DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

πŸ›‘οΈ Threat Intel Diario β€” 03/05/2026

#security

πŸ€– Auto-generated daily threat intelligence digest β€” May 03, 2026

🚨 Resumen diario de threat intelligence β€” 03 de mayo de 2026
Fuentes: BleepingComputer, Group-IB, MSRC Microsoft, Microsoft Security, The Hacker News, Unit 42 (Palo Alto)

El dΓ­a de hoy, estamos enfrentando una mezcla de amenazas cibernΓ©ticas que van desde la explotaciΓ³n de vulnerabilidades hasta el crimen cibernΓ©tico organizado. Los atacantes estΓ‘n aprovechando las debilidades en sistemas de seguridad para lanzar ataques de ransomware y malware. AdemΓ‘s, la amenaza de otics sigue siendo una preocupaciΓ³n creciente para las organizaciones que dependen de la nube.

Vulnerabilidad β€” CVE-2026-31431: Fallo al copiar vulnera Linux y permite elevaciΓ³n de privilegios root en entornos de la nube

πŸ” QuΓ© estΓ‘ pasando

  • Se ha descubierto una vulnerabilidad de alta gravedad en Linux denominada "Fallo al copiar" (CVE-2026-31431).
  • La vulnerabilidad permite la elevaciΓ³n de privilegios root en entornos de la nube y cargas de trabajo de Kubernetes.
  • Ya existe un exploit funcional en la red.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-31431 puede permitir a un atacante con acceso a un sistema Linux con privilegios de usuario normal, ascender a privilegios root. Esto puede tener consecuencias graves para organizaciones que utilizan Linux en entornos de la nube, ya que un atacante con acceso root puede realizar acciones devastadoras, como acceder a datos confidenciales, modificar configuraciones crΓ­ticas o incluso tomar el control completo del sistema. Es fundamental que las organizaciones actΓΊen rΓ‘pidamente para detectar, mitigar y reducir el riesgo de este ataque.

βš™οΈ CΓ³mo funciona

La vulnerabilidad CVE-2026-31431 se encuentra en el cΓ³digo de copia de archivos de Linux, especΓ­ficamente en la funciΓ³n de copia de archivos. Un atacante puede explotar esta vulnerabilidad creando un archivo con un nombre especΓ­fico que, cuando se copia, causa una desbordamiento de bΓΊfer en la funciΓ³n de copia, lo que permite al atacante ejecutar cΓ³digo arbitrario con privilegios root.

πŸ‘οΈ QuΓ© vigilar

  • IOC: Buscar trΓ‘fico de red que involucre la creaciΓ³n de archivos con nombres especΓ­ficos en directorios crΓ­ticos.
  • Parches: Asegurarse de que el sistema de Linux estΓ© actualizado con los ΓΊltimos parches de seguridad, especialmente para la funciΓ³n de copia de archivos.
  • Recomendaciones: Asegurarse de que los permisos de archivo y directorio estΓ©n configurados correctamente para prevenir la creaciΓ³n de archivos con nombres especΓ­ficos, y realizar un anΓ‘lisis de seguridad exhaustivo para detectar y mitigar cualquier posible ataque.

πŸ”— Fuente consultada: Microsoft Security

Vulnerabilidad β€” CVE-2025-9403 jqlang jq JSON jq_test.c run_jq_tests assertion

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado una informaciΓ³n sobre una vulnerabilidad en jqlang jq JSON relacionada con jq_test.c y run_jq_tests.
  • La vulnerabilidad estΓ‘ identificada por el ID CVE-2025-9403.
  • La fuente de la informaciΓ³n es Microsoft MSRC.

