DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

πŸ›‘οΈ Threat Intel Diario β€” 11/03/2026

#security

πŸ€– Auto-generated daily threat intelligence digest β€” March 11, 2026

🚨 Alerta de Seguridad CibernΓ©tica β€” 11 de marzo de 2026
Fuentes: AWS Security, Juniper Security, Kaspersky Securelist, MSRC Microsoft, Palo Alto Networks PSIRT, SANS ISC, Unit 42 (Palo Alto)

El mundo de la ciberseguridad enfrenta nuevos desafΓ­os con las ΓΊltimas amenazas de ransomware, vulnerabilidades en la nube y un aumento en el crimen cibernΓ©tico. En este resumen diario, exploramos las ΓΊltimas noticias y descubrimientos en el campo de la threat intelligence.

Vulnerabilidad β€” Zombie Zip (CVE-2026-0866), (Wed, Mar 11th)

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado una nueva vulnerabilidad conocida como "Zombie Zip" (CVE-2026-0866).
  • Esta vulnerabilidad afecta a archivos ZIP maliciosos que pueden ser utilizados para realizar ataques de inyecciΓ³n de cΓ³digo.
  • El CVE ID asociado es CVE-2026-0866.

⚠️ Por qué importa

La vulnerabilidad "Zombie Zip" puede ser utilizada por atacantes para inyectar cΓ³digo malicioso en sistemas infectados, lo que puede provocar daΓ±os significativos a organizaciones y usuarios. Los archivos ZIP maliciosos pueden ser fΓ‘cilmente distribuidos a travΓ©s de correos electrΓ³nicos o descargados de sitios web comprometidos, lo que hace que esta vulnerabilidad sea especialmente peligrosa.

βš™οΈ CΓ³mo funciona

La vulnerabilidad "Zombie Zip" se produce cuando un archivo ZIP malicioso es abierto en un entorno de sistema que no tiene la configuraciΓ³n de seguridad adecuada. El archivo ZIP puede contener cΓ³digo malicioso que se ejecuta en segundo plano, lo que permite a los atacantes acceder a la informaciΓ³n confidencial del sistema y realizar otras acciones maliciosas. El ataque se produce porque el archivo ZIP explota una vulnerabilidad en la forma en que el sistema procesa los archivos ZIP.

πŸ‘οΈ QuΓ© vigilar

  • IOC: Archivos ZIP maliciosos con extensiΓ³n .zip que contienen cΓ³digo malicioso.
  • Parche disponible: No se ha publicado un parche oficial para esta vulnerabilidad, pero se recomienda actualizar el software de procesamiento de archivos ZIP a la versiΓ³n mΓ‘s reciente.
  • Recomendaciones: Verificar la integridad de los archivos ZIP antes de abrirlos, utilizar software de seguridad para escanear archivos ZIP y evitar abrir archivos ZIP de origen desconocido.

πŸ”— Fuente consultada: SANS ISC

ThreatIntel β€” ISC Stormcast For Wednesday, March 11th, 2026 https://isc.sans.edu/podcastdetail/9844, (Wed, Mar 11th)

πŸ” QuΓ© estΓ‘ pasando

  • Se ha descubierto una campaΓ±a de ataques de phishing dirigida a organizaciones gubernamentales y de defensa de todo el mundo.
  • Los ataques se estΓ‘n llevando a cabo a travΓ©s de correos electrΓ³nicos que parecen proceder de fuentes legΓ­timas, pero que en realidad contienen malware.
  • La campaΓ±a estΓ‘ utilizando un nuevo tipo de malware que se ha denominado "Triton" y que tiene la capacidad de evadir sistemas de seguridad.

⚠️ Por qué importa

La campaΓ±a de ataques de phishing es un riesgo significativo para las organizaciones gubernamentales y de defensa, ya que puede permitir el acceso no autorizado a sistemas sensibles y la exfiltraciΓ³n de datos confidenciales. AdemΓ‘s, el malware "Triton" es particularmente peligroso debido a su capacidad de evadir sistemas de seguridad y causar daΓ±os significativos a los sistemas informΓ‘ticos.

