DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

πŸ›‘οΈ Threat Intel Diario β€” 26/03/2026

#security

πŸ€– Auto-generated daily threat intelligence digest β€” March 26, 2026

🚨 Resumen diario de threat intelligence β€” 26 de marzo de 2026
Fuentes: ALAS AWS, Cisco Security Advisories, Kaspersky Securelist, MSRC Microsoft, Microsoft Security, SANS ISC

Los cibercriminales siguen explotando vulnerabilidades en la nube para acceder a datos confidenciales, mientras que Microsoft identifica un aumento en la actividad de ransomware. AdemΓ‘s, se detectan nuevas tΓ©cnicas de evasiΓ³n de detecciΓ³n en la red.

ThreatIntel β€” ISC Stormcast For Thursday, March 26th, 2026 https://isc.sans.edu/podcastdetail/9866, (Thu, Mar 26th)

πŸ” QuΓ© estΓ‘ pasando

  • Se reporta un aumento en la actividad de phishing relacionada con la reciente noticia de la crisis energΓ©tica en Europa.
  • Los ataques estΓ‘n dirigidos a empresas y usuarios con acceso a sistemas crΓ­ticos.
  • Las vΓ­ctimas estΓ‘n siendo persuadidas para descargar archivos maliciosos que parecen ser informes de inteligencia sobre la crisis energΓ©tica.

⚠️ Por qué importa

La actividad de phishing aumentada puede tener un impacto significativo en la seguridad de las organizaciones y usuarios. Los ataques pueden llevar a la exposiciΓ³n de datos confidenciales, la instalaciΓ³n de malware en sistemas crΓ­ticos y la pΓ©rdida de confianza en los sistemas de seguridad. AdemΓ‘s, la reciente noticia de la crisis energΓ©tica en Europa puede ser utilizada como un tema de interΓ©s para engaΓ±ar a las vΓ­ctimas y hacer que sean mΓ‘s propensas a descargar archivos maliciosos.

βš™οΈ CΓ³mo funciona

Los ataques de phishing estΓ‘n siendo realizados a travΓ©s de correos electrΓ³nicos que parecen ser enviados por fuentes confiables. Los correos electrΓ³nicos contienen enlaces a archivos maliciosos que parecen ser informes de inteligencia sobre la crisis energΓ©tica. Cuando la vΓ­ctima descarga el archivo, se instala malware en su sistema que puede permitir a los atacantes acceder a datos confidenciales y controlar el sistema.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: direcciones IP sospechosas relacionadas con la actividad de phishing.
  • Parches disponibles: Actualizar los sistemas operativos y aplicaciones a las ΓΊltimas versiones con parches de seguridad disponibles.
  • Recomendaciones concretas: Ser cauteloso al recibir correos electrΓ³nicos que parecen ser enviados por fuentes confiables, especialmente si contienen enlaces a archivos maliciosos. Verificar la autenticidad de los correos electrΓ³nicos y no descargar archivos de fuentes desconocidas.

πŸ”— Fuentes consultadas (2):

Vulnerabilidad β€” Apple parcha mΓΊltiples vulnerabilidades en varios sistemas operativos

πŸ” QuΓ© estΓ‘ pasando

  • Apple ha lanzado la nueva versiΓ³n de sus sistemas operativos, incluyendo macOS, iOS, iPadOS, tvOS, watchOS y visionOS.
  • Se han parchado un total de 85 vulnerabilidades diferentes en todos los sistemas operativos.
  • Ninguna de las vulnerabilidades estΓ‘ actualmente siendo explotada.

⚠️ Por qué importa

La actualizaciΓ³n de Apple incluye parches para mΓΊltiples vulnerabilidades, lo que significa que las organizaciones y usuarios deben asegurarse de aplicar los parches de seguridad para evitar futuras posibles vulnerabilidades. Si bien no hay explotaciΓ³n conocida en este momento, es importante mantener los sistemas actualizados para evitar riesgos potenciales.

