Blog
El zeroday initiative está ofreciendo un millón de dolares como recompensa a los investigadores que logren demostrar un exploitzero-click en Whatsapp en el próximo concurso Pwn2Own 2025 a realizarse en Irlanda. Este recompensa record es para vulnerabilidades que permitan ejecutar código sin la interacción de los usuarios.
También hay otras recompensas, no récord, pero si muy jugosas para vulnerabilidades de un click, zero-click para secuestrar una cuenta, zero-click para acceder al micrófono, cámara, datos sensibles, impersonar al usuario en otros chats, etc.
Más allá de Whatsapp y otras aplicaciones de mensajería, el concurso tiene ocho categorías que incluyen teléfonos móviles, equipamiento de red hogareño, dispositivos de smart home, impresoras, sistemas de almacenamiento en red, equipamiento de vigilancia y dispositivos wereables.
Así que ya sabés, si tenés un zero-click para ejecutar código en Whatsapp u otro tipo de vulnerabildades en un cajón, es el momento de hacer caja.
Por otro lado, tenemos el informe muy interesante de ArticWolf, donde nos informan que los dispositivos SonicWall SSL VPN se han convertido en el objetivo de ataques del ransomware Akira como parte de un nuevo aumento de actividad observado a finales de julio de 2025.
Arctic Wolf Labs afirmó que los ataques podrían estar explotando una falla de seguridad aún no determinada en los dispositivos, es decir, un zero-day, dado que algunos de los incidentes afectaron a dispositivos SonicWall con parches completos. Sin embargo, no se descarta la posibilidad de ataques basados en credenciales para el acceso inicial.
Esto surge luego de que watchTowrLabs publicara varias vulnerabilidades en los dispositivos SonicWall SMA Serie 100 que un atacante podría explotar para provocar una denegación de servicio o ejecución de código. "Nos topamos con vulnerabilidades que parecen haber quedado en el olvido desde una era más ingenua de la programación en C", declaró el investigador de seguridad SinaKheirkhah.
"Si bien entendemos (y coincidimos) en que estas vulnerabilidades son, en última instancia, difíciles de explotar, o en algunos casos, actualmente imposibles de explotar, su mera existencia es, francamente, decepcionante. Los desbordamientos de pila y montón previos a la autenticación provocados por encabezados HTTP mal formados ya no deberían ocurrir."
El amigo Sina se puso picante, pero tiene razón. Así que si tenés algún dispositivo de SonicWall, en particular si está expuesto a Internet, prestá más atención a los logs que tengas y asegurate de aplicar los parches que puedan surgir, lo antes posible.
También tenemos de esta semana, un caso bastante intersante, a la par que preocupante, sobre el actor de amenazas conocido como UNC2891, que ha sido detectado, apuntando a infraestructura de cajeros automáticos, utilizando una Raspberry Pi con conexión 4G como parte de un ataque encubierto. Como en las películas, pero en la realidad.
El ataque, que se cataloga como ciberfísico, implicó que aprovecharan un acceso físico para instalar el dispositivo Raspberry Pi y conectarlo directamente al mismo switch de red que el cajero automático, colocándolo dentro de la red del banco objetivo.
El objetivo final de la infección era implementar el rootkit CAKETAP en el servidor de switching del cajero automático y generar retiros fraudulentos de efectivo.
Este actor de amenazas al parecer tendría cierto solapamiento con otros actores de amenazas identificados por comprometer a proveedores de servicios gestionados y atacar objetivos en la industria financiera y consultoras profesionales y telecomunicaciones.
Este caso nos recuerda que en infraestructuras críticas y valiosas como las bancarias, hay que pensar no solamente en los ataques más comunes sino también en los más complejos y rebuscados.
Y en los HDP de la semana, hay actores de amenazas, explotando una vulnerabilidad en un tema de wordpress para organizaciones sin fines de lucro. La vulnerabilidad en cuestión permite tomar el control de los sitios directamente, ya que es una vulnerabilidad de subidad de archivos arbritarios, lo que permite subir un backdoor, una webshell en PHP para ejecutar comandos, subir más archivos y tomar control completo del sitio. En otros casos, crean directamente otros usuarios Administradores para desde ahí hacer lo que quieran con los sitios.
