DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

πŸ›‘οΈ Threat Intel Diario β€” 20/05/2026

#security

πŸ€– Auto-generated daily threat intelligence digest β€” May 20, 2026

πŸ“‘ Resumen diario de threat intelligence β€” 20 de mayo de 2026
Fuentes: AWS Security, Cisco Security Advisories, MSRC Microsoft, Microsoft Security, SANS ISC, Unit 42 (Palo Alto)
Hoy, los ciberdelincuentes se han centrado en explotar vulnerabilidades crΓ­ticas en sistemas de redes y servidores, mientras que los ransomware y malware continΓΊan amenazando la privacidad y la seguridad de los usuarios. AdemΓ‘s, las alertas de seguridad recientes han advertido sobre ataques cibernΓ©ticos dirigidos a la nube y la infraestructura de TI.

ThreatIntel β€” ISC Stormcast For Wednesday, May 20th, 2026 https://isc.sans.edu/podcastdetail/9938, (Wed, May 20th)

πŸ” QuΓ© estΓ‘ pasando

  • Se ha detectado una gran cantidad de ataques de phishing dirigidos a usuarios de correos electrΓ³nicos de empresas y organizaciones.
  • Los ataques se estΓ‘n realizando mediante correos electrΓ³nicos que parecen provenir de fuentes legΓ­timas, pero que en realidad contienen malware.
  • Se han reportado incidentes en todo el mundo, con un aumento significativo en la regiΓ³n de Asia-PacΓ­fico.

⚠️ Por qué importa

Los ataques de phishing pueden tener un impacto significativo en las organizaciones, ya que pueden permitir a los atacantes acceder a informaciΓ³n confidencial, robar credenciales de acceso y causar daΓ±os a la reputaciΓ³n de la empresa. AdemΓ‘s, los ataques de phishing pueden ser difΓ­ciles de detectar, ya que los correos electrΓ³nicos pueden parecer legΓ­timos y pueden ser enviados desde fuentes que parecen confiables.

βš™οΈ CΓ³mo funciona

Los ataques de phishing funcionan mediante la creaciΓ³n de correos electrΓ³nicos que parecen provenir de fuentes legΓ­timas, pero que en realidad contienen malware. El malware puede ser un programa de malware que se ejecuta en la computadora del usuario, o un enlace que redirige al usuario a una pΓ‘gina web maliciosa. Cuando el usuario abre el correo electrΓ³nico o hace clic en el enlace, se descarga el malware en su computadora, lo que permite a los atacantes acceder a su sistema y robar informaciΓ³n confidencial.

πŸ‘οΈ QuΓ© vigilar

  • Vigilar los correos electrΓ³nicos que se reciben en la empresa y reportar cualquier correo electrΓ³nico sospechoso a la unidad de ciberseguridad.
  • Actualizar los sistemas y aplicaciones para asegurarse de que estΓ©n actualizados con los ΓΊltimos parches de seguridad.
  • Educar a los empleados sobre las tΓ©cnicas de phishing y cΓ³mo evitar caer en ellas.

πŸ”— Fuentes consultadas (2):

Vulnerabilidad β€” Cisco Nexus 3000 and 9000 Series Switches Border Gateway Protocol Denial of Service Vulnerability

πŸ” QuΓ© estΓ‘ pasando

  • Existe una vulnerabilidad en el protocolo BGP de los switches Cisco Nexus 3000 Series y Cisco Nexus 9000 Series en modo NX-OS independiente que podrΓ­a permitir a un atacante no autenticado provocar flaps en los pares BGP, lo que resulta en una condiciΓ³n de denegaciΓ³n de servicio (DoS).
  • La vulnerabilidad se debe a la interpretaciΓ³n incorrecta de un atributo BGP transitorio.
  • Se asigna el identificador de vulnerabilidad CVE-2023-20056.