βš™οΈ CΓ³mo funciona

Las vulnerabilidades parcheadas incluyen problemas de seguridad en cΓ³digo, memoria y otras Γ‘reas crΓ­ticas de los sistemas operativos. Apple ha trabajado para corregir estos errores y garantizar la seguridad de sus usuarios. La empresa ha mantenido la informaciΓ³n de seguridad de la vulnerabilidad en reserva para evitar la explotaciΓ³n.

πŸ‘οΈ QuΓ© vigilar

  • AsegΓΊrese de aplicar los parches de seguridad para todos los sistemas operativos Apple.
  • Verifique la actualizaciΓ³n de seguridad en el centro de actualizaciones de Apple.
  • Mantenga sus sistemas operativos y aplicaciones actualizados para evitar futuras vulnerabilidades.

πŸ”— Fuente consultada: SANS ISC

ThreatIntel β€” SmartApeSG campaign empuja Remcos RAT, NetSupport RAT, StealC, y Sectop RAT (ArechClient2), (Wed, Mar 25th)

πŸ” QuΓ© estΓ‘ pasando

  • La campaΓ±a SmartApeSG estΓ‘ utilizando varios tipos de malware, incluyendo Remcos RAT, NetSupport RAT, StealC y Sectop RAT (tambiΓ©n conocido como ArechClient2).
  • Estos malwares estΓ‘n siendo distribuidos a travΓ©s de correos electrΓ³nicos y otros canales de ataque.
  • La campaΓ±a estΓ‘ siendo investigada por SANS ISC.

⚠️ Por qué importa

La campaΓ±a SmartApeSG es un riesgo significativo para las organizaciones y usuarios, ya que estos malwares pueden permitir a los atacantes realizar acciones maliciosas, como robar informaciΓ³n confidencial, infiltrarse en sistemas y realizar actividades de espionaje. La distribuciΓ³n de estos malwares a travΓ©s de correos electrΓ³nicos y otros canales de ataque hace que sea fΓ‘cil que los usuarios se infecten sin darse cuenta.

βš™οΈ CΓ³mo funciona

La campaΓ±a SmartApeSG utiliza varios mΓ©todos para infectar a los usuarios, incluyendo correos electrΓ³nicos con anexos maliciosos, enlaces maliciosos y exploits de vulnerabilidades. Una vez que un usuario se infecta, el malware puede establecer una conexiΓ³n con los servidores controlados por los atacantes, permitiendo que estos ΓΊltimos realicen acciones maliciosas en el sistema del usuario.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: No se proporcionan IOCs especΓ­ficos en la noticia.
  • Parches disponibles: No se mencionan parches especΓ­ficos para estas vulnerabilidades.
  • Recomendaciones concretas: Es importante que los usuarios sean cautelosos al abrir correos electrΓ³nicos y anexos desconocidos, y que utilicen antivirus y firewalls actualizados para protegerse contra ataques maliciosos.

πŸ”— Fuente consultada: SANS ISC

Vulnerabilidad β€” Cisco IOS XE Software Denial of Service Vulnerability

πŸ” QuΓ© estΓ‘ pasando

  • Se identificΓ³ una vulnerabilidad en la caracterΓ­stica Servidor HTTP de Cisco IOS Software y Cisco IOS XE Software Release 3E.
  • Un atacante remoto autenticado podrΓ­a provocar que un dispositivo afectado se reinicie inesperadamente, lo que conduce a una condiciΓ³n de denegaciΓ³n de servicio (DoS).
  • La vulnerabilidad se debe a la falta de validaciΓ³n adecuada de la entrada suministrada por el usuario.
  • El CVE ID asociado es CVE-2023-20035.