⚠️ Por qué importa

La vulnerabilidad en jqlang jq JSON podrΓ­a permitir a un atacante ejecutar cΓ³digo arbitrario en un sistema, lo que podrΓ­a llevar a una pΓ©rdida de datos, acceso no autorizado o incluso a la toma del control del sistema. Esto es especialmente preocupante para organizaciones que utilizan herramientas que dependen de jqlang jq JSON.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se encuentra en la forma en que jqlang jq JSON maneja las assertion en el archivo jq_test.c y run_jq_tests. Un atacante podrΓ­a aprovechar esta vulnerabilidad para inyectar cΓ³digo malicioso, lo que permitirΓ­a ejecutar acciones no autorizadas en el sistema.

πŸ‘οΈ QuΓ© vigilar

  • Verificar si se ha aplicado el parche correspondiente para la vulnerabilidad CVE-2025-9403.
  • Revisar la configuraciΓ³n de las herramientas que utilizan jqlang jq JSON para asegurarse de que estΓ©n actualizadas y seguras.
  • Monitorizar el trΓ‘fico de red y los logs de sistema para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2025-8224 GNU Binutils BFD Library elf.c bfd_elf_get_str_section null pointer dereference

πŸ” QuΓ© estΓ‘ pasando

  • Se ha detectado una vulnerabilidad en la biblioteca GNU Binutils BFD Library.
  • La vulnerabilidad afecta al archivo elf.c y especΓ­ficamente a la funciΓ³n bfd_elf_get_str_section.
  • La vulnerabilidad se identifica con el ID CVE-2025-8224.

⚠️ Por qué importa

La vulnerabilidad en la biblioteca GNU Binutils BFD Library puede permitir a un atacante llevar a cabo una dereferencia de puntero nulo, lo que podrΓ­a resultar en una ejecuciΓ³n de cΓ³digo arbitraria. Esto puede tener graves consecuencias para organizaciones que utilizan esta biblioteca en sus productos o servicios. Los atacantes podrΓ­an aprovechar esta vulnerabilidad para comprometer sistemas y exfiltrar informaciΓ³n confidencial.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce cuando la funciΓ³n bfd_elf_get_str_section no verifica adecuadamente la entrada de los usuarios antes de realizar una llamada a la funciΓ³n bfd_string_lookup_type_and_name. Si la entrada es manipulada para apuntar a una direcciΓ³n nula, la funciΓ³n bfd_string_lookup_type_and_name intentarΓ‘ acceder a esa direcciΓ³n, lo que provocarΓ­a una dereferencia de puntero nulo. Esto puede permitir a un atacante ejecutar cΓ³digo arbitrario en el sistema.

πŸ‘οΈ QuΓ© vigilar

  • CVE-2025-8224: Verifique que su sistema estΓ© actualizado con el parche correspondiente para esta vulnerabilidad.
  • Parche disponible: AsegΓΊrese de aplicar el parche proporcionado por el desarrollador de la biblioteca GNU Binutils BFD Library.
  • RevisiΓ³n de cΓ³digo: Revisar el cΓ³digo que utiliza la biblioteca GNU Binutils BFD Library para asegurarse de que no haya vulnerabilidades similares.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-34757

πŸ” QuΓ© estΓ‘ pasando

  • Se ha identificado una vulnerabilidad en la biblioteca LIBPNG que afecta la forma en que maneja la informaciΓ³n de chunks.
  • La vulnerabilidad se debe a un uso-after-free en las funciones png_set_PLTE, png_set_tRNS y png_set_hIST.
  • Esto puede provocar la revelaciΓ³n de informaciΓ³n del heap y daΓ±ar datos de chunks.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-34757 puede ser explotada por atacantes para obtener informaciΓ³n confidencial o incluso para ejecutar cΓ³digo malicioso. Esto puede tener graves consecuencias para las organizaciones que utilizan la biblioteca LIBPNG, especialmente aquellas que manejan grandes cantidades de datos de imΓ‘genes. AdemΓ‘s, la posibilidad de daΓ±ar datos de chunks puede provocar problemas de rendimiento y estabilidad en aplicaciones que dependen de LIBPNG.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a un uso-after-free en las funciones png_set_PLTE, png_set_tRNS y png_set_hIST. Cuando se llama a estas funciones, LIBPNG libera memoria sin actualizar las referencias a ella, lo que permite a los atacantes acceder a la memoria liberada y obtener informaciΓ³n del heap. Esto puede ser utilizado para revelar informaciΓ³n confidencial o para injectar cΓ³digo malicioso.

