<?xml version="1.0" encoding="UTF-8" standalone="no"?><rss xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/" xmlns:dc="http://purl.org/dc/elements/1.1/" xmlns:slash="http://purl.org/rss/1.0/modules/slash/" xmlns:sy="http://purl.org/rss/1.0/modules/syndication/" xmlns:wfw="http://wellformedweb.org/CommentAPI/" version="2.0">

<channel>
	<title>Una Al Día</title>
	<atom:link href="https://unaaldia.hispasec.com/feed/" rel="self" type="application/rss+xml"/>
	<link>https://unaaldia.hispasec.com/</link>
	<description>Boletín de noticias de Seguridad Informática ofrecido por Hispasec</description>
	<lastBuildDate>Fri, 03 Jul 2026 07:16:09 +0000</lastBuildDate>
	<language>es</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	

<image>
	<url>https://i0.wp.com/unaaldia.hispasec.com/wp-content/uploads/2022/08/cropped-Favicon-1.png?fit=32%2C32&amp;ssl=1</url>
	<title>Una Al Día</title>
	<link>https://unaaldia.hispasec.com/</link>
	<width>32</width>
	<height>32</height>
</image> 
<site xmlns="com-wordpress:feed-additions:1">151686138</site>	<xhtml:meta content="noindex" name="robots" xmlns:xhtml="http://www.w3.org/1999/xhtml"/><item>
		<title>CISA alerta de ataques activos contra un fallo grave en Microsoft SharePoint Server</title>
		<link>https://unaaldia.hispasec.com/cisa-alerta-de-ataques-activos-contra-un-fallo-grave-en-microsoft-sharepoint-server/?utm_source=rss&amp;utm_medium=rss&amp;utm_campaign=cisa-alerta-de-ataques-activos-contra-un-fallo-grave-en-microsoft-sharepoint-server</link>
					<comments>https://unaaldia.hispasec.com/cisa-alerta-de-ataques-activos-contra-un-fallo-grave-en-microsoft-sharepoint-server/#respond</comments>
		
		<dc:creator><![CDATA[Hispasec]]></dc:creator>
		<pubDate>Fri, 03 Jul 2026 07:16:09 +0000</pubDate>
				<category><![CDATA[General]]></category>
		<category><![CDATA[ciberseguridad]]></category>
		<category><![CDATA[vulnerabilidades]]></category>
		<guid isPermaLink="false">https://unaaldia.hispasec.com/cisa-alerta-de-ataques-activos-contra-un-fallo-grave-en-microsoft-sharepoint-server/</guid>

					<description><![CDATA[<p>La agencia estadounidense CISA ha incluido CVE-2026-45659 en su catálogo Known Exploited Vulnerabilities (KEV) tras detectar explotación activa. El fallo permite ejecución remota de código en Microsoft SharePoint Server a partir de una deserialización insegura y exige aplicar con urgencia los parches de mayo de 2026. La agencia federal CISA ha puesto el foco en [&#8230;]</p>
<p>La entrada <a href="https://unaaldia.hispasec.com/cisa-alerta-de-ataques-activos-contra-un-fallo-grave-en-microsoft-sharepoint-server/">CISA alerta de ataques activos contra un fallo grave en Microsoft SharePoint Server</a> se publicó primero en <a href="https://unaaldia.hispasec.com">Una Al Día</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>La agencia estadounidense <strong>CISA</strong> ha incluido <strong><a href="https://www.cve.org/CVERecord?id=CVE-2026-45659" target="_blank" rel="noopener noreferrer">CVE-2026-45659</a></strong> en su catálogo <strong>Known Exploited Vulnerabilities (KEV)</strong> tras detectar explotación activa. El fallo permite <strong>ejecución remota de código</strong> en <strong>Microsoft SharePoint Server</strong> a partir de una deserialización insegura y exige aplicar con urgencia los parches de <strong>mayo de 2026</strong>.</p>
<p><img data-recalc-dims="1" decoding="async" alt="Entry image" src="https://i0.wp.com/unaaldia.hispasec.com/wp-content/uploads/2026/07/cisa-ataques-activos-fallo-grave-microsoft-sharepoint-server-cve-2026-45659.png?ssl=1" /></p>
<p>La agencia federal <strong>CISA</strong> ha puesto el foco en <strong><a href="https://www.cve.org/CVERecord?id=CVE-2026-45659" target="_blank" rel="noopener noreferrer">CVE-2026-45659</a></strong>, un fallo de <strong>ejecución remota de código (RCE)</strong> en <strong>Microsoft SharePoint Server</strong> que ya se utiliza en ataques reales y que afecta a instalaciones sin parchear. El problema se apoya en <strong>deserialización de datos no confiables</strong>, una clase de vulnerabilidad especialmente delicada en entornos corporativos porque puede abrir la puerta a la ejecución de código en el servidor.</p>
<p>El matiz técnico importa. La explotación requiere <strong>autenticación</strong>, pero no privilegios elevados: basta una cuenta con permisos mínimos comparables al rol de <strong>miembro del sitio</strong>. A partir de ahí, el atacante puede forzar el procesamiento de datos serializados de forma insegura y llegar a ejecutar código en el servidor. Además, el ataque no necesita interacción de usuario y se considera de baja complejidad, un cóctel que suele favorecer intentos de automatización cuando el servicio se expone a Internet.</p>
<p><strong>Microsoft</strong> publicó actualizaciones de seguridad el <strong>21 de mayo de 2026</strong> para <strong>SharePoint Enterprise Server 2016</strong>, <strong>SharePoint Server 2019</strong> y <strong>SharePoint Server Subscription Edition</strong>. La compañía también reconoció un error de documentación: el <strong>CVE</strong> no apareció en la lista de ese ciclo de parches, aunque los entornos con las actualizaciones de mayo instaladas por completo no deberían requerir medidas adicionales más allá de confirmar niveles de parche.</p>