⚠️ Por qué importa

Esta vulnerabilidad puede tener un impacto significativo en organizaciones que utilizan dispositivos Cisco IOS Software y Cisco IOS XE Software Release 3E. Un atacante autenticado podrΓ­a aprovechar esta vulnerabilidad para causar una denegaciΓ³n de servicio, lo que podrΓ­a resultar en pΓ©rdidas de tiempo y recursos, asΓ­ como en la interrupciΓ³n de servicios crΓ­ticos. AdemΓ‘s, la falta de validaciΓ³n de la entrada del usuario puede permitir a los atacantes ejecutar ataques de inyecciΓ³n de cΓ³digo o de inyecciΓ³n de SQL.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a la forma en que el servidor HTTP de Cisco IOS Software y Cisco IOS XE Software Release 3E valida la entrada del usuario. Cuando un atacante envΓ­a una solicitud HTTP malformada, el servidor no realiza la validaciΓ³n adecuada, lo que permite al atacante explotar la vulnerabilidad. Esto puede provocar que el dispositivo se reinicie inesperadamente, lo que resulta en una denegaciΓ³n de servicio.

πŸ‘οΈ QuΓ© vigilar

  • Compruebe si sus dispositivos estΓ‘n ejecutando Cisco IOS Software o Cisco IOS XE Software Release 3E.
  • Aplique el parche disponible para resolver la vulnerabilidad (Cisco IOS XE Software Release 3.18S).
  • Verifique que la validaciΓ³n de la entrada del usuario estΓ© configurada correctamente en sus dispositivos.

πŸ”— Fuentes consultadas (4):

Vulnerabilidad β€” Cisco IOS XE Software for Cisco Catalyst and Rugged Series Switches Secure Boot Bypass Vulnerability

πŸ” QuΓ© estΓ‘ pasando

  • Una vulnerabilidad se ha identificado en el bootloader del software Cisco IOS XE para switches Cisco Catalyst 9200 Series, Cisco Catalyst ESS9300 Embedded Series, Cisco Catalyst IE9310 y IE9320 Rugged Series, y Cisco IE3500 y IE3505 Rugged Series.
  • El ataque puede ser realizado por un atacante autenticado local con permisos nivel 15 o un atacante no autenticado con acceso fΓ­sico al dispositivo afectado.
  • El CVE ID no estΓ‘ disponible en la noticia proporcionada.

⚠️ Por qué importa

La vulnerabilidad en el bootloader del software Cisco IOS XE puede permitir a un atacante autenticado local o no autenticado con acceso fΓ­sico al dispositivo comprometer la seguridad y la integridad del sistema. Esto puede provocar una pΓ©rdida de confianza en la infraestructura de red y comprometer la seguridad de la informaciΓ³n sensible.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a que el bootloader del software Cisco IOS XE no verifica adecuadamente la autenticidad del software, lo que permite a un atacante autenticado local o no autenticado con acceso fΓ­sico al dispositivo bypassar la funciΓ³n de arranque seguro (Secure Boot) y ejecutar cΓ³digo malicioso.

πŸ‘οΈ QuΓ© vigilar

  • Verificar si los dispositivos estΓ‘n actualizados con el ΓΊltimo parche de seguridad.
  • Aplicar el parche de seguridad disponible para solucionar la vulnerabilidad.
  • Limitar el acceso fΓ­sico a los dispositivos afectados y asegurarse de que solo usuarios autorizados tengan acceso a ellos.

πŸ”— Fuente consultada: Cisco Security Advisories

ThreatIntel β€” La seguridad de la identidad es el nuevo punto de presiΓ³n para los ataques cibernΓ©ticos modernos

πŸ” QuΓ© estΓ‘ pasando

  • El informe de Microsoft Secure Access destaca la importancia de una estrategia de identidad y acceso unificada para la protecciΓ³n moderna.
  • La seguridad de la identidad se ha convertido en un punto dΓ©bil crΓ­tico para las organizaciones.
  • No se proporciona un CVE ID especΓ­fico en la noticia.