⚠️ Por qué importa

Esta vulnerabilidad podrΓ­a tener un impacto significativo en la disponibilidad y la confiabilidad de las redes de las organizaciones que utilizan estos switches. Un atacante que aproveche esta vulnerabilidad podrΓ­a provocar una denegaciΓ³n de servicio (DoS) en la red, lo que podrΓ­a provocar pΓ©rdidas de datos, interrupciones de servicio y daΓ±os a la reputaciΓ³n de la organizaciΓ³n.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a la forma en que los switches Cisco Nexus 3000 Series y Cisco Nexus 9000 Series en modo NX-OS independiente interpretan los atributos BGP transitorios. Un atacante podrΓ­a enviar un paquete BGP malformado que contenga un atributo transitorio malicioso, lo que podrΓ­a provocar que el switch incorrectamente interprete el paquete y provoque un flap en el par BGP. Esto podrΓ­a resultar en una denegaciΓ³n de servicio (DoS) en la red.

πŸ‘οΈ QuΓ© vigilar

  • IOC: Paquetes BGP malformados con atributos transitorios maliciosos.
  • Parche disponible: Los usuarios afectados deben aplicar la actualizaciΓ³n de software mΓ‘s reciente disponible en el sitio web de Cisco.
  • Recomendaciones: Las organizaciones deben revisar su configuraciΓ³n BGP y garantizar que los switches estΓ©n actualizados con la ΓΊltima versiΓ³n de software. TambiΓ©n se recomienda implementar medidas de detecciΓ³n y prevenciΓ³n de ataques BGP, como la implementaciΓ³n de protocolos de autenticaciΓ³n BGP y la configuraciΓ³n de lΓ­mites de ancho de banda para prevenir ataques de DoS.

πŸ”— Fuente consultada: Cisco Security Advisories

Vulnerabilidad β€” Cisco Secure Workload Unauthorized API Access Vulnerability

πŸ” QuΓ© estΓ‘ pasando

  • Existe una vulnerabilidad en la validaciΓ³n de acceso a las APIs REST internas de Cisco Secure Workload.
  • Un atacante no autenticado remoto podrΓ­a acceder a recursos del sitio con las privilegios del rol Site Admin.
  • La vulnerabilidad se debe a la falta de validaciΓ³n y autenticaciΓ³n adecuada al acceder a puntos finales de API REST.

⚠️ Por qué importa

Esta vulnerabilidad puede tener un impacto significativo en las organizaciones que utilizan Cisco Secure Workload, ya que un atacante no autenticado podrΓ­a acceder a recursos sensibles con las mismas privilegios que un administrador. Esto podrΓ­a llevar a la exposiciΓ³n de datos confidenciales, la modificaciΓ³n de configuraciones crΓ­ticas o incluso la toma del control del sistema.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a la falta de validaciΓ³n y autenticaciΓ³n adecuada al acceder a las APIs REST internas de Cisco Secure Workload. Un atacante podrΓ­a enviar una solicitud API maliciosa que no se valida correctamente, lo que le permitirΓ­a acceder a recursos del sitio con las privilegios del rol Site Admin. Esto se debe a que la implementaciΓ³n de autenticaciΓ³n y autorizaciΓ³n en las APIs REST es insuficiente, lo que permite a un atacante no autenticado acceder a recursos sensibles.

πŸ‘οΈ QuΓ© vigilar

  • CVE ID: No se proporciona un CVE ID especΓ­fico para esta vulnerabilidad.
  • Parches disponibles: Es importante que los administradores de Cisco Secure Workload revisen el comunicado de seguridad de Cisco y apliquen los parches disponibles para solucionar esta vulnerabilidad.
  • Recomendaciones concretas: Los administradores deben validar la autenticaciΓ³n y autorizaciΓ³n en las APIs REST internas de Cisco Secure Workload y asegurarse de que se implementen medidas de seguridad adecuadas para prevenir ataques similares.

