Boletín ThreatDay: OpenSSL RCE, Foxit 0-days, C...

Google anunciado la primera versión beta de Androide 17 , con dos mejoras de privacidad y seguridad: la obsolescencia del atributo de tráfico de texto claro y la compatibilidad con la criptografía híbrida HPKE para permitir una comunicación segura mediante una combinación de clave pública y cifrado simétrico (AEAD). «Si tu aplicación está orientada a (Android 17) o una versión posterior y depende de Usa tráfico de texto sin formato ='true' sin una configuración de seguridad de red correspondiente, de forma predeterminada no se permitirá el tráfico de texto sin cifrar», afirma Google. «Le recomendamos que migre a Archivos de configuración de seguridad de red para un control granular».

Un nuevo análisis del ransomware LockBit 5.0 ha revelado que la versión para Windows incluye varias técnicas defensivas de evasión y antianálisis, como el empaquetado, el desenganche de archivos DLL, el vaciado de procesos, la aplicación de parches a las funciones de rastreo de eventos para Windows (ETW) y la limpieza de registros. «Lo más destacable de la compatibilidad con varios sistemas es su capacidad proclamada para 'funcionar en todas las versiones de Proxmox'», explica Acronis dijo . «Proxmox es una plataforma de virtualización de código abierto y las empresas la están adoptando como alternativa a los hipervisores comerciales, lo que la convierte en otro objetivo principal de los ataques de ransomware». La última versión también presenta versiones específicas diseñadas para entornos empresariales, lo que pone de relieve la continua evolución de las operaciones de ransomware como servicio (RaaS).

Los investigadores de ciberseguridad han detallado una nueva evolución del Haga clic en Fijar táctica de ingeniería social dirigida a usuarios de macOS. «Esta variante, denominada Matryoshka por sus capas de ofuscación anidadas, utiliza un flujo de instalación y corrección falso para engañar a las víctimas y hacerles ejecutar un comando de terminal malintencionado», dijo Intego dijo . «Si bien la táctica de ClickFix no es nueva, esta campaña introduce técnicas de evasión más sólidas, como un contenedor comprimido en memoria y comunicaciones de red mediante API, diseñadas para dificultar el análisis estático y los entornos aislados automatizados». La campaña se dirige principalmente a los usuarios que intentan visitar sitios de reseñas de software, y aprovecha la posibilidad de escribir mal el nombre de la URL para redirigirlos a sitios falsos y activar la cadena de infección.

Otro nuevo Haga clic en Fijar Se observó que una campaña detectada en febrero de 2026 entregaba un cargador de malware como servicio (MaaS) conocido como Matanbuchus 3.0 . Huntress, que diseccionado la cadena de ataque, dijo que el objetivo final de la intrusión era implementar ransomware o filtrar datos basándose en el hecho de que el actor de la amenaza pasó rápidamente del acceso inicial al movimiento lateral a los controladores de dominio a través de PsExec, la creación de cuentas no autorizadas y la puesta en escena de exclusión de Microsoft Defender. El ataque también llevó al despliegue de un implante personalizado denominado AstarIonRAT que admite 24 comandos para facilitar el robo de credenciales, el proxy SOCKS5, el escaneo de puertos, la carga de código reflectante y la ejecución del shell. Según datos de la empresa de ciberseguridad, ClickFix impulsó el 53% de toda la actividad de carga de malware en 2025.