<p>La urgencia crece por un dato que retrata el riesgo potencial: se han observado más de <strong>10.000 servidores SharePoint</strong> expuestos a Internet en telemetría pública, sin que esa cifra permita inferir cuántos están al día. En paralelo, <strong>CISA</strong> ha fijado el <strong>sábado 4 de julio de 2026</strong> como fecha límite de remediación para organismos federales dentro de la directiva <strong>BOD 26-04</strong>, una señal habitual de priorización operativa cuando existe explotación activa.</p>
<p>En la práctica, la respuesta pasa por tres frentes. Primero, aplicar los parches de <strong>mayo de 2026</strong> o posteriores y verificar que la corrección está realmente desplegada en todas las granjas. Segundo, inventariar instancias y reducir exposición, revisando publicación, segmentación y accesos, porque un servidor accesible desde fuera multiplica el riesgo. Tercero, revisar <strong>logs</strong> y telemetría para buscar indicios de compromiso y activar respuesta a incidentes ante cualquier anomalía. Por ahora no hay detalles públicos confirmados sobre campañas concretas, actores o indicadores de compromiso, lo que hace aún más importante tratar cualquier instancia anterior al 21 de mayo como de alto riesgo y acelerar contención y validación de integridad.</p>
<h3>Más información</h3>
<ul>
<li>BleepingComputer &#8211; CISA: Microsoft SharePoint RCE flaw now actively exploited : <a href="https://www.bleepingcomputer.com/news/security/cisa-microsoft-sharepoint-rce-flaw-now-actively-exploited/" target="_blank" rel="noopener noreferrer">https://www.bleepingcomputer.com/news/security/cisa-microsoft-sharepoint-rce-flaw-now-actively-exploited/</a></li>
<li>Computer Weekly &#8211; US cyber agency warns over forgotten SharePoint flaw : <a href="https://www.computerweekly.com/news/366645307/US-cyber-agency-warns-over-forgotten-SharePoint-flaw" target="_blank" rel="noopener noreferrer">https://www.computerweekly.com/news/366645307/US-cyber-agency-warns-over-forgotten-SharePoint-flaw</a></li>
</ul>
<p>La entrada <a href="https://unaaldia.hispasec.com/cisa-alerta-de-ataques-activos-contra-un-fallo-grave-en-microsoft-sharepoint-server/">CISA alerta de ataques activos contra un fallo grave en Microsoft SharePoint Server</a> se publicó primero en <a href="https://unaaldia.hispasec.com">Una Al Día</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://unaaldia.hispasec.com/cisa-alerta-de-ataques-activos-contra-un-fallo-grave-en-microsoft-sharepoint-server/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
		<post-id xmlns="com-wordpress:feed-additions:1">78775</post-id>	</item>
		<item>
		<title>Detectan intentos de explotación de una vulnerabilidad crítica en Progress Kemp LoadMaster</title>
		<link>https://unaaldia.hispasec.com/detectan-intentos-de-explotacion-de-una-vulnerabilidad-critica-en-progress-kemp-loadmaster/?utm_source=rss&amp;utm_medium=rss&amp;utm_campaign=detectan-intentos-de-explotacion-de-una-vulnerabilidad-critica-en-progress-kemp-loadmaster</link>
					<comments>https://unaaldia.hispasec.com/detectan-intentos-de-explotacion-de-una-vulnerabilidad-critica-en-progress-kemp-loadmaster/#respond</comments>
		
		<dc:creator><![CDATA[Hispasec]]></dc:creator>
		<pubDate>Thu, 02 Jul 2026 08:50:15 +0000</pubDate>
				<category><![CDATA[General]]></category>
		<category><![CDATA[ciberseguridad]]></category>
		<category><![CDATA[vulnerabilidades]]></category>
		<guid isPermaLink="false">https://unaaldia.hispasec.com/detectan-intentos-de-explotacion-de-una-vulnerabilidad-critica-en-progress-kemp-loadmaster/</guid>

					<description><![CDATA[<p>La vulnerabilidad CVE-2026-8037 en Progress Kemp LoadMaster abre la puerta a ejecutar comandos como root sin autenticación si la API está habilitada. Ya se han visto intentos de explotación desde finales de junio y existe PoC público, así que los equipos expuestos en perímetro deben priorizar el parcheo y el cierre de la superficie de [&#8230;]</p>
<p>La entrada <a href="https://unaaldia.hispasec.com/detectan-intentos-de-explotacion-de-una-vulnerabilidad-critica-en-progress-kemp-loadmaster/">Detectan intentos de explotación de una vulnerabilidad crítica en Progress Kemp LoadMaster</a> se publicó primero en <a href="https://unaaldia.hispasec.com">Una Al Día</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>La vulnerabilidad <strong><a href="https://www.cve.org/CVERecord?id=CVE-2026-8037" target="_blank" rel="noopener noreferrer">CVE-2026-8037</a></strong> en <strong>Progress Kemp LoadMaster</strong> abre la puerta a ejecutar comandos como <strong>root</strong> sin autenticación si la <strong>API</strong> está habilitada. Ya se han visto intentos de explotación desde finales de junio y existe <strong>PoC público</strong>, así que los equipos expuestos en perímetro deben priorizar el parcheo y el cierre de la superficie de ataque.</p>