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: Microsoft ha publicado un parche para la vulnerabilidad CVE-2026-34757 en la biblioteca LIBPNG.
  • Recomendaciones: Las organizaciones deben actualizar la biblioteca LIBPNG a la versiΓ³n puesta a disposiciΓ³n por Microsoft. AdemΓ‘s, se recomienda revisar las aplicaciones que dependen de LIBPNG para asegurarse de que no estΓ©n utilizando la versiΓ³n vulnerable.
  • Monitoreo: Es importante monitorear las redes y sistemas para detectar cualquier actividad sospechosa relacionada con la explotaciΓ³n de esta vulnerabilidad.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-37555

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado informaciΓ³n sobre una posible vulnerabilidad.
  • AΓΊn no se proporcionan detalles tΓ©cnicos.
  • El CVE-2026-37555 ha sido asignado para identificar la vulnerabilidad.

⚠️ Por qué importa

La publicaciΓ³n de informaciΓ³n sobre una posible vulnerabilidad puede indicar que se estΓ‘ trabajando en un parche o una soluciΓ³n. Esto puede ser preocupante para las organizaciones que utilizan los sistemas afectados, ya que pueden estar expuestas a ataques hasta que se libere un parche oficial.

βš™οΈ CΓ³mo funciona

No hay informaciΓ³n disponible sobre la forma en que funciona la vulnerabilidad, ya que solo se ha publicado un resumen general. Sin embargo, se espera que los detalles tΓ©cnicos se revelen pronto, lo que permitirΓ‘ a los analistas de ciberseguridad comprender mejor la naturaleza de la vulnerabilidad.

πŸ‘οΈ QuΓ© vigilar

  • Parches disponibles: Microsoft anunciarΓ‘ prΓ³ximamente un parche para la vulnerabilidad.
  • IOCs: No hay informaciΓ³n disponible sobre IOCs (Indicadores de actividad sospechosa) asociados con esta vulnerabilidad.
  • Recomendaciones: Las organizaciones deben mantenerse atentas a las actualizaciones de seguridad de Microsoft y aplicar los parches tan pronto como estΓ©n disponibles para minimizar el riesgo de explotaciΓ³n.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-6842 Nano

πŸ” QuΓ© estΓ‘ pasando

  • Se ha descubierto una vulnerabilidad en nano, un editor de texto por lΓ­nea de comando, identificada con el ID CVE-2026-6842.
  • El atacante local puede injectar un lanzador de escritorio malicioso (.desktop) debido a permisos de directorio inseguros.
  • La vulnerabilidad afecta a la versiΓ³n nano.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-6842 en nano puede permitir a un atacante local inyectar un lanzador de escritorio malicioso, lo que podrΓ­a llevar a la ejecuciΓ³n de cΓ³digo arbitrario en el sistema afectado. Esto puede resultar en la exfiltraciΓ³n de datos confidenciales, la instalaciΓ³n de malware o la toma del control del sistema.

βš™οΈ CΓ³mo funciona

El ataque funciona debido a permisos de directorio inseguros en la versiΓ³n afectada de nano. Un atacante local puede crear un archivo .desktop malicioso en un directorio que es ejecutable por el usuario, lo que permite la inyecciΓ³n de cΓ³digo malicioso en el sistema.

πŸ‘οΈ QuΓ© vigilar

  • Busque actualizaciones de seguridad para nano y aplique el parche correspondiente.
  • Verifique los permisos de directorio en sus sistemas y asegΓΊrese de que sean seguros.
  • Monitoree sus sistemas para detectar y responder a posibles intentos de inyecciΓ³n de cΓ³digo malicioso.

