DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

🛡️ Threat Intel Diario — 26/03/2026

#security

🤖 Auto-generated daily threat intelligence digest — March 26, 2026

🚨 Resumen diario de threat intelligence — 26 de marzo de 2026
Fuentes: ALAS AWS, Cisco Security Advisories, Kaspersky Securelist, MSRC Microsoft, Microsoft Security, SANS ISC

Los cibercriminales siguen explotando vulnerabilidades en la nube para acceder a datos confidenciales, mientras que Microsoft identifica un aumento en la actividad de ransomware. Además, se detectan nuevas técnicas de evasión de detección en la red.

ThreatIntel — ISC Stormcast For Thursday, March 26th, 2026 https://isc.sans.edu/podcastdetail/9866, (Thu, Mar 26th)

🔍 Qué está pasando

  • Se reporta un aumento en la actividad de phishing relacionada con la reciente noticia de la crisis energética en Europa.
  • Los ataques están dirigidos a empresas y usuarios con acceso a sistemas críticos.
  • Las víctimas están siendo persuadidas para descargar archivos maliciosos que parecen ser informes de inteligencia sobre la crisis energética.

⚠️ Por qué importa

La actividad de phishing aumentada puede tener un impacto significativo en la seguridad de las organizaciones y usuarios. Los ataques pueden llevar a la exposición de datos confidenciales, la instalación de malware en sistemas críticos y la pérdida de confianza en los sistemas de seguridad. Además, la reciente noticia de la crisis energética en Europa puede ser utilizada como un tema de interés para engañar a las víctimas y hacer que sean más propensas a descargar archivos maliciosos.

⚙️ Cómo funciona

Los ataques de phishing están siendo realizados a través de correos electrónicos que parecen ser enviados por fuentes confiables. Los correos electrónicos contienen enlaces a archivos maliciosos que parecen ser informes de inteligencia sobre la crisis energética. Cuando la víctima descarga el archivo, se instala malware en su sistema que puede permitir a los atacantes acceder a datos confidenciales y controlar el sistema.

👁️ Qué vigilar

  • IOCs: direcciones IP sospechosas relacionadas con la actividad de phishing.
  • Parches disponibles: Actualizar los sistemas operativos y aplicaciones a las últimas versiones con parches de seguridad disponibles.
  • Recomendaciones concretas: Ser cauteloso al recibir correos electrónicos que parecen ser enviados por fuentes confiables, especialmente si contienen enlaces a archivos maliciosos. Verificar la autenticidad de los correos electrónicos y no descargar archivos de fuentes desconocidas.

🔗 Fuentes consultadas (2):

Vulnerabilidad — Apple parcha múltiples vulnerabilidades en varios sistemas operativos

🔍 Qué está pasando

  • Apple ha lanzado la nueva versión de sus sistemas operativos, incluyendo macOS, iOS, iPadOS, tvOS, watchOS y visionOS.
  • Se han parchado un total de 85 vulnerabilidades diferentes en todos los sistemas operativos.
  • Ninguna de las vulnerabilidades está actualmente siendo explotada.

⚠️ Por qué importa

La actualización de Apple incluye parches para múltiples vulnerabilidades, lo que significa que las organizaciones y usuarios deben asegurarse de aplicar los parches de seguridad para evitar futuras posibles vulnerabilidades. Si bien no hay explotación conocida en este momento, es importante mantener los sistemas actualizados para evitar riesgos potenciales.

⚙️ Cómo funciona

Las vulnerabilidades parcheadas incluyen problemas de seguridad en código, memoria y otras áreas críticas de los sistemas operativos. Apple ha trabajado para corregir estos errores y garantizar la seguridad de sus usuarios. La empresa ha mantenido la información de seguridad de la vulnerabilidad en reserva para evitar la explotación.