<p><img data-recalc-dims="1" decoding="async" alt="Entry image" src="https://i0.wp.com/unaaldia.hispasec.com/wp-content/uploads/2026/07/intentos-explotacion-vulnerabilidad-critica-progress-kemp-loadmaster-cve-2026-8037.png?ssl=1" /></p>
<p>Los equipos que usan <strong>Progress Kemp LoadMaster</strong> como balanceador o <strong>ADC</strong> en el perímetro afrontan estos días una amenaza inmediata: una vulnerabilidad crítica permite ejecutar comandos de forma remota sin autenticación cuando la <strong>API</strong> del dispositivo está activada. Los primeros intentos de explotación se observaron el <strong>29 de junio de 2026</strong> y, aunque no hay confirmación de compromisos culminados, la combinación de severidad, exposición y herramientas públicas eleva el riesgo.</p>
<p>El fallo, registrado como <strong><a href="https://www.cve.org/CVERecord?id=CVE-2026-8037" target="_blank" rel="noopener noreferrer">CVE-2026-8037</a></strong>, encaja en el patrón más temido para infraestructuras de entrada: <strong>pre-auth RCE</strong> por <strong>command injection</strong>. En la práctica, un atacante puede forzar la ejecución de comandos con privilegios de <strong>root</strong> en el appliance, algo especialmente delicado en un componente que suele situarse delante de aplicaciones internas, portales corporativos o servicios publicados a Internet.</p>
<p>La explotación pasa por peticiones manipuladas contra el endpoint <strong>/accessv2</strong>, con un cuerpo <strong>JSON</strong> construido para desencadenar la inyección. En el trasfondo técnico aparece un manejo incorrecto de cadenas saneadas que no terminan en null, un detalle que puede derivar en lecturas fuera de límites y que, en determinadas condiciones, acaba llevando parte de la carga controlada por el atacante a una shell. No es un matiz menor: convierte una entrada &#8216;validada&#8217; en una vía de ejecución.</p>
<p>La vulnerabilidad afecta a <strong>LoadMaster GA v7.2.63.1</strong> y anteriores, y a <strong>LoadMaster LTSF v7.2.54.17</strong> y anteriores, siempre que la <strong>API</strong> esté habilitada. Las versiones corregidas ya existen, <strong>GA v7.2.63.2</strong> y <strong>LTSF v7.2.54.18</strong>, y conviene tratarlas como actualización prioritaria. La puntuación de severidad se ha movido entre <strong>9.6</strong> y <strong>9.8</strong> en distintas comunicaciones, pero el mensaje operativo es el mismo: es crítica.</p>
<p>Los intentos detectados se asociaron a tráfico desde <strong>192.42.116.58</strong>, <strong>192.42.116.105</strong> y <strong>146.70.139.154</strong>. Bloquear y vigilar esas direcciones ayuda, aunque no resuelve el problema de fondo: cualquiera puede replicar el patrón con un <strong>PoC público</strong> y el escaneo masivo suele llegar rápido cuando hay dispositivos expuestos.</p>
<p>Además, el aviso de seguridad que trata <strong><a href="https://www.cve.org/CVERecord?id=CVE-2026-8037" target="_blank" rel="noopener noreferrer">CVE-2026-8037</a></strong> también aborda <strong><a href="https://www.cve.org/CVERecord?id=CVE-2026-33691" target="_blank" rel="noopener noreferrer">CVE-2026-33691</a></strong>, una elusión de <strong>WAF</strong> que permite saltarse comprobaciones de extensión en subidas de ficheros mediante espacios en blanco en nombres de archivo. Quien use funciones de firewall de aplicaciones y subida de archivos debe aplicar también esas correcciones para no dejar una vía alternativa abierta.</p>
<p>En el corto plazo, la recomendación práctica pasa por confirmar si la <strong>API</strong> está activa y, si no resulta imprescindible, deshabilitarla o restringirla a redes de administración. Si debe seguir operativa, conviene limitar el acceso a los endpoints con <strong>ACL</strong>, reglas en <strong>firewall</strong> y segmentación, además de revisar logs en busca de actividad anómala dirigida a <strong>/accessv2</strong> y de cuerpos <strong>JSON</strong> con múltiples claves y patrones compatibles con inyección de comandos. Este incidente vuelve a subrayar una idea incómoda: los balanceadores y ADC, por su posición, necesitan un inventario propio y un ciclo de parches igual de estricto que el de cualquier servidor crítico.</p>
<h3>Más información</h3>
<ul>
<li>The Hacker News &#8211; Progress Kemp LoadMaster Pre-Auth RCE Flaw Faces Active Exploitation Attempts : <a href="https://thehackernews.com/2026/07/latest-progress-kemp-loadmaster-pre.html" target="_blank" rel="noopener noreferrer">https://thehackernews.com/2026/07/latest-progress-kemp-loadmaster-pre.html</a></li>
<li>The Hacker News &#8211; Progress Kemp LoadMaster Flaw Could Let Attackers Run Root Commands Pre-Auth : <a href="https://thehackernews.com/2026/06/progress-kemp-loadmaster-flaw-could-let.html" target="_blank" rel="noopener noreferrer">https://thehackernews.com/2026/06/progress-kemp-loadmaster-flaw-could-let.html</a></li>