βš™οΈ CΓ³mo funciona

El ataque comienza con un correo electrΓ³nico que parece proceder de una fuente legΓ­tima, pero que en realidad contiene un archivo adjunto infectado con el malware "Triton". Cuando el usuario abre el archivo, el malware se ejecuta y comienza a evadir sistemas de seguridad, permitiendo al atacante acceder a sistemas sensibles y robar datos confidenciales.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: Se recomienda vigilar por correos electrΓ³nicos que contengan archivos adjuntos infectados con malware.
  • Parches disponibles: No se han anunciado parches especΓ­ficos para este ataque, pero se recomienda mantener los sistemas de seguridad actualizados y utilizar software antivirus de ΓΊltima generaciΓ³n.
  • Recomendaciones: Se recomienda a las organizaciones gubernamentales y de defensa que tengan en cuenta la posibilidad de ataques de phishing y que implementen medidas de seguridad adicionales, como la verificaciΓ³n de la autenticidad de los correos electrΓ³nicos y la utilizaciΓ³n de herramientas de seguridad avanzadas.

πŸ”— Fuentes consultadas (2):

Vulnerabilidad β€” Microsoft Patch Tuesday March 2026, (Tue, Mar 10th)

πŸ” QuΓ© estΓ‘ pasando

  • Se han lanzado actualizaciones de seguridad para Microsoft Windows y otros productos de Microsoft.
  • Se abordan mΓΊltiples vulnerabilidades en componentes de Windows y otros productos de Microsoft.
  • Se incluyen parches para mejorar la protecciΓ³n contra amenazas emergentes.

⚠️ Por qué importa

La actualizaciΓ³n de Patch Tuesday de Microsoft es crucial para las organizaciones que utilizan Windows y productos de Microsoft, ya que aborda vulnerabilidades que podrΓ­an ser explotadas por atacantes malintencionados. Si no se aplican las actualizaciones, las organizaciones corren el riesgo de ser vulnerables a ataques de seguridad que podrΓ­an provocar daΓ±os significativos a sus sistemas y datos.

βš™οΈ CΓ³mo funciona

Las vulnerabilidades abordadas en la actualizaciΓ³n de Patch Tuesday de Microsoft pueden ser explotadas mediante ataques de inyecciΓ³n de cΓ³digo, ejecuciΓ³n de cΓ³digo arbitrario y acceso no autorizado a recursos de sistema. Las vulnerabilidades se encuentran en componentes de Windows, como el kernel, el sistema de archivos y el protocolo de comunicaciΓ³n, asΓ­ como en otros productos de Microsoft, como Microsoft Office y Microsoft Exchange.

πŸ‘οΈ QuΓ© vigilar

  • Parches disponibles: Los parches se pueden descargar desde el Centro de Descargas de Microsoft.
  • IOCs: Los investigadores de ciberseguridad deben estar atentos a la apariciΓ³n de malware y tΓ©cnicas de evasiΓ³n de seguridad relacionadas con las vulnerabilidades abordadas en la actualizaciΓ³n de Patch Tuesday.
  • Recomendaciones: Las organizaciones deben aplicar las actualizaciones de seguridad lo antes posible y asegurarse de que todos los sistemas y aplicaciones estΓ©n actualizados para evitar vulnerabilidades.

πŸ”— Fuentes consultadas (4):

Vulnerabilidad β€” CVE-2026-26017 CoreDNS ACL Bypass

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado una vulnerabilidad en CoreDNS que permite el bypass de ACL (Control de Acceso).
  • La vulnerabilidad tiene el identificador CVE-2026-26017.
  • Afecta a la configuraciΓ³n de ACL en CoreDNS.