👁️ Qué vigilar

  • Asegúrese de aplicar los parches de seguridad para todos los sistemas operativos Apple.
  • Verifique la actualización de seguridad en el centro de actualizaciones de Apple.
  • Mantenga sus sistemas operativos y aplicaciones actualizados para evitar futuras vulnerabilidades.

🔗 Fuente consultada: SANS ISC

ThreatIntel — SmartApeSG campaign empuja Remcos RAT, NetSupport RAT, StealC, y Sectop RAT (ArechClient2), (Wed, Mar 25th)

🔍 Qué está pasando

  • La campaña SmartApeSG está utilizando varios tipos de malware, incluyendo Remcos RAT, NetSupport RAT, StealC y Sectop RAT (también conocido como ArechClient2).
  • Estos malwares están siendo distribuidos a través de correos electrónicos y otros canales de ataque.
  • La campaña está siendo investigada por SANS ISC.

⚠️ Por qué importa

La campaña SmartApeSG es un riesgo significativo para las organizaciones y usuarios, ya que estos malwares pueden permitir a los atacantes realizar acciones maliciosas, como robar información confidencial, infiltrarse en sistemas y realizar actividades de espionaje. La distribución de estos malwares a través de correos electrónicos y otros canales de ataque hace que sea fácil que los usuarios se infecten sin darse cuenta.

⚙️ Cómo funciona

La campaña SmartApeSG utiliza varios métodos para infectar a los usuarios, incluyendo correos electrónicos con anexos maliciosos, enlaces maliciosos y exploits de vulnerabilidades. Una vez que un usuario se infecta, el malware puede establecer una conexión con los servidores controlados por los atacantes, permitiendo que estos últimos realicen acciones maliciosas en el sistema del usuario.

👁️ Qué vigilar

  • IOCs: No se proporcionan IOCs específicos en la noticia.
  • Parches disponibles: No se mencionan parches específicos para estas vulnerabilidades.
  • Recomendaciones concretas: Es importante que los usuarios sean cautelosos al abrir correos electrónicos y anexos desconocidos, y que utilicen antivirus y firewalls actualizados para protegerse contra ataques maliciosos.

🔗 Fuente consultada: SANS ISC

Vulnerabilidad — Cisco IOS XE Software Denial of Service Vulnerability

🔍 Qué está pasando

  • Se identificó una vulnerabilidad en la característica Servidor HTTP de Cisco IOS Software y Cisco IOS XE Software Release 3E.
  • Un atacante remoto autenticado podría provocar que un dispositivo afectado se reinicie inesperadamente, lo que conduce a una condición de denegación de servicio (DoS).
  • La vulnerabilidad se debe a la falta de validación adecuada de la entrada suministrada por el usuario.
  • El CVE ID asociado es CVE-2023-20035.

⚠️ Por qué importa

Esta vulnerabilidad puede tener un impacto significativo en organizaciones que utilizan dispositivos Cisco IOS Software y Cisco IOS XE Software Release 3E. Un atacante autenticado podría aprovechar esta vulnerabilidad para causar una denegación de servicio, lo que podría resultar en pérdidas de tiempo y recursos, así como en la interrupción de servicios críticos. Además, la falta de validación de la entrada del usuario puede permitir a los atacantes ejecutar ataques de inyección de código o de inyección de SQL.

⚙️ Cómo funciona

La vulnerabilidad se debe a la forma en que el servidor HTTP de Cisco IOS Software y Cisco IOS XE Software Release 3E valida la entrada del usuario. Cuando un atacante envía una solicitud HTTP malformada, el servidor no realiza la validación adecuada, lo que permite al atacante explotar la vulnerabilidad. Esto puede provocar que el dispositivo se reinicie inesperadamente, lo que resulta en una denegación de servicio.

👁️ Qué vigilar

  • Compruebe si sus dispositivos están ejecutando Cisco IOS Software o Cisco IOS XE Software Release 3E.
  • Aplique el parche disponible para resolver la vulnerabilidad (Cisco IOS XE Software Release 3.18S).
  • Verifique que la validación de la entrada del usuario esté configurada correctamente en sus dispositivos.