En otra campaña de ClickFix, los actores de amenazas confían en el «truco fiable» para alojar instrucciones maliciosas en sitios web falsos disfrazados de Homebrew («homabrews [.] org») para engañar a los usuarios para que las peguen en la aplicación Terminal con el pretexto de instalar el administrador de paquetes de macOS. En la cadena de ataques documentada por Hunt.io, los comandos del dominio Homebrew, con errores tipográficos, se utilizan para ofrecer un cargador de recopilación de credenciales y un ladrón de información de macOS de segunda etapa denominado Cuckoo Stealer. «El instalador inyectado reprodujo en bucle las solicitudes de contraseña usando ' dscl. -authonly ', garantizando que el atacante obtuviera credenciales válidas antes de implementar la segunda etapa», Hunt.io dijo . «Cuckoo Stealer es un robador de información y RAT de macOS con todas las funciones: establece la persistencia de LaunchAgent, elimina los atributos de cuarentena y mantiene las comunicaciones cifradas de comando y control HTTPS. Recopila las credenciales del navegador, los tokens de sesión, los datos del llavero de macOS, las notas de Apple, las sesiones de mensajería, las configuraciones de VPN y FTP y más de 20 aplicaciones para monederos de criptomonedas». El uso de «dscl». -authonly» ha sido observado anteriormente en ataques que despliegan Atomic Stealer.

Las autoridades de la Oficina Central de Lucha contra la Ciberdelincuencia (CBZC) de Polonia detuvieron a un hombre de 47 años por presuntos vínculos con el grupo de ransomware Phobos. Se enfrenta a una posible pena de prisión de hasta cinco años. La CBZC dijo «El joven de 47 años utilizó mensajes cifrados para contactar con el grupo delictivo Phobos, conocido por realizar ataques de ransomware», y añadió que los dispositivos del sospechoso contenían nombres de usuario, contraseñas, números de tarjetas de crédito y direcciones IP de servidores que podrían haberse utilizado para lanzar «varios ataques, incluido el ransomware». La detención forma parte de la acción de Europol Operación Aether , cuyo objetivo es el grupo de ransomware 8Base, que se cree que está vinculado a Phobos. Ha pasado casi exactamente un año desde que las fuerzas del orden internacional desmantelaron a la tripulación de 8Base. Más de 1000 organizaciones de todo el mundo han sido objeto de los ataques de ransomware de Phobos, y se cree que los ciberdelincuentes han obtenido más de 16 millones de dólares en pagos de rescate.

Ha habido un fuerte aumento en el número de grupos de ransomware dirigidos a organizaciones industriales, ya que los ciberdelincuentes siguen explotando las vulnerabilidades de la tecnología operativa (OT) y los sistemas de control industrial (ICS), Dragos prevenido . Durante 2025, se rastreó a un total de 119 grupos de ransomware dirigidos a organizaciones industriales, lo que representa un aumento del 49% con respecto a los 80 rastreados en 2024. En 2025, el ransomware afectó a 3.300 organizaciones industriales de todo el mundo, en comparación con las 1693 de 2024. El sector más atacado fue la fabricación, seguido del transporte. Además, se ha observado a un grupo de piratas informáticos rastreado con el nombre de Pyroxene realizando «ataques basados en la cadena de suministro dirigidos a los sectores de la defensa, las infraestructuras críticas y la industria, con operaciones que se expanden desde Oriente Medio a Norteamérica y Europa occidental». Con frecuencia aprovecha el acceso inicial proporcionado por PARISITE para permitir el paso de la TI a las redes de TO. El piroxeno se superpone con la actividad atribuida a Gatito imperial (también conocido como APT35), un actor de amenazas afiliado al brazo cibernético del Cuerpo de la Guardia Revolucionaria Islámica (IRGC).

Microsoft confirmada un error ( CW1226324 ) que permiten a Microsoft 365 Copilot resumir los correos electrónicos confidenciales de las carpetas Elementos enviados y borradores desde el 21 de enero de 2026, sin el permiso de los usuarios, sin el permiso de los usuarios, sin pasar por las políticas de prevención de pérdida de datos (DLP) establecidas para proteger los datos confidenciales. La empresa implementó una solución el 3 de febrero de 2026. Sin embargo, la empresa no reveló cuántos usuarios u organizaciones se vieron afectados. «El chat de Microsoft 365 Copilot procesa incorrectamente los mensajes de correo electrónico de los usuarios con una etiqueta confidencial», afirma Microsoft. «El chat de la «pestaña de trabajo» de Microsoft 365 Copilot resume los mensajes de correo electrónico, aunque tengan una etiqueta de confidencialidad aplicada y haya configurado una política de DLP. Un problema de código es permitir que Copilot recoja los elementos de las carpetas de borradores y elementos enviados, aunque haya colocado etiquetas confidenciales».

