Blog Blog

Casos más críticos y notorios del día

October 30, 2025
Nestor Martin Guerra Garcia (Dr.Plaga)
Noticias
Casos más críticos y notorios del día

1) CISA agrega 2 vulnerabilidades al catálogo KEV (explotación activa)

Título: Explotación activa de XWiki (CVE‑2025‑24893) y otra CVE añadidas a KEV por CISA (Global)
Análisis del Incidente: CISA publicó hoy la incorporación de dos CVE al KEV por evidencia de explotación activa. Una confirmada públicamente es XWiki CVE‑2025‑24893 (template/eval injection, RCE no autenticada). La segunda CVE figura en el aviso de CISA pero no fue visible en nuestra sesión por restricción del sitio (GAP). Relevancia alta por facilidad de abuso y amplia superficie expuesta. CISA+1
Información Enriquecida (OSINT):

  • Actor/TTPs: oportunistas/cryptominers y botnets observados explotando XWiki. Tácticas/Técnicas (ATT&CK v18): TA0001 Initial Access; T1190 Exploit Public‑Facing Application; TA0002/T1059 Command & Scripting Interpreter (post‑explotación). The Hacker News+1
  • Víctima/Perfil: software wiki auto‑hosteado en múltiples sectores.
  • Vulnerabilidad: CVE‑2025‑24893 (XWiki). Parches en 15.10.11/16.4.1/16.5.0RC1. NVD
    Datos Clave:
  • Actor: opportunista (no APT)
  • País: Global (ISO: MULTI)
  • Sector: Software (ISIC J62)
  • Categoría: Explotación de CVE (RCE)
  • Métricas: n/d (campañas generalizadas)
    Conclusión: Severidad Alta. Priorizar parcheo/mitigaciones y WAF con reglas para patrones de template‑injection. P1: inventario y actualizar XWiki; P2: hunting de procesos/IOCs asociados a minería y shells.
    GAP: 2ª CVE del aviso de hoy no identificada por bloqueo de CISA en consulta directa.

Referencias (texto plano):

  • cisa.gov/news-events/alerts/2025/10/30/cisa-adds-two-known-exploited-vulnerabilities-catalog
  • nvd.nist.gov/vuln/detail/CVE-2025-24893
  • thehackernews.com/2025/10/active-exploits-hit-dassault-and-xwiki.html

2) ICS/EV: CISA ICSA‑25‑303‑01 — ISO 15118‑2 (carga de vehículos eléctricos)

Título: Riesgo en comunicación ISO 15118‑2 para carga EV (ICS/OT, Energy/Transport) (Global)
Análisis del Incidente: CISA publicó hoy advisory ICS para ISO 15118‑2. El propio aviso indica que la condición no es explotable remotamente por sí sola; requiere proximidad/condiciones específicas. Igual, eleva el riesgo en ecosistema EV/infraestructura de carga si se combina con otras debilidades. CISA
Información Enriquecida (OSINT):

  • Actor/TTPs: n/a (vectores combinados). ATT&CK (ICS): TA0108 Initial Access; T0819 Exploit Public‑Facing Application (cuando aplica a gateways/backend), hardening de endpoints OCPP. MITRE ATT&CK
  • Víctima/Perfil: operadores de carga EV, OEMs, utilities.
  • Vulnerabilidad: ISO 15118‑2 (protocolo); mitigaciones: segmentación, validación estricta, actualización de stacks.
    Datos Clave:
  • Actor: n/a
  • País: Global (ISO: MULTI)
  • Sector: Energía/Transporte (ISIC D35 / H49)
  • Categoría: Advisory ICS (debilidad no remota)
    Conclusión: Severidad Media. P1: revisar implementación ISO 15118‑2; P2: pruebas de integración con OCPP/PKI y segmentación de redes OT/DMZ.

Referencias (texto plano):

  • cisa.gov/news-events/ics-advisories/icsa-25-303-01

3) Microsoft WSUS (CVE‑2025‑59287) — explotación activa + OOB patch

Título: Campañas explotando WSUS (Windows Server) con RCE no autenticada; parche fuera de banda (Global)
Análisis del Incidente: Vulnerabilidad crítica en WSUS (deserialización), explotación activa; Microsoft emitió actualización OOB tras PoC pública. Observada actividad de scanning/explotación a escala; gobiernos (CISA/NCSC‑NL) recomiendan mitigar de inmediato. CISA+2IT Pro+2
Información Enriquecida (OSINT):

  • Actor/TTPs: múltiples actores criminales. ATT&CK: TA0001/T1190 Exploit Public‑Facing App; TA0008/T1105 Ingress Tool Transfer; TA0003/T1059 PowerShell. MITRE ATT&CK
  • Víctima/Perfil: cualquier entorno con rol WSUS expuesto.
  • Vulnerabilidad: CVE‑2025‑59287 (RCE). Mitigación: parche OOB (23‑Oct), bloquear 8530/8531 si no es posible patch inmediato. CISA
    Datos Clave:
  • Actor: crimeware/múltiples
  • País: Global
  • Sector: Multisector (ISIC J62)
  • Categoría: Explotación de CVE (RCE)
  • Métricas: miles de WSUS expuestos (estimaciones de IR), s/t público. IT Pro
    Conclusión: Severidad Muy Alta. P1: parche OOB + validación; P2: hunting de creación de cuentas/servicios y tráfico saliente anómalo desde WSUS.