<li>AHA, H-ISAC &#8211; Observed Exploitation Attempts Targeting Critical Progress Kemp LoadMaster Vulnerability : <a href="https://www.aha.org/h-isac-white-reports/2026-07-01-h-isac-tlp-white-threat-bulletin-observed-exploitation-attempts-targeting-critical-progress" target="_blank" rel="noopener noreferrer">https://www.aha.org/h-isac-white-reports/2026-07-01-h-isac-tlp-white-threat-bulletin-observed-exploitation-attempts-targeting-critical-progress</a></li>
</ul>
<p>La entrada <a href="https://unaaldia.hispasec.com/detectan-intentos-de-explotacion-de-una-vulnerabilidad-critica-en-progress-kemp-loadmaster/">Detectan intentos de explotación de una vulnerabilidad crítica en Progress Kemp LoadMaster</a> se publicó primero en <a href="https://unaaldia.hispasec.com">Una Al Día</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://unaaldia.hispasec.com/detectan-intentos-de-explotacion-de-una-vulnerabilidad-critica-en-progress-kemp-loadmaster/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
		<post-id xmlns="com-wordpress:feed-additions:1">78773</post-id>	</item>
		<item>
		<title>Una oleada de password spraying contra Azure CLI supera 81 millones de intentos y compromete al menos 78 cuentas</title>
		<link>https://unaaldia.hispasec.com/una-oleada-de-password-spraying-contra-azure-cli-supera-81-millones-de-intentos-y-compromete-al-menos-78-cuentas/?utm_source=rss&amp;utm_medium=rss&amp;utm_campaign=una-oleada-de-password-spraying-contra-azure-cli-supera-81-millones-de-intentos-y-compromete-al-menos-78-cuentas</link>
					<comments>https://unaaldia.hispasec.com/una-oleada-de-password-spraying-contra-azure-cli-supera-81-millones-de-intentos-y-compromete-al-menos-78-cuentas/#respond</comments>
		
		<dc:creator><![CDATA[Hispasec]]></dc:creator>
		<pubDate>Wed, 01 Jul 2026 10:52:34 +0000</pubDate>
				<category><![CDATA[General]]></category>
		<category><![CDATA[ciberseguridad]]></category>
		<guid isPermaLink="false">https://unaaldia.hispasec.com/una-oleada-de-password-spraying-contra-azure-cli-supera-81-millones-de-intentos-y-compromete-al-menos-78-cuentas/</guid>

					<description><![CDATA[<p>Una campaña masiva de password spraying golpeó el inicio de sesión de Azure CLI con más de 81 millones de intentos en dos semanas. El saldo confirmado es de al menos 78 cuentas comprometidas en 64 organizaciones, con un patrón que aprovechó el flujo OAuth ROPC y dejó en evidencia configuraciones incompletas de MFA y [&#8230;]</p>
<p>La entrada <a href="https://unaaldia.hispasec.com/una-oleada-de-password-spraying-contra-azure-cli-supera-81-millones-de-intentos-y-compromete-al-menos-78-cuentas/">Una oleada de password spraying contra Azure CLI supera 81 millones de intentos y compromete al menos 78 cuentas</a> se publicó primero en <a href="https://unaaldia.hispasec.com">Una Al Día</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>Una campaña masiva de password spraying golpeó el inicio de sesión de <strong>Azure CLI</strong> con más de <strong>81 millones</strong> de intentos en dos semanas. El saldo confirmado es de al menos <strong>78 cuentas comprometidas</strong> en <strong>64 organizaciones</strong>, con un patrón que aprovechó el flujo <strong>OAuth ROPC</strong> y dejó en evidencia configuraciones incompletas de <strong>MFA</strong> y <strong>Acceso condicional</strong>.</p>
<p><img data-recalc-dims="1" decoding="async" alt="Entry image" src="https://i0.wp.com/unaaldia.hispasec.com/wp-content/uploads/2026/07/oleada-password-spraying-azure-cli-81-millones-intentos-78-cuentas.png?ssl=1" /></p>
<p>Entre el 12 y el 26 de junio de 2026, una campaña de <strong>password spraying</strong> puso contra las cuerdas la autenticación asociada a <strong>Azure CLI</strong> y terminó con al menos <strong>78 cuentas comprometidas</strong> en <strong>64 organizaciones</strong>. El volumen impresiona: más de <strong>81 millones de intentos</strong> en apenas dos semanas. No se trató de un ataque de fuerza bruta clásico, sino de una estrategia pensada para pasar más desapercibida, con pocos intentos por cuenta y una distribución masiva entre identidades.</p>
<p>El patrón encaja con el uso de listas de combinaciones <strong>usuario y contraseña</strong> procedentes de filtraciones previas. Ese detalle cambia el tablero: cuando un atacante no &#8216;adivina&#8217; contraseñas, sino que prueba credenciales ya expuestas, la defensa depende mucho más de <strong>MFA</strong>, de políticas consistentes y de señales de detección temprana.</p>
<p>La clave técnica estuvo en el abuso del flujo <strong>OAuth Resource Owner Password Credentials (ROPC)</strong>, un mecanismo heredado que <strong>OAuth 2.1</strong> desaconseja. ROPC permite validar credenciales y emitir <strong>tokens</strong> sin pasar por experiencias interactivas donde suelen aplicarse controles más estrictos. En escenarios habituales, además, choca con la <strong>MFA</strong>. Resultado: organizaciones con medidas activadas se vieron igualmente expuestas si sus reglas no cubrían este tipo de inicio de sesión o los tipos de cliente que permiten autenticación programática.</p>