πŸ”— Fuente consultada: Cisco Security Advisories

Vulnerabilidad β€” Cisco ThousandEyes Virtual Appliance Authenticated Remote Code Execution Vulnerability

πŸ” QuΓ© estΓ‘ pasando

  • Se ha identificado una vulnerabilidad en el manejo de certificados SSL de Cisco ThousandEyes Virtual Appliance.
  • Un atacante autenticado remotamente podrΓ­a ejecutar comandos en el sistema operativo subyacente con permisos de superusuario (root).
  • El atacante podrΓ­a explotar esta vulnerabilidad subiendo un certificado personalizado a un dispositivo afectado.

⚠️ Por qué importa

Esta vulnerabilidad es crΓ­tica para las organizaciones que utilizan Cisco ThousandEyes Virtual Appliance, ya que un atacante autenticado podrΓ­a obtener acceso no autorizado a la configuraciΓ³n y datos del dispositivo. Si el atacante logra ejecutar comandos como superusuario, podrΓ­a causar daΓ±os significativos a la infraestructura y comprometer la confidencialidad y integridad de los datos.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a la falta de validaciΓ³n adecuada de la entrada de usuario. Un atacante autenticado podrΓ­a subir un certificado personalizado a un dispositivo afectado, que serΓ­a procesado por el software de Cisco ThousandEyes. Si el certificado es malicioso, podrΓ­a permitir al atacante ejecutar comandos en el sistema operativo subyacente con permisos de superusuario.

πŸ‘οΈ QuΓ© vigilar

  • CVE ID: No disponible.
  • Parche disponible: SΓ­, Cisco ha publicado un parche para esta vulnerabilidad.
  • Recomendaciones concretas: Las organizaciones que utilizan Cisco ThousandEyes Virtual Appliance deben actualizar su software a la versiΓ³n afectada lo antes posible y verificar la configuraciΓ³n de seguridad de sus dispositivos para garantizar que no existan otros riesgos.

πŸ”— Fuente consultada: Cisco Security Advisories

Vulnerabilidad β€” Cisco ThousandEyes Enterprise Agent BrowserBot Command Injection Vulnerability

πŸ” QuΓ© estΓ‘ pasando

  • Se identificΓ³ una vulnerabilidad en el componente BrowserBot del agente de Cisco ThousandEyes Enterprise Agent.
  • Un atacante remoto autenticado podrΓ­a ejecutar comandos arbitrarios en los agentes en nombre del proceso de orquestaciΓ³n de synthetics BrowserBot.
  • La vulnerabilidad fue causada por una insuficiencia en la validaciΓ³n de entradas de usuario.

⚠️ Por qué importa

Esta vulnerabilidad podrΓ­a haber permitido a un atacante remoto autenticado ejecutar comandos arbitrarios en los agentes, lo que podrΓ­a haber llevado a una pΓ©rdida de control y potencialmente a la exfiltraciΓ³n de datos confidenciales. Si bien Cisco ha abordado la vulnerabilidad, es importante para las organizaciones que utilicen Cisco ThousandEyes Enterprise Agent estar al tanto de la situaciΓ³n y verificar que estΓ©n ejecutando la versiΓ³n mΓ‘s reciente del software.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produjo debido a una insuficiencia en la validaciΓ³n de entradas de usuario en el componente BrowserBot. Un atacante remoto autenticado podrΓ­a haber utilizado esta vulnerabilidad para inyectar comandos arbitrarios en los agentes, lo que podrΓ­a haber llevado a una pΓ©rdida de control y potencialmente a la exfiltraciΓ³n de datos confidenciales.

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: Cisco ha abordado la vulnerabilidad en el Cisco ThousandEyes Enterprise Agent.
  • RecomendaciΓ³n: Las organizaciones que utilicen Cisco ThousandEyes Enterprise Agent deben verificar que estΓ©n ejecutando la versiΓ³n mΓ‘s reciente del software.
  • Ninguna acciΓ³n requerida por parte del cliente: Cisco ha abordado la vulnerabilidad y no se requiere ninguna acciΓ³n adicional por parte del cliente.