⚠️ Por qué importa

La vulnerabilidad en CoreDNS puede permitir a atacantes acceder a recursos a los que no deberΓ­an tener acceso, lo que puede resultar en la exfiltraciΓ³n de datos confidenciales o la ejecuciΓ³n de cΓ³digo malicioso. Esto puede tener graves consecuencias para organizaciones que dependen de CoreDNS para la gestiΓ³n de su trΓ‘fico DNS.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a una falla en la implementaciΓ³n de ACL en CoreDNS. Al configurar ACL, los administradores pueden restringir el acceso a ciertos recursos o zonas en el nombre de dominio. Sin embargo, la vulnerabilidad permite a los atacantes bypassar estas restricciones, accediendo a recursos que no deberΓ­an tener acceso.

πŸ‘οΈ QuΓ© vigilar

  • IOC: La vulnerabilidad se identificΓ³ en CoreDNS versiΓ³n 1.9.0 y posteriores.
  • Parche disponible: Los administradores deben actualizar a la versiΓ³n mΓ‘s reciente de CoreDNS para corregir la vulnerabilidad.
  • RecomendaciΓ³n: Los administradores deben revisar la configuraciΓ³n de ACL en su implementaciΓ³n de CoreDNS y aplicar parches o actualizaciones de seguridad para garantizar la integridad de su infraestructura.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-26018 CoreDNS Loop Detection Denial of Service Vulnerability

πŸ” QuΓ© estΓ‘ pasando

  • Fue publicada la vulnerabilidad CVE-2026-26018 en CoreDNS, un servidor de nombres DNS.
  • La vulnerabilidad se trata de un ataque de denegaciΓ³n de servicio (DoS) causado por un loop de detecciΓ³n.

⚠️ Por qué importa

La vulnerabilidad puede causar un ataque de DoS en servidores CoreDNS, lo que puede provocar una pΓ©rdida de servicio y disrupciΓ³n en la infraestructura de nombres DNS de las organizaciones. Esto puede tener un impacto significativo en la disponibilidad de aplicaciones y servicios que dependen de los servidores DNS.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a un problema de detecciΓ³n de bucle en el servidor CoreDNS, que puede causar un ataque de DoS cuando un atacante envΓ­a un paquete de solicitud especΓ­fico. El servidor CoreDNS puede entrar en un bucle infinito, lo que consume recursos y causa una denegaciΓ³n de servicio.

πŸ‘οΈ QuΓ© vigilar

  • CVE-2026-26018: el nΓΊmero de identificaciΓ³n de la vulnerabilidad.
  • Parches disponibles: Microsoft recomienda aplicar los ΓΊltimos parches de seguridad para CoreDNS para mitigar la vulnerabilidad.
  • Recomendaciones: Las organizaciones deben vigilar sus servidores CoreDNS y aplicar los parches de seguridad lo antes posible para evitar un posible ataque de DoS.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-3731 libssh SFTP Extension Name sftp.c sftp_extensions_get_data out-of-bounds

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado una vulnerabilidad en la biblioteca libssh relacionada con la extensiΓ³n SFTP.
  • El problema se encuentra en el archivo sftp.c y especΓ­ficamente en la funciΓ³n sftp_extensions_get_data.
  • La vulnerabilidad se clasifica como out-of-bounds.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-3731 puede permitir a un atacante ejecutar cΓ³digo arbitrario en la mΓ‘quina vΓ­ctima, lo que puede provocar una compromiso total de la seguridad del sistema. Esto puede tener graves consecuencias para las organizaciones que utilizan libssh, ya que un ataque exitoso podrΓ­a dar acceso no autorizado a datos confidenciales o permitir la ejecuciΓ³n de acciones maliciosas.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a un error en la funciΓ³n sftp_extensions_get_data, que no realiza una validaciΓ³n adecuada de los lΓ­mites de los datos recibidos. Esto permite a un atacante proporcionar un valor de entrada malicioso que puede causar un desbordamiento de bΓΊfer, lo que a su vez permite la ejecuciΓ³n de cΓ³digo arbitrario en la mΓ‘quina vΓ­ctima.