Los actores de amenazas están abusando de la confianza y la reputación asociadas a Atlassian Jira Cloud y su sistema de correo electrónico conectado para ejecutar campañas de spam automatizadas y eludir la seguridad tradicional del correo electrónico. Para ello, los operadores crearon cuentas de prueba de Atlassian Cloud utilizando convenciones de nomenclatura aleatorias, lo que les permitió generar instancias de Jira Cloud desechables a gran escala. «Los correos electrónicos se diseñaron para dirigirse a grupos lingüísticos específicos, y se dirigieron a hablantes de inglés, francés, alemán, italiano, portugués y ruso, incluidos profesionales rusos altamente cualificados que viven en el extranjero», dijo Trend Micro dijo . «Estas campañas no solo distribuyeron spam genérico, sino que también se dirigieron específicamente a sectores como entidades gubernamentales y corporativas». Los ataques, activos desde finales de diciembre de 2025 hasta finales de enero de 2026, se dirigieron principalmente a organizaciones que utilizaban Atlassian Jira. El objetivo era conseguir que los destinatarios abrieran los correos electrónicos y pincharan en enlaces maliciosos, lo que iniciaría una cadena de redireccionamiento impulsada por el sistema de distribución del tráfico (TDS) de Keitaro y, finalmente, los llevaría a páginas en las que se vendían estafas relacionadas con inversiones y sitios web de casinos online, lo que hacía pensar que el principal objetivo era conseguir beneficios económicos.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA), el 18 de febrero de 2026, adicional CVE-2021-22175 a sus vulnerabilidades explotadas conocidas ( KEV ), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen el parche antes del 11 de marzo de 2026. «GitLab presenta una vulnerabilidad de falsificación de solicitudes en el servidor (SSRF) cuando se habilitan las solicitudes de webhooks a la red interna», afirma CISA. En marzo de 2025, GreyNoise revelada que un grupo de aproximadamente 400 direcciones IP estaba explotando activamente múltiples vulnerabilidades de la SSRF, incluida la CVE-2021-22175, para atacar instancias vulnerables en EE. UU., Alemania, Singapur, India, Lituania y Japón.

Un escurridizo actor de amenazas con motivaciones financieras llamado GS7 ha estado atacando a las empresas de la lista Fortune 500 en una nueva campaña de suplantación de identidad que aprovecha la marca empresarial confiable con sitios web similares destinados a recopilar credenciales a través de bots de Telegram. La campaña, cuyo nombre en código es Operación Doppelbrand , se dirige a las principales instituciones financieras, como Wells Fargo, USAA, Navy Federal Credit Union, Fidelity Investments y Citibank, así como a empresas de tecnología, atención médica y telecomunicaciones de todo el mundo. Se engaña a las víctimas mediante correos electrónicos de suplantación de identidad y se las redirige a páginas falsificadas donde se recopilan las credenciales y se transmiten a los bots de Telegram controlados por el atacante. Sin embargo, según SocRadar, el propio grupo tiene una historia que se remonta a 2022. Se dice que el actor de amenazas ha registrado más de 150 dominios maliciosos en los últimos meses utilizando registradores como NameCheap y OwnRegistrar, y ha dirigido el tráfico a través de Cloudflare para evitar ser detectado. Los objetivos finales de GS7 incluyen no solo recopilar las credenciales, sino también descargar herramientas de gestión y supervisión remotas (RMM), como LogMeIn Resolve, en los sistemas de las víctimas para permitir el acceso remoto o el despliegue de malware. Esto ha aumentado la posibilidad de que el grupo actúe incluso como intermediario de acceso inicial (IAB) y venda el acceso a grupos de ransomware u otras filiales.