Razonablemente, la vulnerabilidad está clasificada con un puntaje de 9.8 en CVSS y ya cuenta con parche en la versión de junio de 2025.
El tema en cuestión se llama "Alone – CharityMultipurpose Non-profit WordPress Theme" y la vulnerabilidad fue solucionada a partir de la versión 7.8.5 por lo que si estás usando este tema en una versión vulnerable, actualizá lo antes posible.
Mientras tanto, los actores de amenazas vinculados al conocido grupo de hackers Hafnium que a su vez ha sido vinculado con el gobierno chino, habrían trabajado para empresas que registraron varias patentes de tecnologías forenses y de recopilación de datos altamente intrusivas.
Esta situación nos muestra el diverso ecosistema ofensivo del sector privado chino y un problema existente al asignar las técnicas a un grupo específico, lo que podría no reflejar con precisión la verdadera estructura organizativa de los atacantes. El hecho de que los actores de amenazas se hayan atribuido a tres empresas diferentes indica que varias empresas podrían estar trabajando en conjunto para llevar a cabo las intrusiones y que estas podrían estar proporcionando sus herramientas a otros actores, lo que lleva a una atribución incompleta o engañosa.
Actualmente se desconoce cómo los actores de amenazas llegaron a poseer las vulnerabilidades de Microsoft Exchange Server que se utilizaron para atacar a varias entidades en una campaña generalizada a principios de 2021. Sin embargo, su estrecha relación con la Oficina de Seguridad del Estado de Shanghái (SSSB) ha planteado la posibilidad de que la oficina haya obtenido acceso a información sobre los ataques zero-day mediante algún método de recopilación de pruebas y la haya transmitido a los atacantes.
Este descubrimiento también destaca otro punto importante: las Amenazas Persistentes Avanzadas (APT) con sede en China podrían estar compuestas por diferentes empresas que prestan servicios a numerosos clientes, lo que obliga a estas empresas a colaborar en las intrusiones. En junio de 2025, Recorded Future reveló que un instituto estatal chino de investigación de defensa presentó una patente a finales de diciembre de 2024 que analiza diversos tipos de inteligencia, como OSINT, HUMINT, SIGINT, GEOINT y TECHINT, para entrenar un modelo de lenguaje específico para uso militar con el fin de respaldar cada fase del ciclo de inteligencia y mejorar la toma de decisiones durante las operaciones militares.
En esta noticia no tenemos mucho que hacer, más que pensar que, lamentablemente, este tipo de amenazas cada vez son más comunes y pueden llegar a atacar a víctimas más pequeñas de lo que pensamos.
En un giro de los acontecimientos que no puede sorprender en el fondo a nadie, Microsoft admite a la Unión Europea que no puede garantizar su soberanía de datos porque ellos se deben al gobierno estadounidense.
Esta inesperada declaración, ocurrió en una investigación en el Senado francés, donde se le consultó al respecto al Director de Asuntos Públicos y Legales de Microsoft Francia, AntonCarniaux.
Esto si bien suena lógico y esperable, es un poco sorprendente por la sinceridad, o podríamos decir, por el sincericidio. A partir de esta declaración, cualquier empresa que realmente valore la seguridad de su información, no debería utilizar más servicios en la nube de Microsoft, e incluso me atrevería a decir que habría que reevaluar el uso del mismo Windows en entronos críticos, ya que, lo dijo Microsoft, no lo digo yo, "se deben al gobierno estadounidense". Si esto va solo de la nube o incluye también el eventual acceso o implantación de vulnerabilidades zero-day se los dejo para que lo evalúe cada uno.