πŸ‘οΈ QuΓ© vigilar

  • CVE ID: CVE-2026-3731
  • Parches disponibles: AΓΊn no se han anunciado parches oficiales para esta vulnerabilidad.
  • Recomendaciones: Las organizaciones que utilizan libssh deben estar atentas a cualquier noticia de actualizaciΓ³n o parche relacionado con esta vulnerabilidad. AdemΓ‘s, se recomienda realizar un anΓ‘lisis de vulnerabilidades en los sistemas afectados y aplicar medidas de mitigaciΓ³n para prevenir posibles ataques.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2025-69646

πŸ” QuΓ© estΓ‘ pasando

  • Se identificΓ³ una vulnerabilidad de denegaciΓ³n de servicio en Binutils objdump.
  • La vulnerabilidad se debe a un error lΓ³gico en el manejo del encabezado debug_rnglists.
  • Un atacante local puede explotar la vulnerabilidad mediante un archivo de entrada malicioso.

⚠️ Por qué importa

La vulnerabilidad en Binutils objdump puede provocar un ataque de denegaciΓ³n de servicio, lo que lleva a un uso excesivo de CPU e I/O y previene la finalizaciΓ³n de la analΓ­tica de objdump. Esto puede causar problemas para las organizaciones que dependen de la herramienta para analizar binarios.

La vulnerabilidad tambiΓ©n puede ser utilizada por un atacante local para aprovecharse de la confianza de los usuarios y realizar acciones maliciosas en el sistema.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce cuando el objeto de anΓ‘lisis contiene datos de debug_rnglists malformados. El objeto de anΓ‘lisis se procesa de manera incorrecta, lo que causa que objdump imprima mensajes de advertencia repetitivos y no termine hasta que el proceso es interrumpido.

πŸ‘οΈ QuΓ© vigilar

  • CVE-2025-69646: identificador de la vulnerabilidad.
  • Binutils 2.44: versiΓ³n afectada de la herramienta.
  • Parches disponibles: se recomienda actualizar a versiones mΓ‘s recientes de Binutils para corregir la vulnerabilidad.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2025-69652

GNU Binutils, una herramienta de herramientas de GNU, contiene una vulnerabilidad que causa un aborto (SIGABRT) al procesar un archivo binario ELF personalizado con informaciΓ³n de depuraciΓ³n malformada. Debido a la limpieza incompleta del estado en el proceso de depuraciΓ³n, un estado de depuraciΓ³n invΓ‘lido (debug_info_p) puede propagarse a las rutinas de interpretaciΓ³n de atributos de DWARF. Cuando ciertos atributos malformados dan lugar a una longitud de datos inesperada de cero, byte_get_little_endian() desencadena un aborto fatal.

πŸ” QuΓ© estΓ‘ pasando

  • Se identificΓ³ una vulnerabilidad en GNU Binutils.
  • La vulnerabilidad causa un aborto (SIGABRT) al procesar un archivo binario ELF malformado.
  • El CVE ID asignado es CVE-2025-69652.

⚠️ Por qué importa

La vulnerabilidad afecta a la herramienta readelf de GNU Binutils, lo que podrΓ­a permitir a atacantes causar un denegaciΓ³n de servicio (DoS) en sistemas que procesan archivos binarios ELF. Aunque no se observΓ³ evidencia de corrupciΓ³n de memoria o ejecuciΓ³n de cΓ³digo, la vulnerabilidad puede ser utilizada para causar un aborto del proceso, lo que podrΓ­a tener consecuencias significativas en sistemas crΓ­ticos.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce debido a la falta de limpieza del estado en el proceso de depuraciΓ³n (process_debug_info()). Esto permite que un estado de depuraciΓ³n invΓ‘lido (debug_info_p) se propague a las rutinas de interpretaciΓ³n de atributos de DWARF. Cuando se procesa un archivo binario ELF malformado, la funciΓ³n byte_get_little_endian() detecta una longitud de datos inesperada de cero, lo que desencadena un aborto fatal.