<p>La campaña mostró compromisos diarios entre el 12 y el 21 de junio, con una media de <strong>2 a 4</strong> cuentas por día y un pico el <strong>19 de junio</strong> con <strong>12 identidades</strong>. El <strong>22 de junio</strong> llegó el salto, con <strong>30 identidades</strong> afectadas en <strong>23 empresas</strong>, una señal de que los atacantes ajustaron su cadencia o ampliaron la lista de objetivos.</p>
<p>La infraestructura apuntó principalmente a <strong>IPv6</strong>, con actividad concentrada en el rango <strong>2a0a:d683::/32</strong>, vinculado al <strong>ASN AS32167</strong> y a <strong>LSHIY LLC</strong>. Este tipo de huella no identifica por sí sola a un responsable, pero sí ofrece un punto práctico para enriquecer alertas, correlacionar eventos y priorizar investigaciones.</p>
<p>El episodio también deja lecciones incómodas sobre la realidad de las políticas de acceso. Se detectaron casos en los que la <strong>MFA</strong> solo se exigía para aplicaciones concretas, para grupos específicos o solo fuera de ubicaciones de confianza. Ese enfoque crea huecos previsibles, justo los que explotan campañas como esta. En paralelo, al menos <strong>ocho organizaciones</strong> afectadas no tenían ninguna política de <strong>MFA</strong> configurada.</p>
<p>En términos defensivos, conviene exigir <strong>MFA</strong> para todos los usuarios y todas las aplicaciones en la nube, y comprobar que la política cubre los flujos y clientes que usan autenticación no interactiva. También resulta crítico reducir al mínimo <strong>ROPC</strong>, bloquearlo cuando se pueda y migrar a flujos modernos compatibles con controles de sesión. Otra medida con impacto directo pasa por restringir <strong>Azure CLI</strong> a quien realmente lo necesite, especialmente entre usuarios no administradores.</p>
<p>Si un equipo de seguridad detecta un inicio de sesión exitoso tras un patrón de spraying, debe tratarlo como posible compromiso: iniciar respuesta a incidentes, invalidar sesiones y <strong>tokens</strong>, y forzar un cambio de credenciales. A partir de ahí, toca rotar contraseñas reutilizadas, reforzar políticas de contraseña y activar mecanismos de bloqueo inteligente. Y, sobre todo, vigilar picos de fallos ligados a <strong>Azure CLI</strong>, a endpoints de emisión de tokens y a rangos <strong>IPv6</strong> o <strong>ASNs</strong> anómalos, con alertas que identifiquen el reparto de intentos entre muchas cuentas con pocos intentos por identidad.</p>
<p>La campaña se enmarca en un repunte más amplio del <strong>credential spraying</strong>, con un incremento superior a <strong>155 veces</strong> en volumen observado en los últimos meses en una base de clientes. El mensaje es claro: en la nube, el perímetro es la identidad. Y los atacantes lo saben.</p>
<h3>Más información</h3>
<ul>
<li>The Hacker News &#8211; Azure CLI Password Spray Hits at Least 78 Microsoft Accounts in 81M+ Attempts : <a href="https://thehackernews.com/2026/07/azure-cli-password-spray-hits-at-least.html" target="_blank" rel="noopener noreferrer">https://thehackernews.com/2026/07/azure-cli-password-spray-hits-at-least.html</a></li>
<li>SecurityWeek &#8211; Massive Password Spray Campaign Targeting Azure CLI : <a href="https://www.securityweek.com/massive-password-spray-campaign-targeting-azure-cli/" target="_blank" rel="noopener noreferrer">https://www.securityweek.com/massive-password-spray-campaign-targeting-azure-cli/</a></li>
</ul>
<p>La entrada <a href="https://unaaldia.hispasec.com/una-oleada-de-password-spraying-contra-azure-cli-supera-81-millones-de-intentos-y-compromete-al-menos-78-cuentas/">Una oleada de password spraying contra Azure CLI supera 81 millones de intentos y compromete al menos 78 cuentas</a> se publicó primero en <a href="https://unaaldia.hispasec.com">Una Al Día</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://unaaldia.hispasec.com/una-oleada-de-password-spraying-contra-azure-cli-supera-81-millones-de-intentos-y-compromete-al-menos-78-cuentas/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
		<post-id xmlns="com-wordpress:feed-additions:1">78768</post-id>	</item>
		<item>
		<title>Un fallo crítico en libssh2 permite ejecutar código remoto con paquetes SSH manipulados</title>
		<link>https://unaaldia.hispasec.com/un-fallo-critico-en-libssh2-permite-ejecutar-codigo-remoto-con-paquetes-ssh-manipulados/?utm_source=rss&amp;utm_medium=rss&amp;utm_campaign=un-fallo-critico-en-libssh2-permite-ejecutar-codigo-remoto-con-paquetes-ssh-manipulados</link>
					<comments>https://unaaldia.hispasec.com/un-fallo-critico-en-libssh2-permite-ejecutar-codigo-remoto-con-paquetes-ssh-manipulados/#respond</comments>
		
		<dc:creator><![CDATA[Hispasec]]></dc:creator>
		<pubDate>Tue, 30 Jun 2026 06:16:02 +0000</pubDate>
				<category><![CDATA[General]]></category>
		<category><![CDATA[ciberseguridad]]></category>
		<category><![CDATA[vulnerabilidades]]></category>
		<guid isPermaLink="false">https://unaaldia.hispasec.com/un-fallo-critico-en-libssh2-permite-ejecutar-codigo-remoto-con-paquetes-ssh-manipulados/</guid>