Según un nuevo informe de inteligencia de Cisco Talos, existen actores de amenazas que cada vez más están utilizando cuentas de correo comprometidas, tanto internas como de socios de negocio, para enviar correos maliciosos como forma de obtener el acceso inicial a una empresa.
Utilizar estas cuentas que ya tienen cierta confianza en la empresa, le da muchas ventajas a un atacante, como potencialmente esquivar controles de seguridad, así como resultar más creíbles para el empleado que lo recibe.
Esto surge en conjunto a que se sigue explotando el Direct Send en Microsoft 365 para enviar correos de phishing que parecen provenir desde adentro de la organización, utilizando direcciones falsificadas internas en el campo De: aumentando la probabilidad de éxito de ataques de phsihing.
Esto lo que nos sigue recordando es la importancia de la concientización y la capacitación de los usuarios, en particular sobre nuevos tipos de amenazas que siguen evolucionando día tras día.
La presidente de SignalFoundation, Meredith Whittaker, afirmó que la aplicación de mensajería segura abandonará Australia si el gobierno la obliga a incorporar una puerta trasera en su algoritmo de cifrado o a exigir acceso a los datos cifrados de los usuarios. A principios de este año, el gobierno del Reino Unido emitió una orden secreta exigiendo a Apple que le permitiera acceder a los datos cifrados de los usuarios para colaborar en las investigaciones, lo que resultó en la eliminación de la función de Protección Avanzada de Datos (ADP) para los usuarios de la región. Si bien el gobierno del Reino Unido parece estar cediendo en su exigencia anterior, Google declaró que, a diferencia de Apple, no recibió ninguna solicitud del Reino Unido para construir una puerta trasera secreta. Esta es la primera vez que Google se pronuncia formalmente al respecto.
Por un lado, no puede sorprendernos que una y otra vez, los gobiernos de distintos países hagan sus intentos por pasar la línea de la privacidad de los ciudadanos con excusas como el delito, el terrorismo y los menores. Pero por otro lado, hay que reconocer cuando empresas como Signal, realmente se comprometen con la seguridad y la privacidad de sus usuarios y no se dejan amedrentar por la sed de poder de algunos gobernantes poco democráticos. Porque sí, si no hay privacidad real, no hay democracia.
Google ha implementado una nueva función de seguridad llamada Carga CRX Verificada para desarrolladores de extensiones de Chrome. Esta función aplica firmas criptográficas a todas las actualizaciones de extensiones de Chrome e impide que agentes maliciosos comprometan las cuentas de los desarrolladores y publiquen actualizaciones maliciosas en Chrome Web Store (CWS).
Esta protección de seguridad también está diseñada para escenarios en los que las revisiones de código de CWS no siempre detectan estos ataques maliciosos. "Al activar una extensión en Carga CRX Verificada, el desarrollador proporciona a Google una clave pública. Posteriormente, ya no puede cargar archivos ZIP sin firmar para esa extensión y debe cargar un archivo CRX firmado con la clave privada correspondiente", declaró Google. "La carga verificada actúa como un segundo factor para la carga en CWS. Un agente malicioso que comprometa la contraseña de la cuenta de un desarrollador, las cookies de sesión o incluso un token OAuth, no podrá cargar una actualización maliciosa a menos que también obtenga acceso a la clave de firma privada del desarrollador".
Una buena noticia para los desarrolladores y en particular para los usuarios de Google Chrome que pueden estar un poco más tranquilos sobre sus extensiones.
Al parecer, atacantes podrían haber utilizado una vulnerabilidad de macOS recientemente parcheada para eludir las comprobaciones de seguridad de Transparencia, Consentimiento y Control (TCC) y robar información confidencial del usuario de ubicaciones como el directorio de Descargas y las cachés de Apple Intelligence.
La falla, denominada Sploitlight por Microsoft, fue corregida por Apple con el lanzamiento de macOS Sequoia 15.4 en marzo de 2025. El ataque recibe este nombre porque explota los plugins de Spotlight, denominados importadores, que se utilizan para indexar los datos encontrados en un dispositivo y mostrarlos mediante su herramienta de búsqueda integrada. Sploitlight convierte estos plugins en una herramienta para eludir la TCC, lo que permite la filtración de datos valiosos sin el consentimiento del usuario.