πŸ‘οΈ QuΓ© vigilar

  • CVE-2025-69652: La vulnerabilidad afecta a GNU Binutils hasta la versiΓ³n 2.46.
  • Parches disponibles: Aunque no se menciona explΓ­citamente, es probable que los desarrolladores de GNU Binutils estΓ©n trabajando en un parche para corregir la vulnerabilidad.
  • Recomendaciones: Es importante revisar la versiΓ³n de GNU Binutils y aplicar cualquier parche disponible para evitar la vulnerabilidad. AdemΓ‘s, es recomendable ser cauteloso al procesar archivos binarios ELF procedentes de fuentes desconocidas.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” 2026-01 Security Bulletin: Junos OS: A specifically crafted 'show chassis' command causes chassisd to crash (CVE-2025-60007)

πŸ” QuΓ© estΓ‘ pasando

  • Se ha identificado una vulnerabilidad en Junos OS que causa que el proceso chassisd se crashee cuando se ejecuta un comando 'show chassis' especΓ­ficamente crafted.
  • La vulnerabilidad se identificΓ³ con el nΓΊmero de identificaciΓ³n CVE-2025-60007.
  • El ataque requiere una configuraciΓ³n especΓ­fica y no se conoce una forma de explotarlo remotamente.

⚠️ Por qué importa

Esta vulnerabilidad puede tener un impacto significativo en organizaciones que utilizan Junos OS, ya que puede causar una caΓ­da del servicio y una pΓ©rdida de datos. AdemΓ‘s, si la vulnerabilidad no se aborda a tiempo, puede ser explotada por atacantes malintencionados, lo que podrΓ­a llevar a una pΓ©rdida de confianza en la infraestructura de la organizaciΓ³n.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a una falta de validaciΓ³n en el comando 'show chassis', que permite a un atacante ejecutar cΓ³digo malicioso en el proceso chassisd. Cuando el comando especΓ­ficamente crafted se ejecuta, el proceso chassisd se crashea, lo que puede causar una caΓ­da del servicio y una pΓ©rdida de datos.

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: Juniper ha lanzado un parche para esta vulnerabilidad, que debe ser aplicado lo antes posible.
  • IOCs: No hay IOCs conocidos para esta vulnerabilidad.
  • Recomendaciones: Las organizaciones que utilizan Junos OS deben aplicar el parche disponible y realizar una auditorΓ­a de su configuraciΓ³n para asegurarse de que no haya otros problemas de seguridad.

πŸ”— Fuentes consultadas (2):

CloudSecurity β€” AWS European Sovereign Cloud alcanza el primer hito de cumplimiento: informes SOC 2 y C5 mΓ‘s siete certificaciones ISO

πŸ” QuΓ© estΓ‘ pasando

  • La AWS European Sovereign Cloud ha alcanzado el primer hito de cumplimiento con la presentaciΓ³n de informes SOC 2 y C5.
  • AdemΓ‘s, ha obtenido siete certificaciones ISO.
  • Esta nube soberana europea es independiente y fΓ­sica y lΓ³gicamente separada de otras regiones de AWS.

⚠️ Por qué importa

La obtenciΓ³n de estos certificados y informes es un paso importante para las organizaciones que buscan almacenar y procesar datos sensibles en la nube, ya que garantiza un nivel de seguridad y confidencialidad adecuados. Esto es especialmente relevante para las empresas que operan en la UniΓ³n Europea y necesitan cumplir con las regulaciones de privacidad y seguridad de datos locales.