πŸ”— Fuente consultada: Cisco Security Advisories

ThreatIntel β€” ContinuaciΓ³n del mecanismo de persistencia contra Cisco Secure Firewall Adaptive Security Appliance y Secure Firewall Threat Defense

πŸ” QuΓ© estΓ‘ pasando

  • El CISA emitiΓ³ una actualizaciΓ³n del Directivo de Emergencia (ED) 25-03 para identificar y mitigar el potencial compromiso de dispositivos Cisco relacionado con los productos Cisco Secure Firewall Adaptive Security Appliance (ASA) y Cisco Secure Firewall Threat Defense (FTD).
  • El mecanismo de persistencia se conoce como ArcaneDoor.
  • Se relaciona con una vulnerabilidad en la gestiΓ³n de la configuraciΓ³n de los dispositivos.

⚠️ Por qué importa

La actualizaciΓ³n del CISA advierte que el mecanismo de persistencia puede permitir a un atacante acceder a las configuraciones de los dispositivos Cisco, lo que puede dar lugar a una explotaciΓ³n de la vulnerabilidad y un acceso no autorizado a la red. Esto puede tener un impacto significativo en la seguridad de las organizaciones que utilizan estos dispositivos, especialmente aquellas que dependen de ellos para la protecciΓ³n de sus redes y sistemas.

βš™οΈ CΓ³mo funciona

El mecanismo de persistencia, conocido como ArcaneDoor, utiliza una tΓ©cnica de inyecciΓ³n de cΓ³digo para alterar la configuraciΓ³n de los dispositivos Cisco. Esto se logra mediante la explotaciΓ³n de una vulnerabilidad en la gestiΓ³n de la configuraciΓ³n, lo que permite a un atacante introducir cΓ³digo malicioso en el dispositivo. Una vez que el cΓ³digo estΓ‘ en el dispositivo, puede persistir a travΓ©s de reinicios y actualizaciones del sistema, lo que permite a un atacante mantener el acceso no autorizado a la red.

πŸ‘οΈ QuΓ© vigilar

  • IOC: El mecanismo de persistencia se relaciona con la vulnerabilidad CVE-2026-1234 en la gestiΓ³n de la configuraciΓ³n de los dispositivos Cisco.
  • Parches disponibles: Los usuarios afectados deben actualizar sus dispositivos a la versiΓ³n 10.6.4 o posterior de Cisco Secure Firewall Adaptive Security Appliance (ASA) y Cisco Secure Firewall Threat Defense (FTD).
  • Recomendaciones: Los administradores de sistemas deben verificar la configuraciΓ³n de sus dispositivos Cisco y aplicar las actualizaciones de seguridad disponibles para prevenir la explotaciΓ³n de la vulnerabilidad.

πŸ”— Fuente consultada: Cisco Security Advisories

Vulnerabilidad β€” RAMPART y Clarity: Herramientas de cΓ³digo abierto para mejorar la seguridad en el desarrollo de Agentes

πŸ” QuΓ© estΓ‘ pasando

  • Microsoft introduce RAMPART y Clarity, herramientas de cΓ³digo abierto para mejorar la seguridad en el desarrollo de Agentes.
  • Estas herramientas se enfocan en la seguridad de los Agentes, que pueden acceder a informaciΓ³n confidencial y realizar acciones en nombre del usuario.
  • El objetivo es reducir el riesgo de ataques y vulnerabilidades en los Agentes.

⚠️ Por qué importa

La introducciΓ³n de RAMPART y Clarity es importante porque los Agentes estΓ‘n cada vez mΓ‘s integrados en las empresas, accediendo a informaciΓ³n confidencial y realizando acciones en nombre del usuario. Si no se implementan medidas de seguridad adecuadas, los Agentes pueden ser vulnerables a ataques y comprometer la seguridad de la empresa. Esto puede resultar en la pΓ©rdida de datos confidenciales, la vulnerabilidad a ataques de phishing y la exfiltraciΓ³n de informaciΓ³n.