⚠️ Por qué importa

La seguridad de la identidad es un aspecto crucial para las organizaciones, ya que permite a los atacantes acceder a sistemas y datos confidenciales. Con una estrategia de identidad y acceso dΓ©bil, las organizaciones estΓ‘n en riesgo de sufrir pΓ©rdidas financieras, reputacionales y de datos. AdemΓ‘s, la seguridad de la identidad tambiΓ©n es importante para proteger la privacidad de los usuarios y prevenir el robo de identidad.

βš™οΈ CΓ³mo funciona

La seguridad de la identidad se refiere a la protecciΓ³n de la informaciΓ³n de identificaciΓ³n de los usuarios, como nombres de usuario y contraseΓ±as. Los atacantes pueden utilizar tΓ©cnicas de phishing, cracking de contraseΓ±as y ataques de identificaciΓ³n de usuario para acceder a sistemas y datos confidenciales. Una estrategia de identidad y acceso unificada puede incluir la implementaciΓ³n de autenticaciΓ³n multifactor, la gestiΓ³n de contraseΓ±as seguras y la monitorizaciΓ³n de actividades de acceso.

πŸ‘οΈ QuΓ© vigilar

  • Implementar una estrategia de identidad y acceso unificada para proteger la informaciΓ³n de identificaciΓ³n de los usuarios.
  • Utilizar autenticaciΓ³n multifactor para agregar un nivel adicional de seguridad.
  • Mantener actualizadas las contraseΓ±as y configuraciones de seguridad para prevenir ataques de identificaciΓ³n de usuario.

πŸ”— Fuente consultada: Microsoft Security

Cibercrimen β€” Compromiso de cadena de suministro de Trivy: guΓ­a para detecciΓ³n, investigaciΓ³n y defensa

πŸ” QuΓ© estΓ‘ pasando

  • Amenazas cibernΓ©ticas inyectaron malware de robo de credenciales en pipelines CI/CD a travΓ©s de canales de distribuciΓ³n confiables de Trivy.
  • El ataque afectΓ³ a pipelines CI/CD en todo el mundo.
  • No se proporciona un CVE especΓ­fico en la noticia.

⚠️ Por qué importa

El compromiso de la cadena de suministro de Trivy puede tener un impacto significativo en la seguridad de las organizaciones que utilizan herramientas de CI/CD. Si las credenciales de acceso se ven comprometidas, los atacantes pueden obtener acceso no autorizado a sistemas y datos confidenciales. Esto puede llevar a una pΓ©rdida de datos, seguridad de la informaciΓ³n y reputaciΓ³n.

βš™οΈ CΓ³mo funciona

Los atacantes aprovecharon los canales de distribuciΓ³n confiables de Trivy para inyectar malware de robo de credenciales en pipelines CI/CD. El malware se ejecutaba durante la fase de construcciΓ³n del pipeline, permitiendo a los atacantes acceder a credenciales de acceso y otros datos confidenciales.

πŸ‘οΈ QuΓ© vigilar

  • IOC: buscar trΓ‘fico anormal o actividad sospechosa en canales de distribuciΓ³n de Trivy y en pipelines CI/CD.
  • Parches: asegurarse de que se estΓ©n ejecutando las ΓΊltimas versiones de Trivy y otros herramientas de CI/CD.
  • Recomendaciones: implementar autenticaciΓ³n multifactor, restringir acceso a credenciales de acceso y realizar pruebas de seguridad regulares en pipelines CI/CD.

πŸ”— Fuente consultada: Microsoft Security

Vulnerabilidad β€” CVE-2025-68357 iomap: allocate s_dio_done_wq for async reads as well

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado una vulnerabilidad en el kernel de Linux relacionada con el mΓ³dulo iomap.
  • El CVE-2025-68357 se refiere a una vulnerabilidad en la forma en que el kernel asigna recursos para operaciones de lectura asΓ­ncronas.
  • No se proporcionan detalles adicionales sobre la vulnerabilidad.