					<description><![CDATA[<p>La vulnerabilidad CVE-2026-55200 afecta a libssh2 y abre la puerta a ejecución remota de código mediante paquetes SSH manipulados. El fallo, catalogado como crítico, se corrige con comprobaciones de límites añadidas en el código del proyecto. La vulnerabilidad CVE-2026-55200 pone en jaque a libssh2, una biblioteca muy usada para añadir soporte de SSH-2 a aplicaciones [&#8230;]</p>
<p>La entrada <a href="https://unaaldia.hispasec.com/un-fallo-critico-en-libssh2-permite-ejecutar-codigo-remoto-con-paquetes-ssh-manipulados/">Un fallo crítico en libssh2 permite ejecutar código remoto con paquetes SSH manipulados</a> se publicó primero en <a href="https://unaaldia.hispasec.com">Una Al Día</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>La vulnerabilidad <strong><a href="https://www.cve.org/CVERecord?id=CVE-2026-55200" target="_blank" rel="noopener noreferrer">CVE-2026-55200</a></strong> afecta a <strong>libssh2</strong> y abre la puerta a <strong>ejecución remota de código</strong> mediante paquetes <strong>SSH</strong> manipulados. El fallo, catalogado como crítico, se corrige con comprobaciones de límites añadidas en el código del proyecto.</p>
<p><img data-recalc-dims="1" decoding="async" alt="Entry image" src="https://i0.wp.com/unaaldia.hispasec.com/wp-content/uploads/2026/06/fallo-critico-libssh2-ejecucion-remota-codigo-paquetes-ssh-manipulados-cve-2026-55200.png?ssl=1" /></p>
<p>La vulnerabilidad <strong><a href="https://www.cve.org/CVERecord?id=CVE-2026-55200" target="_blank" rel="noopener noreferrer">CVE-2026-55200</a></strong> pone en jaque a <strong>libssh2</strong>, una biblioteca muy usada para añadir soporte de <strong>SSH-2</strong> a aplicaciones y servicios. El problema afecta a <strong>libssh2</strong> hasta la versión <strong>1.11.1</strong> incluida y permite que un atacante remoto provoque <strong>corrupción de memoria</strong> y llegue a ejecutar código en el sistema que procese tráfico SSH especialmente manipulado.</p>
<p>El origen del fallo está en la función <strong>ssh2_transport_read()</strong>, dentro de la capa de transporte. Al leer paquetes SSH, el código acepta un valor <strong>packet_length</strong> sin imponer un límite superior estricto. Ese detalle, que parece menor, tiene consecuencias serias: un valor desmesurado puede desencadenar una <strong>escritura fuera de límites</strong> en el <strong>heap</strong>, con el riesgo clásico de que el proceso se bloquee o, en el peor escenario, ejecute instrucciones controladas por el atacante.</p>
<p>La debilidad encaja en <strong>CWE-680</strong>, un <strong>desbordamiento de entero</strong> que acaba derivando en un <strong>desbordamiento de búfer</strong>. La entrada se mueve en cifras propias de un incidente grave: <strong>NVD</strong> publica una puntuación <strong>CVSS v3.1 de 9.8</strong>, mientras que <strong>VulnCheck</strong> refleja <strong>9.2 en CVSS v4.0</strong>. Además, ya existe una <strong>prueba de concepto</strong> pública referenciada en <strong>GitHub</strong>, un factor que suele acelerar las pruebas por parte de atacantes y también la reacción de equipos defensivos.</p>
<p>La corrección llega en el commit <strong>97acf3df</strong> del repositorio de <strong>libssh2</strong>. El parche refuerza las comprobaciones del tamaño de los paquetes y rechaza longitudes por encima de <strong>LIBSSH2_PACKET_MAXPAYLOAD</strong>, cerrando la puerta a ese procesamiento inseguro de datos.</p>
<p>Para reducir el riesgo, conviene actualizar <strong>libssh2</strong> a una revisión que incluya el commit <strong>97acf3df</strong> o aplicar el parche equivalente en la distribución correspondiente. También toca hacer inventario: <strong>libssh2</strong> puede aparecer como dependencia indirecta, y el orden de prioridad debería favorecer a componentes que acepten tráfico <strong>SSH</strong> desde la red o que se conecten a servidores no confiables. En entornos donde sea posible, limitar el alcance de red ayuda a contener daños. Y en paralelo, resulta prudente reforzar registros y alertas ante patrones anómalos de negociación o tráfico SSH, porque este tipo de ataques suele dejar señales en la capa de transporte.</p>
<p>Un último matiz práctico: la mitigación real depende de la versión concreta que integre cada producto. No basta con &#8216;tener SSH&#8217;. Hay que confirmar que los paquetes del sistema operativo o de la cadena de suministro ya arrastran la corrección.</p>
<h3>Más información</h3>
<ul>
<li>nvd.nist.gov &#8211; <a href="https://www.cve.org/CVERecord?id=CVE-2026-55200" target="_blank" rel="noopener noreferrer">CVE-2026-55200</a> Detail : <a href="https://nvd.nist.gov/vuln/detail/" target="_blank" rel="noopener noreferrer">https://nvd.nist.gov/vuln/detail/</a><a href="https://www.cve.org/CVERecord?id=CVE-2026-55200" target="_blank" rel="noopener noreferrer">CVE-2026-55200</a></li>
<li>VulnCheck &#8211; libssh2 &#8211; Out-of-Bounds Write via Unchecked packet_length in transport.c : <a href="https://www.vulncheck.com/advisories/libssh2-out-of-bounds-write-via-unchecked-packet-length-in-transport-c" target="_blank" rel="noopener noreferrer">https://www.vulncheck.com/advisories/libssh2-out-of-bounds-write-via-unchecked-packet-length-in-transport-c</a></li>