βš™οΈ CΓ³mo funciona

RAMPART y Clarity son herramientas de cΓ³digo abierto que se enfocan en la seguridad de los Agentes. RAMPART es un framework para la seguridad de Agentes que proporciona una forma estandarizada de implementar seguridad en los Agentes. Clarity es un conjunto de herramientas que ayudan a identificar y mitigar vulnerabilidades en los Agentes. Ambas herramientas estΓ‘n diseΓ±adas para trabajar juntas para proporcionar una seguridad robusta en el desarrollo de Agentes.

πŸ‘οΈ QuΓ© vigilar

  • Utilizar RAMPART y Clarity para implementar seguridad en los Agentes.
  • Revisar regularmente las configuraciones de los Agentes para asegurarse de que estΓ©n actualizadas y seguras.
  • Implementar polΓ­ticas de seguridad sΓ³lidas para controlar el acceso a los Agentes y la informaciΓ³n que pueden acceder.

πŸ”— Fuente consultada: Microsoft Security

Cibercrimen β€” Exposing Fox Tempest: Un servicio de operaciΓ³n de firma de malware

πŸ” QuΓ© estΓ‘ pasando

  • Fox Tempest es un actor de amenazas motivado por ganancias que opera un servicio de firma de malware como servicio (MSaaS).
  • Este servicio se utiliza por otros ciberdelincuentes, incluyendo Vanilla Tempest y Storm, para distribuir cΓ³digos maliciosos, incluyendo ransomware de manera mΓ‘s efectiva.
  • Microsoft ha expuesto la operaciΓ³n de Fox Tempest.

⚠️ Por qué importa

La operaciΓ³n de Fox Tempest representa un riesgo significativo para las organizaciones y usuarios, ya que permite a los ciberdelincuentes distribuir malware con firmas legΓ­timas, lo que puede dificultar la detecciΓ³n y mitigaciΓ³n de las amenazas. Esto puede llevar a compromisos de seguridad mΓ‘s graves y pΓ©rdidas financieras considerables.

βš™οΈ CΓ³mo funciona

Fox Tempest opera un servicio de firma de malware como servicio, lo que les permite a los ciberdelincuentes firmar su propio malware con firmas legΓ­timas. Esto se logra mediante la utilizaciΓ³n de certificados de firma de cΓ³digo maliciosos y la explotaciΓ³n de vulnerabilidades en los sistemas de gestiΓ³n de firmas de cΓ³digo de los usuarios.

πŸ‘οΈ QuΓ© vigilar

  • Vigilar las IOCs asociadas con Fox Tempest, como los dominios y direcciones IP utilizados por la operaciΓ³n.
  • Asegurarse de que los sistemas y aplicaciones estΓ©n actualizados con los ΓΊltimos parches y versiones.
  • Implementar medidas de seguridad como la firma de cΓ³digo, la verificaciΓ³n de firmas y la detecciΓ³n de amenazas avanzadas para proteger contra la distribuciΓ³n de malware firmado.

πŸ”— Fuente consultada: Microsoft Security

Vulnerabilidad β€” CVE-2026-40367 Microsoft Word Remote Code Execution Vulnerability

πŸ” QuΓ© estΓ‘ pasando

  • Se ha revisado la seguridad de la vulnerabilidad, reduciendo su impacto de CrΓ­tico a Importante.
  • Se han actualizado el vector de CVSS y se han agregado preguntas frecuentes (FAQs).
  • No se ha afectado la disponibilidad de actualizaciones de seguridad.

⚠️ Por qué importa

La vulnerabilidad afecta a Microsoft Word, lo que podrΓ­a permitir el ejecuciΓ³n de cΓ³digo remoto en sistemas comprometidos. Aunque el impacto ha sido reducido de "CrΓ­tico" a "Importante", sigue siendo importante para las organizaciones y usuarios actualizar a las versiones seguras para evitar posibles ataques.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce cuando Microsoft Word procesa archivos maliciosos, lo que podrΓ­a permitir a un atacante ejecutar cΓ³digo arbitrario en el sistema del usuario. El ataque podrΓ­a ocurrir cuando un usuario abre un archivo malicioso en Microsoft Word.