πŸ”— Fuente consultada: MSRC Microsoft

Cibercrimen β€” The npm Threat Landscape: Attack Surface and Mitigations (Actualizado el 1 de mayo)

πŸ” QuΓ© estΓ‘ pasando

  • Se analiza la evoluciΓ³n de la cadena de suministro de npm despuΓ©s de Shai Hulud.
  • Se descubren malware wormables, persistencia en CI/CD, ataques de mΓΊltiples etapas y mΓ‘s.
  • No se menciona un CVE especΓ­fico.

⚠️ Por qué importa

El anΓ‘lisis de Unit 42 sobre la amenaza npm es crucial para organizaciones que dependen de paquetes npm en sus proyectos. Estas organizaciones pueden verse afectadas por malware wormables, persistencia en CI/CD y ataques de mΓΊltiples etapas, lo que puede provocar pΓ©rdidas de datos y reputaciΓ³n. AdemΓ‘s, los ataques a la cadena de suministro de npm pueden ser especialmente daΓ±inos debido a la naturaleza descentralizada de la plataforma.

βš™οΈ CΓ³mo funciona

Los atacantes pueden aprovechar la naturaleza de la plataforma npm para difundir malware wormables, que se pueden propagar automΓ‘ticamente a otros proyectos que dependen de los mismos paquetes. AdemΓ‘s, los atacantes pueden utilizar la persistencia en CI/CD para mantenerse en la plataforma durante perΓ­odos prolongados, lo que les permite realizar mΓΊltiples ataques y evadir las medidas de seguridad de la plataforma.

πŸ‘οΈ QuΓ© vigilar

  • Vigilar paquetes npm sospechosos y actualizar a versiones mΓ‘s recientes.
  • Implementar medidas de seguridad en la cadena de suministro, como la verificaciΓ³n de firmas digitales y la autenticaciΓ³n de usuarios.
  • Realizar pruebas de penetraciΓ³n y anΓ‘lisis de seguridad regularmente para detectar posibles vulnerabilidades.

πŸ”— Fuente consultada: Unit 42 (Palo Alto)

Cibercrimen β€” Phoenix Rising: Exponiendo el Kit PhaaS detrΓ‘s de las campaΓ±as de phishing masivas globales

πŸ” QuΓ© estΓ‘ pasando

  • Los investigadores de Group-IB han descubierto un panel administrativo llamado "Phoenix System".
  • Este panel corresponde a una plataforma de Phishing-as-a-Service (PhaaS) centralizada.
  • La plataforma tiene capacidad para monitorear a vΓ­ctimas en tiempo real, geofencing y intervenciones de phishing en vivo para burlar la autenticaciΓ³n multifactor.

⚠️ Por qué importa

La existencia de una plataforma PhaaS centralizada como la "Phoenix System" plantea un riesgo significativo para las organizaciones y usuarios en todo el mundo. Estas plataformas permiten a los cibercriminales llevar a cabo campaΓ±as de phishing masivas de manera eficiente y escalable, lo que puede resultar en pΓ©rdidas financieras importantes y compromiso de datos confidenciales.

βš™οΈ CΓ³mo funciona

La "Phoenix System" es una plataforma PhaaS que permite a los cibercriminales crear y personalizar mensajes de phishing, incluyendo smishing, que pueden ser enviados a vΓ­ctimas en todo el mundo. La plataforma cuenta con caracterΓ­sticas como la monitoreo en tiempo real de las vΓ­ctimas, geofencing para dirigir los mensajes a regiones especΓ­ficas y intervenciones de phishing en vivo para burlar la autenticaciΓ³n multifactor.

πŸ‘οΈ QuΓ© vigilar

  • Buscar trΓ‘fico sospechoso hacia la plataforma PhaaS "Phoenix System".
  • Mantener actualizados los parches de seguridad para proteger contra amenazas de phishing.
  • Vigilar las cuentas de correo electrΓ³nico y SMS para detectar mensajes de phishing sospechosos.

