnerabilidad en sí misma, que tiene una puntuación CVSS de 7.8.
  • Distribuciones de Linux afectadas: Las organizaciones deben verificar si están utilizando alguna de las distribuciones de Linux que se conocen que están afectadas por esta vulnerabilidad.
  • Parches disponibles: Es importante que las organizaciones verifiquen si hay parches disponibles para la vulnerabilidad CVE-2026-31431 y los apliquen lo antes posible.

🔗 Fuente consultada: The Hacker News

Vulnerabilidad — Brecha en código fuente de Trellix con acceso no autorizado a repositorio

🔍 Qué está pasando

  • Trellix confirma una brecha en su código fuente, lo que permitió acceso no autorizado a un "porción" de su código fuente.
  • La compañía de ciberseguridad identificó recientemente la compromiso de su repositorio de código fuente y comenzó a trabajar con expertos forenses para resolver el asunto de inmediato.
  • Se ha notificado a las autoridades de policía sobre el incidente.

⚠️ Por qué importa

La brecha en el código fuente de Trellix puede permitir a atacantes acceder a información confidencial y potencialmente explotar vulnerabilidades en sus productos. Esto puede tener un impacto significativo en la confianza de los clientes y la reputación de la compañía.

⚙️ Cómo funciona

El ataque aparentemente implicó acceso no autorizado a un repositorio de código fuente de Trellix, lo que permitió a los atacantes acceder a una "porción" de su código fuente. No se proporcionan detalles sobre la naturaleza exacta del acceso no autorizado.

👁️ Qué vigilar

  • Revisa tus dependencias: Si estás utilizando productos de Trellix, revisa tus dependencias para asegurarte de que no estén comprometidas.
  • Mantén tus sistemas actualizados: Asegúrate de que tus sistemas estén actualizados con los últimos parches y actualizaciones de seguridad.
  • Mantén una copia de seguridad de tu código: Considera mantener una copia de seguridad de tu código fuente para que puedas restaurarlo en caso de un incidente similar.

🔗 Fuente consultada: The Hacker News

Vulnerabilidad — Falta crítica en cPanel explotada en ataques de ransomware "Sorry"

🔍 Qué está pasando

  • Se ha descubierto una vulnerabilidad crítica en cPanel (CVE-2026-41940) que está siendo explotada en masa.
  • Los ataques están siendo llevados a cabo con el ransomware "Sorry".
  • Los objetivos son sitios web y datos.

⚠️ Por qué importa

La vulnerabilidad en cPanel puede permitir a los atacantes acceder a sitios web y cifrar datos, lo que puede provocar una pérdida de datos y una interrupción en la operación de las organizaciones. Además, la explotación de esta vulnerabilidad en masa puede ser un desafío para las defensas de seguridad de las organizaciones, especialmente aquellas que no han aplicado los últimos parches o que no tienen una buena práctica de seguridad.

⚙️ Cómo funciona

La vulnerabilidad CVE-2026-41940 se refiere a una falla en la gestión de sesiones de cPanel que permite a los atacantes obtener acceso no autorizado a la consola de administración de cPanel. Una vez que un atacante ha obtenido acceso, puede utilizar las herramientas de cPanel para cifrar los datos del sitio web y exigir un rescate a los propietarios del sitio.

👁️ Qué vigilar

  • IOC: Buscar tráfico de red sospechoso hacia puertos 2087 y 2088, que son los puertos utilizados por cPanel.
  • Parche: Asegurarse de que el servidor cPanel esté actualizado con el último parche disponible (cPanel 11.104.0.22 o posterior).
  • Recomendación: Aplicar las prácticas de seguridad recomendadas por cPanel, como la configuración de autenticación de dos factores y la utilización de contraseñas fuertes.

🔗 Fuente consultada: BleepingComputer

Top comments (0)