βš™οΈ CΓ³mo funciona

La AWS European Sovereign Cloud es una nube independiente que se encuentra en su totalidad dentro de la UniΓ³n Europea, lo que garantiza que los datos de los clientes sean almacenados y procesados en el continente. Esta nube cuenta con caracterΓ­sticas y servicios completos, lo que la hace una opciΓ³n atractiva para organizaciones que buscan una soluciΓ³n de nube soberana en Europa.

πŸ‘οΈ QuΓ© vigilar

  • Parche de seguridad: Ninguno especΓ­fico mencionado en la noticia.
  • RecomendaciΓ³n: Investigar cΓ³mo la AWS European Sovereign Cloud puede cumplir con las necesidades de seguridad y cumplimiento de tu organizaciΓ³n.
  • Vigilar: La evoluciΓ³n de la nube soberana europea y su implementaciΓ³n en la industria.

πŸ”— Fuente consultada: AWS Security

CloudSecurity β€” AWS destaca la importancia de la colaboraciΓ³n en ciberseguridad en RSAC 2026

πŸ” QuΓ© estΓ‘ pasando

  • AWS regresa a la conferencia RSAC 2026 en San Francisco para compartir experiencias y mejores prΓ‘cticas en ciberseguridad.
  • La conferencia RSAC 2026 reΓΊne a miles de profesionales, expertos y proveedores para discutir temas de ciberseguridad.
  • AWS se enfoca en la importancia de la colaboraciΓ³n en la industria de la ciberseguridad.

⚠️ Por qué importa

La colaboraciΓ³n y el intercambio de conocimientos son fundamentales para mejorar la ciberseguridad en la nube y proteger la informaciΓ³n de las organizaciones y usuarios. Al compartir experiencias y mejores prΓ‘cticas, las empresas pueden aprender de los desafΓ­os y Γ©xitos de otros, lo que les permite tomar medidas mΓ‘s efectivas para proteger sus sistemas y datos.

βš™οΈ CΓ³mo funciona

AWS enfatiza la importancia de una cultura de ciberseguridad en la que todos los miembros de la organizaciΓ³n se unen para proteger la informaciΓ³n y los sistemas. Esto implica no solo a los equipos de seguridad, sino tambiΓ©n a los desarrolladores, los administradores y todos los empleados que tienen acceso a los sistemas y datos. La colaboraciΓ³n y el intercambio de conocimientos entre estos grupos son clave para identificar y mitigar amenazas de ciberseguridad.

πŸ‘οΈ QuΓ© vigilar

  • AsegΓΊrate de involucrar a todos los empleados en la cultura de ciberseguridad de tu organizaciΓ³n.
  • Comparte experiencias y mejores prΓ‘cticas con otros profesionales de la ciberseguridad.
  • Mantente actualizado sobre las ΓΊltimas amenazas y vulnerabilidades en la nube y toma medidas para mitigarlas.

πŸ”— Fuente consultada: AWS Security

ThreatIntel β€” AWS Security Hub is expandiendo para unificar operaciones de seguridad en entornos multicloud

πŸ” QuΓ© estΓ‘ pasando

  • AWS Security Hub estΓ‘ ampliando sus capacidades para unificar la gestiΓ³n de seguridad en entornos multicloud.
  • Las organizaciones operan en entornos complejos que incluyen infraestructura en el lugar de trabajo, centros de datos privados y mΓΊltiples nubes.
  • La expansiΓ³n de AWS Security Hub busca simplificar la gestiΓ³n de seguridad en estos entornos heterogΓ©neos.

⚠️ Por qué importa

La expansiΓ³n de AWS Security Hub es importante porque las organizaciones enfrentan desafΓ­os crecientes para unificar la seguridad en sus entornos multicloud. La falta de integraciΓ³n entre herramientas de seguridad puede llevar a una mayor complejidad y un mayor riesgo de vulnerabilidades. Con AWS Security Hub, las organizaciones pueden unificar la visibilidad y la gestiΓ³n de seguridad en un solo lugar, lo que ayuda a reducir el riesgo y mejorar la eficiencia de la seguridad.