πŸ”— Fuente consultada: Group-IB

Fraude cibernΓ©tico β€” CΓ³mo los ataques a plataformas fintech afectan a empresas francesas

πŸ” QuΓ© estΓ‘ pasando

  • Se han descubierto operaciones de fraude cibernΓ©tico en plataformas fintech de B2B en Francia.
  • Los atacantes utilizan tΓ©cnicas de fingerprinting de dispositivos y redes de "mulas" para explotar cuentas corporativas y de retail.
  • La investigaciΓ³n se centrΓ³ en la creaciΓ³n de cuentas de "mula" en estas plataformas.

⚠️ Por qué importa

Estos ataques pueden tener un impacto significativo en las empresas francesas que utilizan plataformas fintech, ya que pueden resultar en pΓ©rdidas financieras y daΓ±o a su reputaciΓ³n. AdemΓ‘s, estos ataques pueden ser difΓ­ciles de detectar y pueden requerir recursos significativos para mitigarlos.

βš™οΈ CΓ³mo funciona

Los atacantes utilizan tΓ©cnicas de fingerprinting de dispositivos para identificar y crear perfiles de dispositivos que pueden acceder a las plataformas fintech. Una vez que tienen acceso, crean redes de "mulas" que pueden ser utilizadas para realizar transacciones fraudulentas. Estas redes de "mulas" pueden ser difΓ­ciles de detectar y pueden ser utilizadas para evadir controles de seguridad.

πŸ‘οΈ QuΓ© vigilar

  • Fingerprinting de dispositivos: Las empresas deben estar atentas a tΓ©cnicas de fingerprinting de dispositivos que puedan ser utilizadas para acceder a sus plataformas.
  • Redes de "mulas": Las empresas deben estar atentas a la creaciΓ³n de redes de "mulas" que puedan ser utilizadas para realizar transacciones fraudulentas.
  • Actualizaciones de seguridad: Las empresas deben asegurarse de que sus plataformas estΓ©n actualizadas con las ΓΊltimas medidas de seguridad para evitar ataques de este tipo.

πŸ”— Fuente consultada: Group-IB

Cibercrimen β€” W3LL Unmasked

πŸ” QuΓ© estΓ‘ pasando

  • La operaciΓ³n de takedown de W3LL, un ecosistema de phishing como servicio global, ha sido realizada por Group-IB.
  • W3LL era un servicio que permitΓ­a a los ciberdelincuentes crear y distribuir ataques de phishing personalizados.
  • El ecosistema W3LL estaba compuesto por varios componentes, incluyendo un panel de control y un conjunto de herramientas para crear y configurar ataques de phishing.

⚠️ Por qué importa

La operaciΓ³n de takedown de W3LL es importante porque este ecosistema de phishing como servicio estaba siendo utilizado por ciberdelincuentes de todo el mundo para lanzar ataques de phishing contra organizaciones y usuarios. Estos ataques pueden ser muy efectivos, ya que los ciberdelincuentes pueden crear mensajes de phishing personalizados que parecen proceder de fuentes confiables, lo que aumenta las probabilidades de que los usuarios caigan en la trampa. La eliminaciΓ³n de W3LL reduce significativamente la capacidad de los ciberdelincuentes para lanzar ataques de phishing a escala.

βš™οΈ CΓ³mo funciona

El ecosistema W3LL funcionaba mediante un modelo de suscripciΓ³n, donde los ciberdelincuentes podΓ­an pagar por acceder a las herramientas y servicios necesarios para crear y distribuir ataques de phishing. El panel de control de W3LL permitΓ­a a los ciberdelincuentes crear y configurar ataques de phishing personalizados, incluyendo el diseΓ±o del mensaje, el enlace de destino y la direcciΓ³n de correo electrΓ³nico de origen. Los ciberdelincuentes tambiΓ©n podΓ­an utilizar las herramientas de W3LL para monitorear el rendimiento de sus ataques y ajustar su estrategia segΓΊn sea necesario.