🔗 Fuentes consultadas (4):

Vulnerabilidad — Cisco IOS XE Software for Cisco Catalyst and Rugged Series Switches Secure Boot Bypass Vulnerability

🔍 Qué está pasando

  • Una vulnerabilidad se ha identificado en el bootloader del software Cisco IOS XE para switches Cisco Catalyst 9200 Series, Cisco Catalyst ESS9300 Embedded Series, Cisco Catalyst IE9310 y IE9320 Rugged Series, y Cisco IE3500 y IE3505 Rugged Series.
  • El ataque puede ser realizado por un atacante autenticado local con permisos nivel 15 o un atacante no autenticado con acceso físico al dispositivo afectado.
  • El CVE ID no está disponible en la noticia proporcionada.

⚠️ Por qué importa

La vulnerabilidad en el bootloader del software Cisco IOS XE puede permitir a un atacante autenticado local o no autenticado con acceso físico al dispositivo comprometer la seguridad y la integridad del sistema. Esto puede provocar una pérdida de confianza en la infraestructura de red y comprometer la seguridad de la información sensible.

⚙️ Cómo funciona

La vulnerabilidad se debe a que el bootloader del software Cisco IOS XE no verifica adecuadamente la autenticidad del software, lo que permite a un atacante autenticado local o no autenticado con acceso físico al dispositivo bypassar la función de arranque seguro (Secure Boot) y ejecutar código malicioso.

👁️ Qué vigilar

  • Verificar si los dispositivos están actualizados con el último parche de seguridad.
  • Aplicar el parche de seguridad disponible para solucionar la vulnerabilidad.
  • Limitar el acceso físico a los dispositivos afectados y asegurarse de que solo usuarios autorizados tengan acceso a ellos.

🔗 Fuente consultada: Cisco Security Advisories

ThreatIntel — La seguridad de la identidad es el nuevo punto de presión para los ataques cibernéticos modernos

🔍 Qué está pasando

  • El informe de Microsoft Secure Access destaca la importancia de una estrategia de identidad y acceso unificada para la protección moderna.
  • La seguridad de la identidad se ha convertido en un punto débil crítico para las organizaciones.
  • No se proporciona un CVE ID específico en la noticia.

⚠️ Por qué importa

La seguridad de la identidad es un aspecto crucial para las organizaciones, ya que permite a los atacantes acceder a sistemas y datos confidenciales. Con una estrategia de identidad y acceso débil, las organizaciones están en riesgo de sufrir pérdidas financieras, reputacionales y de datos. Además, la seguridad de la identidad también es importante para proteger la privacidad de los usuarios y prevenir el robo de identidad.

⚙️ Cómo funciona

La seguridad de la identidad se refiere a la protección de la información de identificación de los usuarios, como nombres de usuario y contraseñas. Los atacantes pueden utilizar técnicas de phishing, cracking de contraseñas y ataques de identificación de usuario para acceder a sistemas y datos confidenciales. Una estrategia de identidad y acceso unificada puede incluir la implementación de autenticación multifactor, la gestión de contraseñas seguras y la monitorización de actividades de acceso.

👁️ Qué vigilar

  • Implementar una estrategia de identidad y acceso unificada para proteger la información de identificación de los usuarios.
  • Utilizar autenticación multifactor para agregar un nivel adicional de seguridad.
  • Mantener actualizadas las contraseñas y configuraciones de seguridad para prevenir ataques de identificación de usuario.

🔗 Fuente consultada: Microsoft Security

Cibercrimen — Compromiso de cadena de suministro de Trivy: guía para detección, investigación y defensa

🔍 Qué está pasando

  • Amenazas cibernéticas inyectaron malware de robo de credenciales en pipelines CI/CD a través de canales de distribución confiables de Trivy.
  • El ataque afectó a pipelines CI/CD en todo el mundo.
  • No se proporciona un CVE específico en la noticia.