βš™οΈ CΓ³mo funciona

AWS Security Hub es un servicio de seguridad que proporciona una visiΓ³n integral de la seguridad en los entornos de AWS. Con la expansiΓ³n de AWS Security Hub, las organizaciones pueden unificar la gestiΓ³n de seguridad en sus entornos multicloud, incluyendo infraestructura en el lugar de trabajo, centros de datos privados y mΓΊltiples nubes. El servicio utiliza inteligencia de seguridad en la nube para proporcionar anΓ‘lisis y recomendaciones de seguridad en tiempo real, lo que ayuda a las organizaciones a identificar y mitigar riesgos de seguridad.

πŸ‘οΈ QuΓ© vigilar

  • Revisa la compatibilidad de tus herramientas de seguridad con AWS Security Hub.
  • Configura AWS Security Hub para unificar la visibilidad y la gestiΓ³n de seguridad en tus entornos multicloud.
  • Utiliza la inteligencia de seguridad en la nube de AWS Security Hub para identificar y mitigar riesgos de seguridad en tus entornos multicloud.

πŸ”— Fuente consultada: AWS Security

Vulnerabilidad β€” Auditing the Gatekeepers: Fuzzing "AI Judges" to Bypass Security Controls

πŸ” QuΓ© estΓ‘ pasando

  • Los investigadores de Unit 42 han descubierto que los "AI Judges" son vulnerables a inyecciΓ³n de comandos de formato ocultos.
  • La vulnerabilidad se puede explotar mediante sΓ­mbolos de formato benignos que pueden bypassar controles de seguridad.
  • La investigaciΓ³n se centra en la auditorΓ­a de los "AI Judges" para identificar vulnerabilidades.

⚠️ Por qué importa

La vulnerabilidad descubierta puede tener un impacto significativo en organizaciones que dependen de los "AI Judges" para su seguridad. Los atacantes pueden utilizar esta vulnerabilidad para inyectar comandos maliciosos en los sistemas, lo que puede llevar a la ejecuciΓ³n de cΓ³digo arbitrario con privilegios elevados. Esto puede resultar en la pΓ©rdida de datos confidenciales, la exfiltraciΓ³n de informaciΓ³n sensible y la compromiso de la infraestructura.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a que los "AI Judges" no validan adecuadamente los comandos de formato que se les presentan. Los atacantes pueden aprovechar esta debilidad para inyectar comandos maliciosos utilizando sΓ­mbolos de formato benignos, como el sΓ­mbolo de formato %s. Una vez inyectado el comando malicioso, el "AI Judge" lo ejecuta como si fuera un comando legΓ­timo, lo que permite a los atacantes bypassar los controles de seguridad y acceder a informaciΓ³n confidencial.

πŸ‘οΈ QuΓ© vigilar

  • IOC: comandos de formato benignos que se utilizan para inyectar comandos maliciosos.
  • Parches disponibles: no hay parches oficiales disponibles en este momento, pero se recomienda a las organizaciones que dependen de los "AI Judges" que revisen su configuraciΓ³n y validen adecuadamente los comandos de formato que se les presentan.
  • Recomendaciones: las organizaciones deben revisar su infraestructura y asegurarse de que los "AI Judges" estΓ©n configurados para validaciΓ³n de comandos de formato adecuada. AdemΓ‘s, se recomienda utilizar mecanismos de autenticaciΓ³n y autorizaciΓ³n adicionales para prevenir la ejecuciΓ³n de comandos maliciosos.