πŸ‘οΈ QuΓ© vigilar

  • IOC: El dominio w3ll.io ha sido identificado como una fuente de ataques de phishing. Es importante vigilar este dominio y otros relacionados para evitar caer en la trampa.
  • Parches: No hay parches especΓ­ficos disponibles para este ataque, ya que se trata de un ecosistema de phishing como servicio que ha sido eliminado. Sin embargo, es importante mantener actualizados los sistemas y aplicaciones para evitar caer en ataques de phishing en el futuro.
  • Recomendaciones: Las organizaciones y usuarios deben estar alertas a los ataques de phishing y tomar medidas para protegerse, como verificar la autenticidad de los correos electrΓ³nicos y mensajes antes de abrirlos o seguir los enlaces.

πŸ”— Fuente consultada: Group-IB

Ciberseguridad β€” Seven Signals Cyber Experts Agreed on at FIRST Paris 2026

πŸ” QuΓ© estΓ‘ pasando

  • Los expertos en ciberseguridad de Group-IB organizaron el FIRST Technical Colloquium en ParΓ­s.
  • Los expertos cuestionaron suposiciones sobre la defensa moderna contra ciberataques.
  • El evento se llevΓ³ a cabo bajo la moderaciΓ³n del presidente de FIRST, Olivier Caleff.

⚠️ Por qué importa

La discusiΓ³n entre los expertos en ciberseguridad es crucial para mejorar la defensa contra ciberataques. Al cuestionar suposiciones y compartir conocimientos, los expertos pueden identificar Γ‘reas de mejora en la protecciΓ³n de las organizaciones y usuarios contra amenazas cibernΓ©ticas. Esto puede llevar a la implementaciΓ³n de medidas de seguridad mΓ‘s efectivas y a una reducciΓ³n del riesgo de ciberataques.

βš™οΈ CΓ³mo funciona

La discusiΓ³n en el evento se centrΓ³ en desafiar suposiciones sobre la defensa moderna contra ciberataques. Sin embargo, no se proporcionΓ³ informaciΓ³n especΓ­fica sobre la naturaleza de la discusiΓ³n o las suposiciones que se cuestionaron.

πŸ‘οΈ QuΓ© vigilar

  • No hay IOCs o parches disponibles relacionados con esta noticia.
  • Los expertos en ciberseguridad deben mantenerse atentos a las discusiones y conclusiones del evento para aplicar conocimientos y mejores prΓ‘cticas en la protecciΓ³n de las organizaciones y usuarios.
  • Las organizaciones deben considerar la importancia de la colaboraciΓ³n y la comunicaciΓ³n entre expertos en ciberseguridad para mejorar la defensa contra ciberataques.

πŸ”— Fuente consultada: Group-IB

OT_ICS β€” AnΓ‘lisis de AnΓ‘lisis de Conducta en Seguridad CibernΓ©tica

πŸ” QuΓ© estΓ‘ pasando

  • Los atacantes confΓ­an en defensas estΓ‘ticas, lo que los hace vulnerables a ser detectados.
  • Es necesario adoptar anΓ‘lisis de comportamiento avanzado para identificar conductas anormales en tiempo real.
  • La seguridad cibernΓ©tica tradicional no es suficiente para proteger contra amenazas modernas.

⚠️ Por qué importa

La seguridad cibernΓ©tica tradicional se centra en detecciΓ³n de amenazas estΓ‘ticas, lo que permite a los atacantes evadir los sistemas de detecciΓ³n. Al no tener en cuenta el comportamiento anormal, las organizaciones pueden quedar expuestas a ataques devastadores. El uso de anΓ‘lisis de comportamiento avanzado puede ayudar a mitigar esta vulnerabilidad.