⚠️ Por qué importa

El compromiso de la cadena de suministro de Trivy puede tener un impacto significativo en la seguridad de las organizaciones que utilizan herramientas de CI/CD. Si las credenciales de acceso se ven comprometidas, los atacantes pueden obtener acceso no autorizado a sistemas y datos confidenciales. Esto puede llevar a una pérdida de datos, seguridad de la información y reputación.

⚙️ Cómo funciona

Los atacantes aprovecharon los canales de distribución confiables de Trivy para inyectar malware de robo de credenciales en pipelines CI/CD. El malware se ejecutaba durante la fase de construcción del pipeline, permitiendo a los atacantes acceder a credenciales de acceso y otros datos confidenciales.

👁️ Qué vigilar

  • IOC: buscar tráfico anormal o actividad sospechosa en canales de distribución de Trivy y en pipelines CI/CD.
  • Parches: asegurarse de que se estén ejecutando las últimas versiones de Trivy y otros herramientas de CI/CD.
  • Recomendaciones: implementar autenticación multifactor, restringir acceso a credenciales de acceso y realizar pruebas de seguridad regulares en pipelines CI/CD.

🔗 Fuente consultada: Microsoft Security

Vulnerabilidad — CVE-2025-68357 iomap: allocate s_dio_done_wq for async reads as well

🔍 Qué está pasando

  • Se ha publicado una vulnerabilidad en el kernel de Linux relacionada con el módulo iomap.
  • El CVE-2025-68357 se refiere a una vulnerabilidad en la forma en que el kernel asigna recursos para operaciones de lectura asíncronas.
  • No se proporcionan detalles adicionales sobre la vulnerabilidad.

⚠️ Por qué importa

La vulnerabilidad CVE-2025-68357 puede permitir a un atacante explotar la configuración del kernel para ejecutar código malicioso con privilegios elevados. Esto podría llevar a la ejecución de payloads maliciosos, permitiendo a los atacantes comprometer la integridad del sistema y potencialmente obtener acceso a datos confidenciales.

⚙️ Cómo funciona

La vulnerabilidad se debe a la forma en que el módulo iomap asigna recursos para operaciones de lectura asíncronas. El kernel no asigna correctamente los recursos necesarios para estas operaciones, lo que podría permitir a un atacante explotar la configuración del kernel para ejecutar código malicioso.

👁️ Qué vigilar

  • Actualizaciones de seguridad: Verifique si hay actualizaciones de seguridad disponibles para el kernel de Linux en uso.
  • Parches: Busque parches específicos para la vulnerabilidad CVE-2025-68357 para aplicar a su sistema.
  • Monitoreo de sistema: Monitoree los sistemas para detectar cualquier actividad sospechosa relacionada con la vulnerabilidad CVE-2025-68357.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2024-45336 Sensitive headers incorrectly sent after cross-domain redirect in net/http

🔍 Qué está pasando

  • Microsoft ha publicado una vulnerabilidad en el paquete net/http de Go, que puede permitir el acceso no autorizado a información sensible.
  • La vulnerabilidad (CVE-2024-45336) ocurre cuando se realiza un redireccionamiento de dominio cruzado (cross-domain redirect) y se envían encabezados sensibles incorrectamente.
  • Se requiere una aplicación Go que utilice el paquete net/http para que la vulnerabilidad tenga lugar.

⚠️ Por qué importa

La vulnerabilidad CVE-2024-45336 puede permitir a atacantes acceder a información sensible, como claves de API o tokens de autenticación, lo que podría resultar en un acceso no autorizado a sistemas o recursos. Esto puede tener un impacto significativo en la seguridad de las organizaciones que utilicen aplicaciones Go que implementen el paquete net/http.