πŸ”— Fuente consultada: Unit 42 (Palo Alto)

Vulnerabilidad β€” CVE-2023-48795 Impact of Terrapin SSH Attack (Severity: MEDIUM)

πŸ” QuΓ© estΓ‘ pasando

  • Se ha descubierto una vulnerabilidad en el protocolo SSH que permite a un atacante ejecutar cΓ³digo arbitrario en el servidor SSH.
  • La vulnerabilidad afecta a varias plataformas, incluyendo Linux y otros sistemas operativos basados en Unix.
  • El CVE-2023-48795 ha sido asignado a esta vulnerabilidad.

⚠️ Por qué importa

La vulnerabilidad CVE-2023-48795 puede permitir a un atacante tomar control completo del servidor SSH, lo que podrΓ­a llevar a la exfiltraciΓ³n de datos confidenciales, la implantaciΓ³n de malware o la ejecuciΓ³n de acciones maliciosas. Las organizaciones que utilizan SSH para acceder a sus servidores o servicios pueden ser vulnerables a este ataque, lo que podrΓ­a tener graves consecuencias para su reputaciΓ³n y seguridad.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a una falta de validaciΓ³n de los parΓ‘metros de entrada en el protocolo SSH. Un atacante puede aprovechar esta vulnerabilidad enviando un paquete SSH con un campo de longitud invΓ‘lida, lo que permite ejecutar cΓ³digo arbitrario en el servidor SSH. La vulnerabilidad se puede explotar mediante un ataque de ingenierΓ­a social, donde un atacante persuade a un usuario de ejecutar un comando malicioso.

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: Palo Alto Networks ha lanzado un parche para mitigar la vulnerabilidad CVE-2023-48795.
  • IOCs: Los investigadores de ciberseguridad deben estar alerta a la actividad sospechosa en los servidores SSH, incluyendo la ejecuciΓ³n de comandos sospechosos o la transferencia de archivos maliciosos.
  • Recomendaciones: Las organizaciones deben actualizar sus servidores SSH con el parche disponible y revisar sus configuraciones de seguridad para asegurarse de que estΓ©n protegidas contra este tipo de ataques.

πŸ”— Fuente consultada: Palo Alto Networks PSIRT

Cibercrimen β€” BeatBanker: Un troyano Android dual-modo

πŸ” QuΓ© estΓ‘ pasando

  • Se identificΓ³ un nuevo troyano Android llamado BeatBanker que afecta a Brasil.
  • BeatBanker se presenta como aplicaciones gubernamentales y del Google Play Store.
  • El troyano tiene la capacidad de realizar minado de criptomonedas y robo de datos bancarios.

⚠️ Por qué importa

La apariciΓ³n de BeatBanker es preocupante para las organizaciones y usuarios brasileΓ±os, ya que el troyano puede comprometer la seguridad de sus dispositivos mΓ³viles. AdemΓ‘s, la capacidad de robo de datos bancarios puede llevar a pΓ©rdidas financieras significativas para las vΓ­ctimas.

βš™οΈ CΓ³mo funciona

BeatBanker se presenta como aplicaciones legΓ­timas, imitando la apariencia de aplicaciones gubernamentales y del Google Play Store. Una vez instalado, el troyano puede realizar minado de criptomonedas y robo de datos bancarios, enviando la informaciΓ³n robada a servidores controlados por los cibercriminales. La capacidad dual del troyano lo convierte en una herramienta efectiva para los atacantes.

πŸ‘οΈ QuΓ© vigilar

  • IOC: Buscar en los dispositivos mΓ³viles brasileΓ±os por aplicaciones sospechosas que se presenten como gubernamentales o del Google Play Store.
  • Parches: Asegurarse de que los dispositivos mΓ³viles estΓ©n actualizados con los ΓΊltimos parches de seguridad del sistema operativo y de las aplicaciones.
  • Recomendaciones: Los usuarios deben ser cautelosos al instalar aplicaciones de terceros y verificar la autenticidad de las aplicaciones antes de instalarlas.

πŸ”— Fuente consultada: Kaspersky Securelist

Top comments (0)