Referencias (texto plano):

  • cisa.gov/news-events/alerts/2025/10/24/microsoft-releases-out-band-security-update-mitigate-windows-server-update-service-vulnerability-cve
  • itpro.com/security/cisa-issues-alert-after-botched-windows-server-patch-exposes-critical-flaw
  • unit42.paloaltonetworks.com/microsoft-cve-2025-59287

4) Conduent (US) — confirmación de brecha masiva (10,5M+)

Título: Conduent confirma brecha con >10,5M afectados; múltiples clientes público‑privados
Análisis del Incidente: Conduent Business Solutions notificó a reguladores estatales impactos superiores a 10,5 millones de personas; la intrusión original data de 2024, detectada en enero 2025; hubo exfiltración de ficheros. Afecta a programas de gobiernos y aseguradoras. Hoy hubo nuevas confirmaciones/nota de prensa y cobertura técnica. BleepingComputer+2GovInfoSecurity+2
Información Enriquecida (OSINT):

  • Actor/TTPs: no atribuido (posible data‑theft focus). ATT&CK: TA0006/T1078 Valid Accounts (hipótesis), TA0010/T1041 Exfiltration Over C2 Channel (hipótesis).
  • Víctima/Perfil: BPO/servicios a gobierno/health.
  • Sector (NAICS): 518210 (Data Processing/Hosting); Salud/Gobierno entre clientes.
    Datos Clave:
  • País: US (ISO: US)
  • Categoría: Data Breach (confirmada)
  • Métricas: 10,5M+ personas afectadas (notificaciones estatales). GovInfoSecurity
    Conclusión: Severidad Alta por volumen/sensibilidad. P1: notificación a terceros y rotación de claves/credenciales compartidas; P2: reforzar controles de terceros (TPRM) y telemetría en integraciones.

Referencias (texto plano):

  • bleepingcomputer.com/news/security/bpo-giant-conduent-confirms-data-breach-impacts-105-million-people
  • govinfosecurity.com/back-office-servicer-reports-data-theft-affects-105m-a-29845
  • cybersecuritydive.com/news/conduent-data-breach-began-2024-intrusion/803930

5) Dentsu / Merkle (US/JP) — incidente con datos de staff y clientes

Título: Brecha en Merkle (subsidiaria de Dentsu) con exposición de datos; sistemas offline preventivo (US)
Análisis del Incidente: Dentsu informó actividad anómala en red de Merkle; tomó sistemas offline y confirmó exposición de datos de personal/clientes. Hoy hubo nueva cobertura y página oficial con detalles. Dentsu Group+2Security Affairs+2
Información Enriquecida (OSINT):

  • Actor/TTPs: no atribuido. ATT&CK: TA0003/T1059, TA0006/T1078 (hipótesis), TA0010/T1041 (exfil).
  • Víctima/Perfil: Marketing/CRM enterprise.
  • Sector (NAICS): 541613 (Marketing Consulting).
    Datos Clave:
  • País: US (ISO: US) / matriz JP (ISO: JP)
  • Categoría: Data Breach/Intrusión
  • Métricas: n/d (no divulgadas).
    Conclusión: Severidad Media‑Alta (datos personales/clientes). P1: contención IR + notificaciones; P2: revisión de accesos de proveedores y tokens en martech stack.

Referencias (texto plano):

  • group.dentsu.com/en/news/release/001552.html
  • bleepingcomputer.com/news/security/advertising-giant-dentsu-reports-data-breach-at-subsidiary-merkle
  • securityaffairs.com/184017/data-breach/dentsus-us-subsidiary-merkle-hit-by-cyberattack-staff-and-client-data-exposed.html

6) Ribbon Communications (US, telecom core) — intrusión de actor estatal (espionaje)

Título: Intrusión prolongada (≈1 año) en Ribbon Communications por actor estatal; acceso a ficheros de clientes (US)
Análisis del Incidente: La empresa reportó en 10‑Q que un actor asociado a “nation‑state” accedió a su red desde dic‑2024; se halló acceso a ficheros en portátiles fuera de la red principal y afectación a tres clientes menores. Relevante por rol de Ribbon en core de telecom global. Reuters
Información Enriquecida (OSINT):

  • Actor/TTPs: APT (no atribuido públicamente). ATT&CK: TA0006/T1078 Valid Accounts; TA0011/T1071 Web Protocols; TA0005/T1555 Credentials From Password Stores (hipótesis).
  • Víctima/Perfil: proveedor crítico para carriers.
  • Sector (NAICS): 517919 (Telecom).
    Datos Clave:
  • País: US (ISO: US)
  • Categoría: Intrusión/espionaje (sin disrupción material)
  • Métricas: acceso a “algunos” ficheros; 3 clientes menores impactados (según empresa). Reuters
    Conclusión: Severidad Alta por supply‑chain en telecom y dwell time extenso. P1: hardening/segregación de laptops “out‑of‑domain”; P2: revisión de integraciones con clientes y claves/firmware en SBC/softswitch.

Referencias (texto plano):

  • reuters.com/world/americas/us-company-with-access-biggest-telecom-firms-uncovers-breach-by-nation-state-2025-10-29
Nestor Martin Guerra Garcia (Dr.Plaga)

Nestor Martin Guerra Garcia (Dr.Plaga)

Threat intelligence | Protección de Datos y Gestión de Riesgos | Old school
Volver al blog