<li>GitHub &#8211; transport.c: Additional boundary checks for packet length (#2052) · libssh2/libssh2@97acf3d : <a href="https://github.com/libssh2/libssh2/commit/97acf3dfda80c91c3a8c9f2372546301d4a1a7a8" target="_blank" rel="noopener noreferrer">https://github.com/libssh2/libssh2/commit/97acf3dfda80c91c3a8c9f2372546301d4a1a7a8</a></li>
</ul>
<p>La entrada <a href="https://unaaldia.hispasec.com/un-fallo-critico-en-libssh2-permite-ejecutar-codigo-remoto-con-paquetes-ssh-manipulados/">Un fallo crítico en libssh2 permite ejecutar código remoto con paquetes SSH manipulados</a> se publicó primero en <a href="https://unaaldia.hispasec.com">Una Al Día</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://unaaldia.hispasec.com/un-fallo-critico-en-libssh2-permite-ejecutar-codigo-remoto-con-paquetes-ssh-manipulados/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
		<post-id xmlns="com-wordpress:feed-additions:1">78763</post-id>	</item>
		<item>
		<title>Un popular bloqueador de anuncios en Chrome expone una vía latente para inyectar JavaScript</title>
		<link>https://unaaldia.hispasec.com/un-popular-bloqueador-de-anuncios-en-chrome-expone-una-via-latente-para-inyectar-javascript/?utm_source=rss&amp;utm_medium=rss&amp;utm_campaign=un-popular-bloqueador-de-anuncios-en-chrome-expone-una-via-latente-para-inyectar-javascript</link>
					<comments>https://unaaldia.hispasec.com/un-popular-bloqueador-de-anuncios-en-chrome-expone-una-via-latente-para-inyectar-javascript/#respond</comments>
		
		<dc:creator><![CDATA[Hispasec]]></dc:creator>
		<pubDate>Fri, 26 Jun 2026 08:48:55 +0000</pubDate>
				<category><![CDATA[General]]></category>
		<category><![CDATA[ciberseguridad]]></category>
		<guid isPermaLink="false">https://unaaldia.hispasec.com/un-popular-bloqueador-de-anuncios-en-chrome-expone-una-via-latente-para-inyectar-javascript/</guid>

					<description><![CDATA[<p>Un bloqueador de anuncios para YouTube con más de 10 millones de instalaciones en Chrome incluye un mecanismo que permitiría ejecutar JavaScript controlado desde un servidor remoto sin necesidad de actualizar la extensión. No hay pruebas de uso malicioso en ataques reales, pero el diseño eleva el riesgo, sobre todo en entornos corporativos. Un bloqueador [&#8230;]</p>
<p>La entrada <a href="https://unaaldia.hispasec.com/un-popular-bloqueador-de-anuncios-en-chrome-expone-una-via-latente-para-inyectar-javascript/">Un popular bloqueador de anuncios en Chrome expone una vía latente para inyectar JavaScript</a> se publicó primero en <a href="https://unaaldia.hispasec.com">Una Al Día</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>Un bloqueador de anuncios para <strong>YouTube</strong> con más de <strong>10 millones</strong> de instalaciones en <strong>Chrome</strong> incluye un mecanismo que permitiría ejecutar <strong>JavaScript</strong> controlado desde un servidor remoto sin necesidad de actualizar la extensión. No hay pruebas de uso malicioso en ataques reales, pero el diseño eleva el riesgo, sobre todo en entornos corporativos.</p>
<p><img data-recalc-dims="1" decoding="async" alt="Entry image" src="https://i0.wp.com/unaaldia.hispasec.com/wp-content/uploads/2026/06/bloqueador-anuncios-chrome-inyeccion-javascript-latente-adblock-for-youtube.png?ssl=1" /></p>
<p>Un bloqueador de anuncios para <strong>YouTube</strong> muy instalado en <strong>Google Chrome</strong> concentra el foco de la comunidad de seguridad por una capacidad de <strong>inyección de JavaScript</strong> que puede activarse desde el lado servidor. La extensión se llama <strong>Adblock for YouTube</strong> y aparece en la <strong>Chrome Web Store</strong> con el identificador <strong>cmedhionkhpnakcndndgjdbohmhepckk</strong>, superando los <strong>10 millones de instalaciones</strong>.</p>
<p>El problema no reside en un exploit puntual, sino en una combinación de decisiones de diseño. La extensión pide permisos de host para <strong><all_urls></strong>, lo que le permite interactuar con cualquier web que visite el usuario, pese a presentarse como una herramienta centrada en un único servicio. Ese nivel de alcance se vuelve especialmente delicado cuando el navegador se usa para entrar en correo, <strong>SSO</strong>, paneles de administración o aplicaciones <strong>SaaS</strong>.</p>
<p>La propia lógica que intenta limitar su actuación a <strong>YouTube</strong> también resulta frágil. En lugar de validar el <strong>hostname</strong> o el origen real del contenido, la extensión comprueba si la cadena &#8216;<strong>youtube.com</strong>&#8216; aparece en la URL completa. Eso se puede sortear con facilidad añadiendo ese texto como parámetro o parte de la ruta en cualquier dominio, lo que abre la puerta a que las reglas se apliquen fuera del contexto previsto.</p>