Los correos electrónicos de suplantación de identidad disfrazados de facturas, ofertas de trabajo o avisos gubernamentales se utilizan para distribuir una nueva variante de Remcos RAT a fin de facilitar la vigilancia y el control exhaustivos de los sistemas infectados. «Se ha observado que la última variante de Remcos presenta un cambio de comportamiento significativo en comparación con las versiones anteriores», señala Wild dijo . «En lugar de robar y almacenar datos localmente en el sistema infectado, esta variante establece una comunicación directa de comando y control (C2) en línea, lo que permite el acceso y el control en tiempo real. En particular, aprovecha la cámara web para capturar transmisiones de vídeo en directo, lo que permite a los atacantes monitorear los objetivos de forma remota. Este paso de la exfiltración local de datos a la vigilancia en línea en tiempo real representa una evolución en las capacidades de Remcos, ya que aumenta el riesgo de espionaje inmediato y de una vigilancia persistente».

El Ministerio de Defensa de Polonia ha prohibido que los automóviles chinos y otros vehículos motorizados equipados con tecnología para registrar la posición, las imágenes o el sonido entren en instalaciones militares protegidas por motivos de seguridad nacional y para «limitar el riesgo de acceso a datos confidenciales». La prohibición también se extiende a conectar los teléfonos del trabajo a los sistemas de información y entretenimiento de los vehículos de motor fabricados en China. La prohibición no es permanente: el Ministerio de Defensa ha pedido que se desarrolle un proceso de investigación que permita a los fabricantes de automóviles someterse a una evaluación de seguridad que, si se aprueba, permita a sus vehículos entrar en instalaciones protegidas. «Los vehículos modernos equipados con sensores y sistemas de comunicación avanzados pueden recopilar y transmitir datos, por lo que su presencia en zonas protegidas requiere normas de seguridad adecuadas», dijo el ejército polaco dijo . Las medidas introducidas son preventivas y cumplen con las prácticas de los países de la OTAN y otros aliados para garantizar los más altos estándares de protección de la infraestructura de defensa. Forman parte de un proceso más amplio de adaptación de los procedimientos de seguridad al cambiante entorno tecnológico y a los requisitos actuales para la protección de la infraestructura crítica».

Los delincuentes abusan de las facturas legítimas y las notificaciones de disputas de proveedores confiables, como PayPal, Apple, DocuSign y Dropbox Sign (anteriormente HelloSign), para eludir los controles de seguridad del correo electrónico. «Estas plataformas suelen permitir a los usuarios introducir un 'nombre de vendedor' o añadir una nota personalizada al crear una factura o notificación», explica INKY, propiedad de Casey dijo . «Los atacantes abusan de esta funcionalidad al insertar instrucciones fraudulentas y un número de teléfono en esos campos controlados por el usuario. A continuación, envían la factura o el aviso de disputa resultante a una dirección de correo electrónico que controlan, asegurándose de que el contenido malintencionado esté integrado en un mensaje legítimo generado por el proveedor». Como estos correos electrónicos provienen de una empresa legítima, eluden controles como la autenticación, la notificación y la conformidad de los mensajes basados en el dominio (DMARC). Tan pronto como recibe el correo electrónico legítimo, el atacante procede a reenviarlo a los destinatarios previstos, lo que permite que el mensaje «auténtico» llegue a las bandejas de entrada de las víctimas. Este ataque se conoce como ataque de repetición de DKIM.