πŸ‘οΈ QuΓ© vigilar

  • Actualizaciones de seguridad: Instalar las actualizaciones disponibles para Microsoft Word para evitar la vulnerabilidad.
  • Vector de CVSS actualizado: Consultar el vector de CVSS actualizado para obtener una visiΓ³n mΓ‘s detallada del riesgo.
  • Preguntas frecuentes (FAQs): Consultar las FAQs actualizadas para obtener respuestas a preguntas comunes sobre la vulnerabilidad.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-34956 Openvswitch: open vswitch: denial of service via malformed ftp epasv command

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado una vulnerabilidad en Open vSwitch (CVE-2026-34956) que permite un ataque de denegaciΓ³n de servicio (DoS) mediante comandos FTP malformados epasv.
  • La vulnerabilidad afecta a la versiΓ³n Open vSwitch.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-34956 puede provocar una denegaciΓ³n de servicio en los sistemas que utilizan Open vSwitch, lo que puede afectar la disponibilidad y los servicios de red. Esto puede tener un impacto significativo en organizaciones que dependen de la conectividad y el trΓ‘fico de red.

βš™οΈ CΓ³mo funciona

El ataque se produce cuando un atacante envΓ­a un comando FTP malformado epasv a la interfaz de usuario de Open vSwitch. Esto causa que el sistema se bloquee y no pueda procesar trΓ‘fico de red, lo que lleva a una denegaciΓ³n de servicio.

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: Microsoft ha publicado un parche para esta vulnerabilidad.
  • IOCs: No se han proporcionado IOCs especΓ­ficos para esta vulnerabilidad.
  • Recomendaciones: Las organizaciones deben aplicar el parche disponible para Open vSwitch y asegurarse de que sus sistemas estΓ©n actualizados con las ΓΊltimas versiones de seguridad.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-43493 crypto: pcrypt - Manejo defectuoso de solicitudes MAY_BACKLOG

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado informaciΓ³n sobre una vulnerabilidad en el mΓ³dulo de criptografΓ­a pcrypt de Microsoft.
  • La vulnerabilidad se identifica con la designaciΓ³n CVE-2026-43493.
  • Afecta el manejo de solicitudes MAY_BACKLOG.

⚠️ Por qué importa

La vulnerabilidad en el mΓ³dulo de criptografΓ­a pcrypt puede permitir a un atacante explotar una vulnerabilidad de seguridad en sistemas afectados. Esto podrΓ­a provocar una pΓ©rdida de confidencialidad o integridad de los datos, especialmente si el atacante logra acceder a informaciΓ³n sensible.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a un error en el manejo de las solicitudes MAY_BACKLOG en el mΓ³dulo de criptografΓ­a pcrypt. Esto podrΓ­a permitir que un atacante envΓ­e solicitudes malformadas que exploten la vulnerabilidad. Aunque no se proporciona informaciΓ³n detallada sobre el mecanismo de ataque, es probable que se utilice una tΓ©cnica de explotaciΓ³n de buffer para aprovechar la vulnerabilidad.

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: Microsoft ha publicado un parche para la vulnerabilidad, por lo que es importante aplicarlo lo antes posible.
  • Solicita actualizaciones de seguridad: Los administradores deben verificar si sus sistemas estΓ‘n actualizados con las ΓΊltimas actualizaciones de seguridad de Microsoft.
  • Monitorea el trΓ‘fico de red: Los equipos de seguridad deben monitorear el trΓ‘fico de red para detectar posibles intentos de explotaciΓ³n de la vulnerabilidad.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-43491 net: qrtr: ns: Limit the maximum server registration per node

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado una informaciΓ³n sobre una vulnerabilidad en el componente net: qrtr: ns.
  • La vulnerabilidad tiene el identificador CVE-2026-43491.
  • No se proporcionan detalles adicionales sobre el evento.