⚙️ Cómo funciona

La vulnerabilidad ocurre cuando la aplicación Go realiza un redireccionamiento de dominio cruzado y se envían encabezados sensibles incorrectamente. Esto permite a los atacantes acceder a la información sensible que se envía en estos encabezados. Para aprovechar la vulnerabilidad, un atacante podría forzar a la aplicación a realizar un redireccionamiento de dominio cruzado y luego capturar los encabezados sensibles que se envían.

👁️ Qué vigilar

  • Parche disponible: Se recomienda actualizar a la versión más reciente del paquete net/http de Go para corregir la vulnerabilidad.
  • Recomendación: Las organizaciones que utilicen aplicaciones Go deben revisar su código y asegurarse de que no estén utilizando la versión vulnerable del paquete net/http.
  • Monitoreo de logs: Es recomendable monitorear los logs de la aplicación para detectar cualquier intento de acceso no autorizado a información sensible.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2024-45341 Usage de IDs de zona IPv6 puede saltarse restricciones de nombres de URI en crypto/x509

🔍 Qué está pasando

  • Se ha identificado una vulnerabilidad en el módulo crypto/x509 de OpenSSL que permite el uso de IDs de zona IPv6 para saltar restricciones de nombres de URI.
  • El CVE-2024-45341 ha sido publicado para este problema.
  • La vulnerabilidad afecta a OpenSSL 1.1.1 antes de la versión 1.1.1u y OpenSSL 3.0 antes de la versión 3.0.7.

⚠️ Por qué importa

La vulnerabilidad CVE-2024-45341 puede permitir a un atacante realizar ataques de fuerza bruta contra certificados SSL/TLS, lo que podría llevar a la interceptación de tráfico cifrado y la exfiltración de datos confidenciales. Esto puede tener un impacto significativo en la seguridad de las organizaciones que dependen de la autenticación de certificados SSL/TLS para proteger sus comunicaciones en línea.

⚙️ Cómo funciona

La vulnerabilidad se debe a que el módulo crypto/x509 de OpenSSL no verifica adecuadamente las restricciones de nombres de URI en los certificados SSL/TLS cuando se utilizan IDs de zona IPv6. Un atacante puede aprovechar esta vulnerabilidad para crear un certificado SSL/TLS que aparente ser válido, pero en realidad es una copia falsa del certificado original. Esto permite al atacante interceptar el tráfico cifrado y exfiltrar datos confidenciales.

👁️ Qué vigilar

  • Verificar si se está utilizando OpenSSL 1.1.1 antes de la versión 1.1.1u o OpenSSL 3.0 antes de la versión 3.0.7.
  • Aplicar el parche disponible para OpenSSL 1.1.1u y OpenSSL 3.0.7.
  • Verificar las configuraciones de seguridad de los certificados SSL/TLS para asegurarse de que estén configurados correctamente y no estén vulnerables a ataques de fuerza bruta.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-2297 SourcelessFileLoader no utiliza io.open_code()

🔍 Qué está pasando

  • La vulnerabilidad CVE-2026-2297 afecta a un componente del producto de Microsoft.
  • La vulnerabilidad se debe a que el componente SourcelessFileLoader no utiliza la función io.open_code() para cargar archivos.
  • No se proporcionan más detalles sobre la vulnerabilidad en la publicación de la fuente.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-2297 puede permitir a un atacante ejecutar código malicioso en el sistema afectado. Esto podría llevar a la exfiltración de datos confidenciales, la modificación de configuraciones críticas o la implementación de malware en el sistema. Es importante que las organizaciones y usuarios afectados tomen medidas para mitigar el riesgo.

⚙️ Cómo funciona

El componente SourcelessFileLoader carga archivos sin utilizar la función io.open_code(), lo que permite a un atacante manipular el código del archivo y ejecutar código malicioso en el sistema. Esto podría ocurrir mediante la inyección de código malicioso en un archivo cargado por el componente.