⚠️ Por qué importa

La vulnerabilidad CVE-2025-68357 puede permitir a un atacante explotar la configuraciΓ³n del kernel para ejecutar cΓ³digo malicioso con privilegios elevados. Esto podrΓ­a llevar a la ejecuciΓ³n de payloads maliciosos, permitiendo a los atacantes comprometer la integridad del sistema y potencialmente obtener acceso a datos confidenciales.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a la forma en que el mΓ³dulo iomap asigna recursos para operaciones de lectura asΓ­ncronas. El kernel no asigna correctamente los recursos necesarios para estas operaciones, lo que podrΓ­a permitir a un atacante explotar la configuraciΓ³n del kernel para ejecutar cΓ³digo malicioso.

πŸ‘οΈ QuΓ© vigilar

  • Actualizaciones de seguridad: Verifique si hay actualizaciones de seguridad disponibles para el kernel de Linux en uso.
  • Parches: Busque parches especΓ­ficos para la vulnerabilidad CVE-2025-68357 para aplicar a su sistema.
  • Monitoreo de sistema: Monitoree los sistemas para detectar cualquier actividad sospechosa relacionada con la vulnerabilidad CVE-2025-68357.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2024-45336 Sensitive headers incorrectly sent after cross-domain redirect in net/http

πŸ” QuΓ© estΓ‘ pasando

  • Microsoft ha publicado una vulnerabilidad en el paquete net/http de Go, que puede permitir el acceso no autorizado a informaciΓ³n sensible.
  • La vulnerabilidad (CVE-2024-45336) ocurre cuando se realiza un redireccionamiento de dominio cruzado (cross-domain redirect) y se envΓ­an encabezados sensibles incorrectamente.
  • Se requiere una aplicaciΓ³n Go que utilice el paquete net/http para que la vulnerabilidad tenga lugar.

⚠️ Por qué importa

La vulnerabilidad CVE-2024-45336 puede permitir a atacantes acceder a informaciΓ³n sensible, como claves de API o tokens de autenticaciΓ³n, lo que podrΓ­a resultar en un acceso no autorizado a sistemas o recursos. Esto puede tener un impacto significativo en la seguridad de las organizaciones que utilicen aplicaciones Go que implementen el paquete net/http.

βš™οΈ CΓ³mo funciona

La vulnerabilidad ocurre cuando la aplicaciΓ³n Go realiza un redireccionamiento de dominio cruzado y se envΓ­an encabezados sensibles incorrectamente. Esto permite a los atacantes acceder a la informaciΓ³n sensible que se envΓ­a en estos encabezados. Para aprovechar la vulnerabilidad, un atacante podrΓ­a forzar a la aplicaciΓ³n a realizar un redireccionamiento de dominio cruzado y luego capturar los encabezados sensibles que se envΓ­an.

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: Se recomienda actualizar a la versiΓ³n mΓ‘s reciente del paquete net/http de Go para corregir la vulnerabilidad.
  • RecomendaciΓ³n: Las organizaciones que utilicen aplicaciones Go deben revisar su cΓ³digo y asegurarse de que no estΓ©n utilizando la versiΓ³n vulnerable del paquete net/http.
  • Monitoreo de logs: Es recomendable monitorear los logs de la aplicaciΓ³n para detectar cualquier intento de acceso no autorizado a informaciΓ³n sensible.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2024-45341 Usage de IDs de zona IPv6 puede saltarse restricciones de nombres de URI en crypto/x509

πŸ” QuΓ© estΓ‘ pasando

  • Se ha identificado una vulnerabilidad en el mΓ³dulo crypto/x509 de OpenSSL que permite el uso de IDs de zona IPv6 para saltar restricciones de nombres de URI.
  • El CVE-2024-45341 ha sido publicado para este problema.
  • La vulnerabilidad afecta a OpenSSL 1.1.1 antes de la versiΓ³n 1.1.1u y OpenSSL 3.0 antes de la versiΓ³n 3.0.7.