βš™οΈ CΓ³mo funciona

El anΓ‘lisis de comportamiento se basa en la recopilaciΓ³n y anΓ‘lisis de datos de eventos en tiempo real para identificar patrones y conductas anormales. Esto se logra mediante la implementaciΓ³n de soluciones de anΓ‘lisis de comportamiento avanzado que pueden detectar cambios en el comportamiento de los usuarios, sistemas y aplicaciones. Al identificar estas anormalidades, las organizaciones pueden tomar medidas de respuesta rΓ‘pida para prevenir ataques y minimizar el daΓ±o.

πŸ‘οΈ QuΓ© vigilar

  • AnΓ‘lisis de comportamiento avanzado: Implementar soluciones de anΓ‘lisis de comportamiento que puedan detectar cambios en el comportamiento de los usuarios, sistemas y aplicaciones.
  • Parches y actualizaciones: Mantener los sistemas y aplicaciones actualizados con los ΓΊltimos parches y actualizaciones para cerrar vulnerabilidades.
  • EducaciΓ³n y capacitaciΓ³n: Capacitar a los empleados sobre la importancia de la seguridad cibernΓ©tica y cΓ³mo identificar y reportar conductas anormales.

πŸ”— Fuente consultada: Group-IB

Vulnerabilidad β€” CISA Agrega Falha de Acceso Root Activo en Linux CVE-2026-31431 a KEV

πŸ” QuΓ© estΓ‘ pasando

  • La Agencia de Seguridad CibernΓ©tica e Infraestructura de los Estados Unidos (CISA) ha agregado una vulnerabilidad recientemente descubierta que afecta varias distribuciones de Linux a su catΓ‘logo de Vulnerabilidades Exploitable Conocidas (KEV).
  • La vulnerabilidad, identificada como CVE-2026-31431 (puntuaciΓ³n CVSS: 7.8), se refiere a una falla de elevaciΓ³n de privilegios local (LPE) que podrΓ­a permitir a un atacante acceder a derechos de root.

⚠️ Por qué importa

La adiciΓ³n de esta vulnerabilidad a KEV por parte de la CISA indica que hay evidencia de explotaciΓ³n activa en la red, lo que significa que las organizaciones deben actuar con prontitud para mitigar el riesgo. Si una organizaciΓ³n utiliza una distribuciΓ³n de Linux afectada y no tiene medidas de seguridad adecuadas en lugar, los atacantes podrΓ­an aprovechar esta vulnerabilidad para acceder a la cuenta de root y realizar acciones maliciosas.

βš™οΈ CΓ³mo funciona

La vulnerabilidad CVE-2026-31431 es un tipo de falla de LPE que permite a un atacante, que inicialmente tiene permisos de usuario estΓ‘ndar, elevar sus privilegios a root. Esto se logra a travΓ©s de una manipulaciΓ³n de la configuraciΓ³n de la memoria, lo que permite al atacante acceder a Γ‘reas de la memoria que no estΓ‘n destinadas a ser accedidas por usuarios normales. A partir de allΓ­, el atacante puede realizar acciones que requieren derechos de root, como instalar software malicioso o tomar control total del sistema.

πŸ‘οΈ QuΓ© vigilar

  • CVE-2026-31431: La vulnerabilidad en sΓ­ misma, que tiene una puntuaciΓ³n CVSS de 7.8.
  • Distribuciones de Linux afectadas: Las organizaciones deben verificar si estΓ‘n utilizando alguna de las distribuciones de Linux que se conocen que estΓ‘n afectadas por esta vulnerabilidad.
  • Parches disponibles: Es importante que las organizaciones verifiquen si hay parches disponibles para la vulnerabilidad CVE-2026-31431 y los apliquen lo antes posible.