Un nuevo informe de Huntress revela que el abuso del software de monitoreo y administración remotos (RMM) aumentó un 277% año tras año, lo que representa el 24% de todos los incidentes observados. Los actores de amenazas han empezado a preferir cada vez más estas herramientas porque son omnipresentes en los entornos empresariales, y la naturaleza confiable del software RMM permite que la actividad maliciosa se mezcle con el uso legítimo, lo que dificulta la detección por parte de los defensores. También ofrecen un mayor nivel de sigilo, persistencia y eficiencia operativa. «A medida que los ciberdelincuentes construían estrategias completas en torno a estas herramientas legítimas y confiables para eliminar el malware, robar credenciales y ejecutar comandos, el uso de las herramientas de hackeo tradicionales se desplomó un 53%, mientras que los troyanos de acceso remoto y los scripts maliciosos disminuyeron un 20% y un 11,7%, respectivamente», afirma la empresa dijo .

El fiscal general de Texas, Ken Paxton, ha demandó TP-Link por «comercializar engañosamente sus dispositivos de red y permitir que el Partido Comunista Chino ('PCCh') acceda a los dispositivos de los consumidores estadounidenses en sus hogares». La demanda de Paxton alega que los productos de TP Link han sido utilizado por grupos de hackers chinos lanzar ciberataques contra EE. UU. y que la empresa está sujeta a las leyes de datos chinas, que, según afirma, exigen que las empresas que operan en el país apoyen sus servicios de inteligencia «divulgando los datos de los estadounidenses». En una segunda demanda, Paxton también acusado Anzu Robotics engaña a los consumidores de Texas sobre el «origen, las prácticas de datos y los riesgos de seguridad de sus drones». La oficina de Paxton describió los productos de la empresa como «un caballo de Troya del siglo XXI vinculado al PCCh».

La campaña vinculada a Corea del Norte conocida como Entrevista contagiosa está diseñado para que los profesionales de TI que trabajan en los sectores de criptomonedas, Web3 e inteligencia artificial roben datos confidenciales e información financiera mediante malware como BeaverTail e InvisibleFerret. Sin embargo, las últimas versiones de la campaña han ampliado sus capacidades de robo de datos al manipular la extensión de monedero MetaMask (si está instalada) a través de una puerta trasera ligera de JavaScript que comparte las mismas funciones que InvisibleFerret, según el investigador de seguridad Seongsu Park. «A través de la puerta trasera, los atacantes ordenan al sistema infectado que descargue e instale una versión falsa de la popular extensión de monedero de criptomonedas MetaMask, con un archivo de configuración generado dinámicamente que hace que parezca legítima», dijo Park dijo . «Una vez instalada, la extensión MetaMask comprometida captura silenciosamente la contraseña de desbloqueo del monedero de la víctima y la transmite al servidor de comando y control de los atacantes, lo que les da acceso completo a los fondos en criptomonedas».

Bridewell ha advertido del resurgimiento de la actividad maliciosa dirigida al sector hotelero y minorista. «La principal motivación de este incidente es el fraude financiero, dirigido a dos víctimas: empresas hoteleras y clientes de hoteles, en orden secuencial», explica el investigador de seguridad Joshua Penny dijo . «Los actores de la amenaza se hacen pasar por la plataforma de Booking.com a través de dos kits de suplantación de identidad distintos dedicados a recopilar las credenciales y la información bancaria de cada víctima, respectivamente». Vale la pena señalar que las acciones de actividad se superponen con las de una ola de actividad anterior divulgado de Sekoia en noviembre de 2025, aunque el uso de un kit de suplantación de identidad dedicado es un enfoque nuevo por parte de los mismos operadores o de otros nuevos.