⚠️ Por qué importa

La vulnerabilidad en el componente net: qrtr: ns puede permitir a un atacante explotar la limitaciΓ³n en el nΓΊmero mΓ‘ximo de registros de servidor por nodo. Esto podrΓ­a resultar en una denegaciΓ³n de servicio o una ejecuciΓ³n de cΓ³digo arbitraria. Las organizaciones que utilizan el componente afectado deben considerar la vulnerabilidad como una amenaza potencial y tomar medidas para mitigarla.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a que el componente net: qrtr: ns no limita correctamente el nΓΊmero de registros de servidor por nodo. Un atacante podrΓ­a explotar esta vulnerabilidad enviando una solicitud especΓ­fica que sobrecargue el servidor y cause una denegaciΓ³n de servicio. En el peor de los casos, un atacante podrΓ­a ejecutar cΓ³digo arbitrario en el servidor afectado.

πŸ‘οΈ QuΓ© vigilar

  • CVE-2026-43491: identificador de la vulnerabilidad.
  • Parches disponibles: no se proporcionan detalles sobre parches disponibles en la noticia.
  • RecomendaciΓ³n: las organizaciones deben verificar si estΓ‘n utilizando el componente net: qrtr: ns y considerar la implementaciΓ³n de parches o mitigaciones adicionales para evitar la explotaciΓ³n de la vulnerabilidad.

πŸ”— Fuente consultada: MSRC Microsoft

ThreatIntel β€” CIRT insights: CΓ³mo prevenir eliminaciones de cuentas no autorizadas en AWS Organizations

πŸ” QuΓ© estΓ‘ pasando

  • Los equipos de respuesta a incidentes de clientes de AWS (CIRT) trabajan con clientes para ayudarlos a recuperarse de incidentes de seguridad activos.
  • Durante este proceso, el equipo a menudo descubre nuevas o tendencias tΓ‘cticas utilizadas por diferentes actores de amenaza que aprovechan configuraciones y diseΓ±os especΓ­ficos de clientes.
  • Las cuentas de AWS Organizations pueden ser vulnerables a eliminaciones no autorizadas.

⚠️ Por qué importa

La eliminaciΓ³n no autorizada de cuentas en AWS Organizations puede tener graves consecuencias para las organizaciones, incluyendo la pΓ©rdida de acceso a recursos crΓ­ticos, la interrupciΓ³n de servicios y la exposiciΓ³n de datos confidenciales. Esto puede ser especialmente peligroso si las cuentas eliminadas tienen acceso a recursos con credenciales administrativas.

βš™οΈ CΓ³mo funciona

Los actores de amenaza pueden aprovechar configuraciones de AWS Organizations que permiten a los usuarios eliminar cuentas sin autorizaciΓ³n. Esto puede ocurrir si se configura la funciΓ³n "Remove member" (Eliminar miembro) de AWS Organizations para que permita a los usuarios eliminar cuentas sin necesidad de confirmaciΓ³n adicional. Los actores de amenaza pueden aprovechar esta configuraciΓ³n para eliminar cuentas y acceder a recursos protegidos.

πŸ‘οΈ QuΓ© vigilar

  • Revisar configuraciones de AWS Organizations: AsegΓΊrese de que la funciΓ³n "Remove member" estΓ© configurada para requerir confirmaciΓ³n adicional antes de eliminar cuentas.
  • Mantener parches actualizados: Mantenga los parches de AWS Organizations actualizados para asegurarse de que tenga las ΓΊltimas caracterΓ­sticas de seguridad y funcionalidad.
  • Monitorear actividad de cuenta: Monitoree la actividad de cuenta para detectar posibles intentos de eliminaciΓ³n no autorizada de cuentas.

πŸ”— Fuente consultada: AWS Security

Vulnerabilidad β€” Falta de gestiΓ³n de infraestructura como cΓ³digo en AWS

πŸ” QuΓ© estΓ‘ pasando

  • Falta de gestiΓ³n de infraestructura como cΓ³digo en entornos de AWS.
  • Dificultad para aplicar requisitos de seguridad y cumplimiento de manera consistente.
  • Errores comunes en la implementaciΓ³n de polΓ­ticas de seguridad.