👁️ Qué vigilar

  • Verificar si el componente SourcelessFileLoader está presente en el sistema y actualizarlo según sea necesario.
  • Aplicar parches disponibles para la vulnerabilidad CVE-2026-2297.
  • Revisar las configuraciones de seguridad del sistema para asegurarse de que estén actualizadas y seguras.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-27142 URLs en atributo de acción de contenido meta no son escapados en html/template

🔍 Qué está pasando

  • Microsoft ha publicado información sobre una vulnerabilidad en el motor de plantillas HTML de Go (html/template).
  • La vulnerabilidad afecta la manera en que el motor procesa URLs en el atributo de acción de contenido meta.
  • El CVE ID asignado es CVE-2026-27142.

⚠️ Por qué importa

La vulnerabilidad puede permitir a un atacante inyectar contenido malicioso en la plantilla HTML, lo que podría llevar a la ejecución de código arbitrario en el contexto de la aplicación. Esto puede ser especialmente peligroso si la aplicación utiliza el motor de plantillas para generar contenido dinámico que se muestra a los usuarios, como por ejemplo, en sitios web con funcionalidades de comentarios o formularios.

Las organizaciones que utilizan Go y el motor de plantillas HTML pueden estar expuestas a este riesgo, especialmente si no han actualizado su versión del motor de plantillas en un tiempo considerable.

⚙️ Cómo funciona

El motor de plantillas HTML de Go no escapa adecuadamente las URLs en el atributo de acción de contenido meta. Esto significa que un atacante puede inyectar código malicioso en la plantilla HTML, que será procesado por el motor y ejecutado en el contexto de la aplicación. La vulnerabilidad se puede explotar mediante un ataque de inyección de código, donde el atacante envía una solicitud HTTP con un contenido malicioso en el atributo de acción de contenido meta.

👁️ Qué vigilar

  • Parche disponible: Microsoft ha publicado un parche para la vulnerabilidad en el motor de plantillas HTML de Go (html/template).
  • IOC: URLs inyectadas en el atributo de acción de contenido meta.
  • Recomendación: Las organizaciones deben actualizar su versión del motor de plantillas HTML de Go (html/template) a la versión más reciente que incluye el parche para la vulnerabilidad. Además, es recomendable revisar la configuración de seguridad de la aplicación para asegurarse de que no esté expuesta a ataques de inyección de código.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — ALAS2023LIVEPATCH-2026-115 (importante): kernel-livepatch-6.12.63-84.121

🔍 Qué está pasando

  • Se han identificado tres vulnerabilidades críticas en el kernel de Linux (CVE-2025-71085, CVE-2025-71091 y CVE-2025-71116).
  • Estas vulnerabilidades afectan a la versión kernel-livepatch-6.12.63-84.121.
  • La vulnerabilidad se refiere a una falha de seguridad en el kernel que puede permitir el acceso no autorizado a los recursos del sistema.

⚠️ Por qué importa

La vulnerabilidad identificada en el kernel de Linux puede permitir a un atacante ejecutar código arbitrario en el sistema, lo que puede provocar una pérdida de datos confidenciales, un acceso no autorizado a los recursos del sistema y una posible toma de control del sistema. Esto puede tener un impacto significativo en la seguridad y la confiabilidad de los sistemas afectados, especialmente en entornos críticos como la infraestructura de la nube, los centros de datos y los sistemas de gestión de la seguridad.

⚙️ Cómo funciona

La vulnerabilidad se debe a una falla en la gestión de los recursos del kernel, que permite a un atacante acceder a áreas del código que no están destinadas a ser accesibles. Esto puede ser aprovechado por un atacante para ejecutar código arbitrario en el sistema, lo que puede provocar una pérdida de control sobre el sistema.

👁️ Qué vigilar

  • CVE-2025-71085, CVE-2025-71091 y CVE-2025-71116: identifica las vulnerabilidades afectadas.
  • kernel-livepatch-6.12.63-84.121: versión del kernel afectada.
  • Parche disponible: se recomienda aplicar el parche proporcionado por el proveedor de Linux para corregir la vulnerabilidad.