Los delincuentes han aprovechado las fallas de seguridad descubiertas recientemente en Ivanti Endpoint Manager Mobile (EPMM) para establecer un shell inverso, entregar webshells JSP, realizar reconocimientos y descargar malware, que incluye Nezha , mineros de criptomonedas y puertas traseras para acceso remoto. Las dos vulnerabilidades críticas, CVE-2026-1281 y CVE-2026-1340 , permiten a los atacantes no autenticados ejecutar código arbitrario de forma remota en los servidores de destino, lo que les otorga un control total sobre la infraestructura de administración de dispositivos móviles (MDM) sin requerir la interacción del usuario ni las credenciales. Según la unidad 42 de Palo Alto Networks, la campaña ha afectado a los sectores de la administración pública estatal y local, la sanidad, la fabricación, los servicios profesionales y legales y la alta tecnología en EE. UU., Alemania, Australia y Canadá. «Los actores de amenazas están acelerando las operaciones y pasando del reconocimiento inicial al despliegue de puertas traseras inactivas diseñadas para mantener el acceso a largo plazo incluso después de que las organizaciones apliquen los parches», afirma la empresa de ciberseguridad dijo . En un desarrollo relacionado, la Oficina Federal de Seguridad de la Información (BSI) de Alemania ha reportó evidencia de explotación desde el verano de 2025 y ha instado a las organizaciones a auditar sus sistemas para detectar indicadores de compromiso (IOC) ya en julio de 2025.

Una nueva investigación de Irregular ha encontrado que las contraseñas generadas directamente por un modelo de lenguaje amplio (LLM) pueden parecer seguras, pero son fundamentalmente inseguras, ya que «los LLM están diseñados para predecir los tokens, lo contrario de muestrear caracteres aleatorios de forma segura y uniforme». La empresa de seguridad basada en inteligencia artificial (IA) afirmó haber detectado contraseñas generadas por LLM en el mundo real como parte de las tareas de desarrollo de código, en lugar de basarse en los métodos tradicionales de generación de contraseñas seguras. «Las personas y los agentes de codificación no deberían confiar en las LLM para generar contraseñas», afirma la empresa. «Los LLM están optimizados para producir resultados predecibles y plausibles, lo que es incompatible con la generación segura de contraseñas. Se debe indicar a los agentes de codificación de IA que utilicen métodos seguros de generación de contraseñas en lugar de confiar en las contraseñas emitidas por el LLM. Los desarrolladores que utilizan asistentes de codificación basados en la IA deben revisar el código generado para comprobar si las credenciales están codificadas de forma rígida y asegurarse de que los agentes utilizan métodos criptográficamente seguros o gestores de contraseñas establecidos».

Los investigadores de ciberseguridad han descubierto más de una docena de vulnerabilidades ( CVE-2025-70401, CVE-2025-70402 y CVE-2025-66500 ) en las populares plataformas de PDF de Foxit y Apryse, lo que podría permitir a los atacantes aprovecharlas para apoderarse de cuentas, secuestrar sesiones, exfiltrar datos y ejecutar JavaScript de forma arbitraria. «En lugar de errores aislados, los problemas se centran en fallos arquitectónicos recurrentes en la forma en que las plataformas PDF gestionan las entradas no confiables entre capas», afirman Lidor Ben Shitrit, Elad Meged y Avishai Fradlis, investigadores de Novee Security dijo . «Varias vulnerabilidades podían explotarse con una sola solicitud y afectaban a los dominios de confianza que, por lo general, estaban integrados en las aplicaciones empresariales». Tanto Apryse como Foxit han solucionado los problemas mediante actualizaciones de productos.

Se ha descubierto un problema de seguridad «generalizado» en el que los proveedores de seguridad exponen inadvertidamente aplicaciones de formación deliberadamente vulnerables, como OWASP Juice Shop, DVWA, BWApp y Hackazon, a la Internet pública. Esto puede exponer a las organizaciones a graves riesgos de seguridad cuando se ejecutan desde una cuenta en la nube privilegiada. «Estas aplicaciones, que se implementaban principalmente para pruebas internas, demostraciones de productos y formación en seguridad, con frecuencia se dejaban accesibles en su estado predeterminado o estaban mal configuradas», dijo Pentera Labs dijo . «Estas fallas críticas no solo permitían a los atacantes tener un control total sobre el motor informático comprometido, sino que también proporcionaban vías para moverse lateralmente hacia sistemas internos sensibles. Las violaciones del principio del mínimo privilegio y las medidas inadecuadas de aislamiento facilitaron aún más la escalada de privilegios y pusieron en peligro la infraestructura crítica y los datos confidenciales de la organización». Un análisis más detallado ha determinado que los actores de amenazas están explotando este punto ciego para instalar web shells, minar criptomonedas y crear mecanismos de persistencia en los sistemas comprometidos.