Y si, no deja de ser un poco irónico o curioso que la vulnerabilidad de macOS la haya publicado Microsoft, no puedo no pensar que hubo un poco de compentencia en esa publicación.
Campaña de phishing a desarrolladores de add-ons de Firefox
Y siguiendo con navegadores y plugings, o en este caso add-ons como los llama Firefox, Mozilla advierte sobre una campaña de phishing dirigida a su infraestructura de complementos de Firefox. Su objetivo es engañar a los desarrolladores para que compartan las credenciales de su cuenta en correos electrónicos con mensajes como "Su cuenta de complementos de Mozilla requiere una actualización para seguir accediendo a las funciones para desarrolladores", diseñados para generar interacción. Esta revelación surge tras la aparición de complementos falsos para Firefox que se hacen pasar por TronLink, Solflare y RabbyWallet, y están diseñados para robar la información confidencial de las billeteras de criptomonedas, según el investigador de seguridad LukaszOlejnik.
Nuevamente vemos la importancia de la seguridad en la cadena de suministros, la concientización y prevención de phishing y como cada vez se complejiza más el panorama de amenazas y por lo tanto tenemos que tener mayores protecciones.
Nuevamente volvió el hijo pródigo. BreachForums parece haber vuelto tras su desconexión en abril. El popular foro de ciberdelincuencia fue cerrado y resucitado varias veces durante el último año. Según DataBreaches.Net, el sitio oficial parece estar de nuevo en línea en su dirección de la dark web, conservando la base de datos de usuarios, la reputación, los créditos y las publicaciones originales. Además, el sitio parece haber regresado bajo un nuevo liderazgo: un usuario con el nombre de usuario "N/A". En una publicación de presentación, N/A también afirmó que ninguno de sus administradores ha sido arrestado y que todo sigue como siempre.
Será cuestión de tiempo para saber si vuelve a funcionar como lo hacía antes o si es otro intento fallido de recuperar el sitio, mientras que nuevos foros como darkforums, se posicionan en el ámbito del ciberdelito.
Para cerrar, vamos a ver las nuevas vulnerabilidades agregadas al catalogo KEV de vulnerabilidades que se sabe están siendo explotadas activamente por atacantes. Esta semana tenemos 3, que son prácticamente 2.
Dos vulnerabilidades en una una API específica de Cisco ISE y Cisco ISE-PIC podría permitir que un atacante remoto no autenticado ejecute código arbitrario en el sistema operativo como root. El atacante no necesita credenciales válidas para explotar esta vulnerabilidad. Esta vulnerabilidad se debe a una validación insuficiente de la información proporcionada por el usuario. Un atacante podría explotar esta vulnerabilidad enviando una solicitud de API manipulada. Una explotación exitosa podría permitirle obtener privilegios de root en un dispositivo afectado.
Además, se ha identificado una vulnerabilidad de falsificación de solicitud entre sitios (CSRF) en PaperCut NG/MF que, en determinadas circunstancias, podría permitir a un atacante alterar la configuración de seguridad o ejecutar código arbitrario. Esto podría explotarse si el objetivo es un administrador con una sesión iniciada. Explotar esto normalmente implicaría la posibilidad de engañar a un administrador para que haga clic en un enlace malicioso especialmente diseñado, lo que podría provocar cambios no autorizados.
https://thehackernews.com/2025/07/unc2891-breaches-atm-network-via-4g.html
https://thehackernews.com/2025/07/hackers-exploit-critical-wordpress.html
https://blog.talosintelligence.com/ir-trends-q2-2025/
https://services.google.com/fh/files/misc/cloud_threat_horizons_report_h22025.pdf
https://blog.mozilla.org/addons/2025/08/01/warning-phishing-campaign-detected/
Nuevas vulnerabilidades KEV de la semana