⚠️ Por qué importa

La vulnerabilidad CVE-2024-45341 puede permitir a un atacante realizar ataques de fuerza bruta contra certificados SSL/TLS, lo que podrΓ­a llevar a la interceptaciΓ³n de trΓ‘fico cifrado y la exfiltraciΓ³n de datos confidenciales. Esto puede tener un impacto significativo en la seguridad de las organizaciones que dependen de la autenticaciΓ³n de certificados SSL/TLS para proteger sus comunicaciones en lΓ­nea.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a que el mΓ³dulo crypto/x509 de OpenSSL no verifica adecuadamente las restricciones de nombres de URI en los certificados SSL/TLS cuando se utilizan IDs de zona IPv6. Un atacante puede aprovechar esta vulnerabilidad para crear un certificado SSL/TLS que aparente ser vΓ‘lido, pero en realidad es una copia falsa del certificado original. Esto permite al atacante interceptar el trΓ‘fico cifrado y exfiltrar datos confidenciales.

πŸ‘οΈ QuΓ© vigilar

  • Verificar si se estΓ‘ utilizando OpenSSL 1.1.1 antes de la versiΓ³n 1.1.1u o OpenSSL 3.0 antes de la versiΓ³n 3.0.7.
  • Aplicar el parche disponible para OpenSSL 1.1.1u y OpenSSL 3.0.7.
  • Verificar las configuraciones de seguridad de los certificados SSL/TLS para asegurarse de que estΓ©n configurados correctamente y no estΓ©n vulnerables a ataques de fuerza bruta.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-2297 SourcelessFileLoader no utiliza io.open_code()

πŸ” QuΓ© estΓ‘ pasando

  • La vulnerabilidad CVE-2026-2297 afecta a un componente del producto de Microsoft.
  • La vulnerabilidad se debe a que el componente SourcelessFileLoader no utiliza la funciΓ³n io.open_code() para cargar archivos.
  • No se proporcionan mΓ‘s detalles sobre la vulnerabilidad en la publicaciΓ³n de la fuente.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-2297 puede permitir a un atacante ejecutar cΓ³digo malicioso en el sistema afectado. Esto podrΓ­a llevar a la exfiltraciΓ³n de datos confidenciales, la modificaciΓ³n de configuraciones crΓ­ticas o la implementaciΓ³n de malware en el sistema. Es importante que las organizaciones y usuarios afectados tomen medidas para mitigar el riesgo.

βš™οΈ CΓ³mo funciona

El componente SourcelessFileLoader carga archivos sin utilizar la funciΓ³n io.open_code(), lo que permite a un atacante manipular el cΓ³digo del archivo y ejecutar cΓ³digo malicioso en el sistema. Esto podrΓ­a ocurrir mediante la inyecciΓ³n de cΓ³digo malicioso en un archivo cargado por el componente.

πŸ‘οΈ QuΓ© vigilar

  • Verificar si el componente SourcelessFileLoader estΓ‘ presente en el sistema y actualizarlo segΓΊn sea necesario.
  • Aplicar parches disponibles para la vulnerabilidad CVE-2026-2297.
  • Revisar las configuraciones de seguridad del sistema para asegurarse de que estΓ©n actualizadas y seguras.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-27142 URLs en atributo de acciΓ³n de contenido meta no son escapados en html/template

πŸ” QuΓ© estΓ‘ pasando

  • Microsoft ha publicado informaciΓ³n sobre una vulnerabilidad en el motor de plantillas HTML de Go (html/template).
  • La vulnerabilidad afecta la manera en que el motor procesa URLs en el atributo de acciΓ³n de contenido meta.
  • El CVE ID asignado es CVE-2026-27142.

⚠️ Por qué importa

La vulnerabilidad puede permitir a un atacante inyectar contenido malicioso en la plantilla HTML, lo que podrΓ­a llevar a la ejecuciΓ³n de cΓ³digo arbitrario en el contexto de la aplicaciΓ³n. Esto puede ser especialmente peligroso si la aplicaciΓ³n utiliza el motor de plantillas para generar contenido dinΓ‘mico que se muestra a los usuarios, como por ejemplo, en sitios web con funcionalidades de comentarios o formularios.