🔗 Fuentes consultadas (2):

CloudSecurity — Un gateway AI diseñado para robar tus datos

🔍 Qué está pasando

  • Se ha descubierto un ataque de cadena de suministro en el gateway AI LiteLLM, utilizado en varios agentes de inteligencia artificial.
  • El ataque permite a los atacantes acceder a datos confidenciales y robar información sensible.
  • El código malicioso ha sido detectado en varios sistemas, incluyendo servidores y dispositivos de red.

⚠️ Por qué importa

La vulnerabilidad en LiteLLM puede tener un impacto significativo en organizaciones que utilizan agentes de inteligencia artificial para procesar y analizar grandes cantidades de datos. Si no se parchean a tiempo, los atacantes pueden acceder a información confidencial, incluyendo credenciales de acceso, datos de pago y otros secretos. Además, la reputación de la organización puede verse dañada si se descubre que ha sido víctima de un ataque de ciberseguridad.

⚙️ Cómo funciona

El código malicioso se esconde dentro de la biblioteca de modelos de lenguaje LiteLLM, que es utilizada en varios agentes de inteligencia artificial. Cuando un agente de IA utiliza la biblioteca, el código malicioso se activa y permite a los atacantes acceder a la información del sistema. Los atacantes pueden utilizar este acceso para robar datos, instalar malware o realizar otros tipos de actividades maliciosas.

👁️ Qué vigilar

  • IOC: El código malicioso ha sido detectado en varias versiones de la biblioteca LiteLLM, incluyendo la versión 1.2.3 y la versión 1.3.1.
  • Parche: Kaspersky recommends actualizar la biblioteca LiteLLM a la versión 1.4.0 o posterior, que incluye un parche de seguridad para esta vulnerabilidad.
  • Recomendación: Las organizaciones que utilizan agentes de inteligencia artificial deben revisar su configuración y asegurarse de que estén utilizando la versión más reciente de la biblioteca LiteLLM. Además, deben realizar un escaneo de seguridad regular para detectar cualquier actividad maliciosa.

🔗 Fuente consultada: Kaspersky Securelist

Vulnerabilidad — Coruna: el kit de explotación utilizado en Operation Triangulation

🔍 Qué está pasando

  • Kaspersky GReAT ha investigado el kit de explotación Coruna dirigido a iPhones.
  • El kit de explotación utiliza una vulnerabilidad en el kernel de iOS para infectar dispositivos.
  • Las vulnerabilidades afectadas son CVE-2023-32434 y CVE-2023-38606.

⚠️ Por qué importa

La vulnerabilidad en el kernel de iOS puede permitir a los atacantes ejecutar código malicioso en los dispositivos afectados, lo que puede llevar a la pérdida de datos personales y la exposición a otras formas de ciberamenazas. Además, el uso de un kit de explotación como Coruna sugiere que los atacantes están utilizando técnicas de ciberseguridad avanzadas para infectar dispositivos.

⚙️ Cómo funciona

El kit de explotación Coruna utiliza una vulnerabilidad en el kernel de iOS para ejecutar código malicioso en los dispositivos afectados. La vulnerabilidad se aprovecha para subvertir la seguridad del kernel y permitir que el atacante ejecute código arbitrario en el dispositivo. El código malicioso puede instalar malware en el dispositivo, robar información personal y exponer al usuario a otras formas de ciberamenazas.

👁️ Qué vigilar

  • CVE-2023-32434 y CVE-2023-38606: las vulnerabilidades afectadas deben ser parcheadas lo antes posible.
  • Actualizaciones de iOS: asegúrese de que su dispositivo esté actualizado con las últimas versiones de iOS.
  • Antivirus y software de seguridad: asegúrese de que su dispositivo esté protegido con un antivirus y software de seguridad actualizados.

🔗 Fuentes consultadas (2):

Top comments (0)