El cargador de malware conocido como Ostra (también conocida como Broomstick o CleanUploader) ha seguido evolucionando hasta principios de 2026, ajustando su infraestructura C2 y sus métodos de ofuscación, según los hallazgos de Sekoia. El malware se distribuye principalmente a través de sitios web falsos que distribuyen instaladores de software legítimo, como Microsoft Teams, y la carga útil principal suele desplegarse como una DLL para una ejecución persistente. «En la fase inicial se aprovechan las excesivas llamadas legítimas a las API y las simples trampas antidepuración para frustrar los análisis estáticos», afirma la empresa dijo . «La carga útil del núcleo se entrega de una manera muy ofuscada. La fase final implementa un sólido protocolo de comunicación C2 que incluye una infraestructura de servidor de doble capa y una codificación de datos altamente personalizada».

Fideófilo es el nombre que se le da a un malware que roba información y que se ha distribuido a través de herramientas de inteligencia artificial falsas promocionadas en Facebook. Morphisec lo documentó por primera vez en mayo de 2025, y fue evaluado por primera vez por un agente de amenazas radicado en Vietnam. Desde entonces, se han publicado otros informes en los que se detallan varias campañas, como UNC6229 y Ladrón PXA , orquestado por Ciberdelincuentes vietnamitas . El análisis más reciente de Morphisec sobre Noodlophile ha revelado que el autor de la amenaza «rellenó el malware con millones de repeticiones de una colorida frase vietnamita que se tradujo como «al carajo, Morphisec», lo que sugiere que a los operadores no les entusiasmó quedar expuestos. «No solo para desahogar la frustración por la interrupción de las campañas, sino también para sobrecargar el archivo y bloquear las herramientas de análisis basadas en la inteligencia artificial que se basan en la biblioteca de desensamblaje de Python: dis.dis (obj)», dijo el investigador de seguridad Michael Gorelik dijo .

El proyecto OpenSSL ha corregido una falla de desbordamiento del búfer de pila que puede provocar ataques de ejecución remota de código en determinadas condiciones. La vulnerabilidad, rastreada como CVE-2025-15467 , reside en la forma en que la biblioteca procesa los datos de sintaxis de mensajes criptográficos. Los atacantes pueden usar paquetes de CMS con parámetros AEAD creados con fines malintencionados para bloquear OpenSSL y ejecutar código malintencionado. El CVE-2025-15467 es uno de los 12 problemas que se presentaron divulgado por AISLE a finales del mes pasado. Otra vulnerabilidad de alta gravedad es CVE-2025-11187 , lo que podría provocar un desbordamiento del búfer basado en la pila debido a la falta de validación.

Una nueva investigación de Silverfort ha aclarado una «suposición común» de que Delegación Kerberos , que permite a un servicio solicitar recursos o realizar acciones en nombre de un usuario, se aplica no solo a los usuarios humanos, sino también a las cuentas de máquinas. En otras palabras, se puede delegar una cuenta de computadora en nombre de identidades de máquinas con altos privilegios, como los controladores de dominio. «Esto significa que un servicio fiable para la delegación puede actuar no solo en nombre de otros usuarios, sino también en nombre de las cuentas de máquinas, las identidades no humanas (NHI) más importantes de cualquier dominio», explica Dor Segal, investigador de Silverfort dijo . «El riesgo es evidente. Si un adversario puede aprovechar la delegación, puede actuar en nombre de cuentas de máquinas confidenciales, que en muchos entornos tienen privilegios equivalentes a los de administrador de dominio». Para evitar este riesgo, se recomienda ejecutar «Set-ADAccountControl -Identity «HOST01$» -AccountNotDelegated $true» para cada cuenta confidencial de una máquina.