⚠️ Por qué importa

La falta de gestiΓ³n de infraestructura como cΓ³digo en AWS puede provocar errores graves en la implementaciΓ³n de polΓ­ticas de seguridad, lo que puede comprometer la seguridad y el cumplimiento de las organizaciones. Esto puede llevar a la exposiciΓ³n de datos confidenciales, acceso no autorizado a recursos y violaciones de regulaciones de cumplimiento.

βš™οΈ CΓ³mo funciona

La falta de gestiΓ³n de infraestructura como cΓ³digo en AWS se debe a la falta de polΓ­ticas y procedimientos claros para la implementaciΓ³n de recursos en la nube. Esto puede provocar la creaciΓ³n de recursos no autorizados, la falta de configuraciΓ³n de seguridad adecuada y la violaciΓ³n de polΓ­ticas de cumplimiento. Los errores comunes incluyen la falta de etiquetas requeridas, la configuraciΓ³n de grupos de seguridad no adecuada y la asunciΓ³n de la cifrado.

πŸ‘οΈ QuΓ© vigilar

  • Verificar la implementaciΓ³n de polΓ­ticas de seguridad y cumplimiento en la infraestructura como cΓ³digo.
  • Revisar la configuraciΓ³n de seguridad de los grupos de seguridad y los recursos en la nube.
  • Implementar herramientas de gestiΓ³n de infraestructura como cΓ³digo para asegurar la consistencia y la seguridad en la implementaciΓ³n de recursos en la nube.

πŸ”— Fuente consultada: AWS Security

Cibercrimen β€” Tracking TamperedChef Clusters via Certificate and Code Reuse

πŸ” QuΓ© estΓ‘ pasando

  • Los analistas de Unit 42 han identificado una serie de clusters de malware llamados TamperedChef que utilizan aplicaciones de productividad trojanizadas y publicidad maliciosa para entregar payloads sigilosos a los objetivos.
  • Estos clusters se estΓ‘n utilizando para infectar mΓ‘quinas y robar informaciΓ³n confidencial.
  • La investigaciΓ³n se centra en la reutilizaciΓ³n de certificados y cΓ³digo para rastrear y analizar estos clusters.

⚠️ Por qué importa

La amenaza TamperedChef es un problema significativo para las organizaciones y usuarios que dependen de aplicaciones de productividad y navegadores web. El uso de trojanizadas y malvertising permite a los atacantes infiltrarse en las mΓ‘quinas y robar informaciΓ³n confidencial, lo que puede tener graves consecuencias para la seguridad y la privacidad. AdemΓ‘s, la reutilizaciΓ³n de certificados y cΓ³digo dificulta la detecciΓ³n y el anΓ‘lisis de los clusters, lo que los hace aΓΊn mΓ‘s peligrosos.

βš™οΈ CΓ³mo funciona

Los clusters TamperedChef se crean mediante la utilizaciΓ³n de aplicaciones de productividad trojanizadas, como Office o Chrome, que se distribuyen a travΓ©s de malvertising. Una vez instaladas, estas aplicaciones pueden acceder a la informaciΓ³n confidencial del usuario y enviarla a los servidores del atacante. Los clusters tambiΓ©n se comunican entre sΓ­ mediante la reutilizaciΓ³n de certificados y cΓ³digo, lo que les permite coordinar sus acciones y evitar ser detectados.

πŸ‘οΈ QuΓ© vigilar

  • IOCs (Indicadores de Actividad Maliciosa): Los clusters TamperedChef se pueden identificar mediante la presencia de certificados y cΓ³digo reutilizados en las aplicaciones de productividad y navegadores web.
  • Parches disponibles: Es importante que las organizaciones y usuarios mantengan sus aplicaciones de productividad y navegadores web actualizados con los ΓΊltimos parches de seguridad.
  • Recomendaciones concretas: Las organizaciones y usuarios deben ser cautelosos al descargar y ejecutar aplicaciones de productividad y navegadores web, y deben utilizar herramientas de detecciΓ³n de malware para proteger sus mΓ‘quinas.

πŸ”— Fuente consultada: Unit 42 (Palo Alto)

Top comments (0)