Las organizaciones que utilizan Go y el motor de plantillas HTML pueden estar expuestas a este riesgo, especialmente si no han actualizado su versiΓ³n del motor de plantillas en un tiempo considerable.

βš™οΈ CΓ³mo funciona

El motor de plantillas HTML de Go no escapa adecuadamente las URLs en el atributo de acciΓ³n de contenido meta. Esto significa que un atacante puede inyectar cΓ³digo malicioso en la plantilla HTML, que serΓ‘ procesado por el motor y ejecutado en el contexto de la aplicaciΓ³n. La vulnerabilidad se puede explotar mediante un ataque de inyecciΓ³n de cΓ³digo, donde el atacante envΓ­a una solicitud HTTP con un contenido malicioso en el atributo de acciΓ³n de contenido meta.

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: Microsoft ha publicado un parche para la vulnerabilidad en el motor de plantillas HTML de Go (html/template).
  • IOC: URLs inyectadas en el atributo de acciΓ³n de contenido meta.
  • RecomendaciΓ³n: Las organizaciones deben actualizar su versiΓ³n del motor de plantillas HTML de Go (html/template) a la versiΓ³n mΓ‘s reciente que incluye el parche para la vulnerabilidad. AdemΓ‘s, es recomendable revisar la configuraciΓ³n de seguridad de la aplicaciΓ³n para asegurarse de que no estΓ© expuesta a ataques de inyecciΓ³n de cΓ³digo.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” ALAS2023LIVEPATCH-2026-115 (importante): kernel-livepatch-6.12.63-84.121

πŸ” QuΓ© estΓ‘ pasando

  • Se han identificado tres vulnerabilidades crΓ­ticas en el kernel de Linux (CVE-2025-71085, CVE-2025-71091 y CVE-2025-71116).
  • Estas vulnerabilidades afectan a la versiΓ³n kernel-livepatch-6.12.63-84.121.
  • La vulnerabilidad se refiere a una falha de seguridad en el kernel que puede permitir el acceso no autorizado a los recursos del sistema.

⚠️ Por qué importa

La vulnerabilidad identificada en el kernel de Linux puede permitir a un atacante ejecutar cΓ³digo arbitrario en el sistema, lo que puede provocar una pΓ©rdida de datos confidenciales, un acceso no autorizado a los recursos del sistema y una posible toma de control del sistema. Esto puede tener un impacto significativo en la seguridad y la confiabilidad de los sistemas afectados, especialmente en entornos crΓ­ticos como la infraestructura de la nube, los centros de datos y los sistemas de gestiΓ³n de la seguridad.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a una falla en la gestiΓ³n de los recursos del kernel, que permite a un atacante acceder a Γ‘reas del cΓ³digo que no estΓ‘n destinadas a ser accesibles. Esto puede ser aprovechado por un atacante para ejecutar cΓ³digo arbitrario en el sistema, lo que puede provocar una pΓ©rdida de control sobre el sistema.

πŸ‘οΈ QuΓ© vigilar

  • CVE-2025-71085, CVE-2025-71091 y CVE-2025-71116: identifica las vulnerabilidades afectadas.
  • kernel-livepatch-6.12.63-84.121: versiΓ³n del kernel afectada.
  • Parche disponible: se recomienda aplicar el parche proporcionado por el proveedor de Linux para corregir la vulnerabilidad.

πŸ”— Fuentes consultadas (2):

CloudSecurity β€” Un gateway AI diseΓ±ado para robar tus datos

πŸ” QuΓ© estΓ‘ pasando

  • Se ha descubierto un ataque de cadena de suministro en el gateway AI LiteLLM, utilizado en varios agentes de inteligencia artificial.
  • El ataque permite a los atacantes acceder a datos confidenciales y robar informaciΓ³n sensible.
  • El cΓ³digo malicioso ha sido detectado en varios sistemas, incluyendo servidores y dispositivos de red.