πŸ”— Fuente consultada: The Hacker News

Vulnerabilidad β€” Brecha en cΓ³digo fuente de Trellix con acceso no autorizado a repositorio

πŸ” QuΓ© estΓ‘ pasando

  • Trellix confirma una brecha en su cΓ³digo fuente, lo que permitiΓ³ acceso no autorizado a un "porciΓ³n" de su cΓ³digo fuente.
  • La compaΓ±Γ­a de ciberseguridad identificΓ³ recientemente la compromiso de su repositorio de cΓ³digo fuente y comenzΓ³ a trabajar con expertos forenses para resolver el asunto de inmediato.
  • Se ha notificado a las autoridades de policΓ­a sobre el incidente.

⚠️ Por qué importa

La brecha en el cΓ³digo fuente de Trellix puede permitir a atacantes acceder a informaciΓ³n confidencial y potencialmente explotar vulnerabilidades en sus productos. Esto puede tener un impacto significativo en la confianza de los clientes y la reputaciΓ³n de la compaΓ±Γ­a.

βš™οΈ CΓ³mo funciona

El ataque aparentemente implicΓ³ acceso no autorizado a un repositorio de cΓ³digo fuente de Trellix, lo que permitiΓ³ a los atacantes acceder a una "porciΓ³n" de su cΓ³digo fuente. No se proporcionan detalles sobre la naturaleza exacta del acceso no autorizado.

πŸ‘οΈ QuΓ© vigilar

  • Revisa tus dependencias: Si estΓ‘s utilizando productos de Trellix, revisa tus dependencias para asegurarte de que no estΓ©n comprometidas.
  • MantΓ©n tus sistemas actualizados: AsegΓΊrate de que tus sistemas estΓ©n actualizados con los ΓΊltimos parches y actualizaciones de seguridad.
  • MantΓ©n una copia de seguridad de tu cΓ³digo: Considera mantener una copia de seguridad de tu cΓ³digo fuente para que puedas restaurarlo en caso de un incidente similar.

πŸ”— Fuente consultada: The Hacker News

Vulnerabilidad β€” Falta crΓ­tica en cPanel explotada en ataques de ransomware "Sorry"

πŸ” QuΓ© estΓ‘ pasando

  • Se ha descubierto una vulnerabilidad crΓ­tica en cPanel (CVE-2026-41940) que estΓ‘ siendo explotada en masa.
  • Los ataques estΓ‘n siendo llevados a cabo con el ransomware "Sorry".
  • Los objetivos son sitios web y datos.

⚠️ Por qué importa

La vulnerabilidad en cPanel puede permitir a los atacantes acceder a sitios web y cifrar datos, lo que puede provocar una pΓ©rdida de datos y una interrupciΓ³n en la operaciΓ³n de las organizaciones. AdemΓ‘s, la explotaciΓ³n de esta vulnerabilidad en masa puede ser un desafΓ­o para las defensas de seguridad de las organizaciones, especialmente aquellas que no han aplicado los ΓΊltimos parches o que no tienen una buena prΓ‘ctica de seguridad.

βš™οΈ CΓ³mo funciona

La vulnerabilidad CVE-2026-41940 se refiere a una falla en la gestiΓ³n de sesiones de cPanel que permite a los atacantes obtener acceso no autorizado a la consola de administraciΓ³n de cPanel. Una vez que un atacante ha obtenido acceso, puede utilizar las herramientas de cPanel para cifrar los datos del sitio web y exigir un rescate a los propietarios del sitio.

πŸ‘οΈ QuΓ© vigilar

  • IOC: Buscar trΓ‘fico de red sospechoso hacia puertos 2087 y 2088, que son los puertos utilizados por cPanel.
  • Parche: Asegurarse de que el servidor cPanel estΓ© actualizado con el ΓΊltimo parche disponible (cPanel 11.104.0.22 o posterior).
  • RecomendaciΓ³n: Aplicar las prΓ‘cticas de seguridad recomendadas por cPanel, como la configuraciΓ³n de autenticaciΓ³n de dos factores y la utilizaciΓ³n de contraseΓ±as fuertes.

πŸ”— Fuente consultada: BleepingComputer

Top comments (0)