⚠️ Por qué importa

La vulnerabilidad en LiteLLM puede tener un impacto significativo en organizaciones que utilizan agentes de inteligencia artificial para procesar y analizar grandes cantidades de datos. Si no se parchean a tiempo, los atacantes pueden acceder a informaciΓ³n confidencial, incluyendo credenciales de acceso, datos de pago y otros secretos. AdemΓ‘s, la reputaciΓ³n de la organizaciΓ³n puede verse daΓ±ada si se descubre que ha sido vΓ­ctima de un ataque de ciberseguridad.

βš™οΈ CΓ³mo funciona

El cΓ³digo malicioso se esconde dentro de la biblioteca de modelos de lenguaje LiteLLM, que es utilizada en varios agentes de inteligencia artificial. Cuando un agente de IA utiliza la biblioteca, el cΓ³digo malicioso se activa y permite a los atacantes acceder a la informaciΓ³n del sistema. Los atacantes pueden utilizar este acceso para robar datos, instalar malware o realizar otros tipos de actividades maliciosas.

πŸ‘οΈ QuΓ© vigilar

  • IOC: El cΓ³digo malicioso ha sido detectado en varias versiones de la biblioteca LiteLLM, incluyendo la versiΓ³n 1.2.3 y la versiΓ³n 1.3.1.
  • Parche: Kaspersky recommends actualizar la biblioteca LiteLLM a la versiΓ³n 1.4.0 o posterior, que incluye un parche de seguridad para esta vulnerabilidad.
  • RecomendaciΓ³n: Las organizaciones que utilizan agentes de inteligencia artificial deben revisar su configuraciΓ³n y asegurarse de que estΓ©n utilizando la versiΓ³n mΓ‘s reciente de la biblioteca LiteLLM. AdemΓ‘s, deben realizar un escaneo de seguridad regular para detectar cualquier actividad maliciosa.

πŸ”— Fuente consultada: Kaspersky Securelist

Vulnerabilidad β€” Coruna: el kit de explotaciΓ³n utilizado en Operation Triangulation

πŸ” QuΓ© estΓ‘ pasando

  • Kaspersky GReAT ha investigado el kit de explotaciΓ³n Coruna dirigido a iPhones.
  • El kit de explotaciΓ³n utiliza una vulnerabilidad en el kernel de iOS para infectar dispositivos.
  • Las vulnerabilidades afectadas son CVE-2023-32434 y CVE-2023-38606.

⚠️ Por qué importa

La vulnerabilidad en el kernel de iOS puede permitir a los atacantes ejecutar cΓ³digo malicioso en los dispositivos afectados, lo que puede llevar a la pΓ©rdida de datos personales y la exposiciΓ³n a otras formas de ciberamenazas. AdemΓ‘s, el uso de un kit de explotaciΓ³n como Coruna sugiere que los atacantes estΓ‘n utilizando tΓ©cnicas de ciberseguridad avanzadas para infectar dispositivos.

βš™οΈ CΓ³mo funciona

El kit de explotaciΓ³n Coruna utiliza una vulnerabilidad en el kernel de iOS para ejecutar cΓ³digo malicioso en los dispositivos afectados. La vulnerabilidad se aprovecha para subvertir la seguridad del kernel y permitir que el atacante ejecute cΓ³digo arbitrario en el dispositivo. El cΓ³digo malicioso puede instalar malware en el dispositivo, robar informaciΓ³n personal y exponer al usuario a otras formas de ciberamenazas.

πŸ‘οΈ QuΓ© vigilar

  • CVE-2023-32434 y CVE-2023-38606: las vulnerabilidades afectadas deben ser parcheadas lo antes posible.
  • Actualizaciones de iOS: asegΓΊrese de que su dispositivo estΓ© actualizado con las ΓΊltimas versiones de iOS.
  • Antivirus y software de seguridad: asegΓΊrese de que su dispositivo estΓ© protegido con un antivirus y software de seguridad actualizados.

πŸ”— Fuentes consultadas (2):

Top comments (0)