<p>A partir de ahí entra el otro componente clave: la descarga periódica de reglas desde infraestructura remota. Esas reglas pueden incluir instrucciones para ejecutar <strong>scriptlets</strong>, pequeños fragmentos que modifican la página. Entre ellos figura <strong>trusted-create-element</strong>, capaz de crear elementos HTML, incluido un <strong>script</strong>, con contenido controlado por la configuración recibida. En la práctica, ese patrón habilita una vía para inyectar código en el contexto de la web que el usuario tiene abierta.</p>
<p>La capacidad se describe como latente porque, en el momento del análisis, el servidor no devolvía la opción activada. Aun así, el riesgo se mantiene: un cambio en la configuración remota podría alterar de forma sustancial el comportamiento de la extensión sin pasar por una actualización visible ni por una nueva revisión de la tienda. No se ha confirmado la distribución de <strong>payload</strong> malicioso a usuarios, pero el planteamiento encaja con escenarios clásicos de <strong>cadena de suministro</strong>.</p>
<p>El contexto no ayuda. En el ecosistema de <strong>Chrome</strong>, la retirada de extensiones relacionadas con <strong>malware</strong> se ha repetido en otras ocasiones, y se han citado identificadores de complementos que acabaron fuera de la tienda, como <strong>onomjaelhagjjojbkcafidnepbfkpnee</strong>, <strong>ogcaehilgakehloljjmajoempaflmdci</strong> y <strong>gekoepiplklhniacchbbgbhilidiojmb</strong>. En la ficha pública, <strong>Adblock for YouTube</strong> figura en la versión <strong>7.2.2</strong> y muestra una actualización fechada el <strong>19 de mayo de 2026</strong>.</p>
<p>Para organizaciones, el consejo práctico es claro: conviene <strong>bloquear o poner en cuarentena</strong> esta extensión mediante políticas corporativas hasta completar una revisión interna. También merece la pena auditar complementos con permisos <strong><all_urls></strong>, vigilar los que dependen de <strong>configuración remota</strong> para decidir qué inyectan en la página y retirar bloqueadores no gestionados en equipos con acceso a sistemas sensibles. La estrategia más efectiva sigue siendo el <strong>allowlisting</strong> de extensiones, con evaluación previa cuando cambian propietarios, se amplían permisos o aparece código que permite ejecutar instrucciones controladas desde fuera.</p>
<h3>Más información</h3>
<ul>
<li>The Hacker News &#8211; Chrome Ad Blocker with 10M+ Installs Found with Dormant Script Injection Capability : <a href="https://thehackernews.com/2026/06/chrome-ad-blocker-with-10m-installs.html" target="_blank" rel="noopener noreferrer">https://thehackernews.com/2026/06/chrome-ad-blocker-with-10m-installs.html</a></li>
<li>Island &#8211; BadBlocker: 11 Million Users, One Server Call Away from Compromise : <a href="https://www.island.io/blog/badblocker-11-million-users-one-server-call-away-from-compromise" target="_blank" rel="noopener noreferrer">https://www.island.io/blog/badblocker-11-million-users-one-server-call-away-from-compromise</a></li>
<li>Chrome Web Store &#8211; Adblock for YoutubeTM : <a href="https://chromewebstore.google.com/detail/adblock-for-youtube/cmedhionkhpnakcndndgjdbohmhepckk?hl=en" target="_blank" rel="noopener noreferrer">https://chromewebstore.google.com/detail/adblock-for-youtube/cmedhionkhpnakcndndgjdbohmhepckk?hl=en</a></li>
</ul>
<p>La entrada <a href="https://unaaldia.hispasec.com/un-popular-bloqueador-de-anuncios-en-chrome-expone-una-via-latente-para-inyectar-javascript/">Un popular bloqueador de anuncios en Chrome expone una vía latente para inyectar JavaScript</a> se publicó primero en <a href="https://unaaldia.hispasec.com">Una Al Día</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://unaaldia.hispasec.com/un-popular-bloqueador-de-anuncios-en-chrome-expone-una-via-latente-para-inyectar-javascript/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
		<post-id xmlns="com-wordpress:feed-additions:1">78745</post-id>	</item>
		<item>
		<title>FortiBleed pone en el punto de mira a FortiGate para robar credenciales a gran escala</title>
		<link>https://unaaldia.hispasec.com/fortibleed-pone-en-el-punto-de-mira-a-fortigate-para-robar-credenciales-a-gran-escala/?utm_source=rss&amp;utm_medium=rss&amp;utm_campaign=fortibleed-pone-en-el-punto-de-mira-a-fortigate-para-robar-credenciales-a-gran-escala</link>
					<comments>https://unaaldia.hispasec.com/fortibleed-pone-en-el-punto-de-mira-a-fortigate-para-robar-credenciales-a-gran-escala/#respond</comments>
		
		<dc:creator><![CDATA[Hispasec]]></dc:creator>
		<pubDate>Thu, 25 Jun 2026 13:27:08 +0000</pubDate>
				<category><![CDATA[General]]></category>
		<category><![CDATA[ciberseguridad]]></category>
		<guid isPermaLink="false">https://unaaldia.hispasec.com/fortibleed-pone-en-el-punto-de-mira-a-fortigate-para-robar-credenciales-a-gran-escala/</guid>

					<description><![CDATA[<p>La campaña FortiBleed se dirige a dispositivos Fortinet FortiGate expuestos a Internet para robar credenciales y abrir la puerta a intrusiones en redes corporativas. La actividad combina fuerza bruta, ataques de diccionario y credential stuffing, lo que obliga a priorizar la rotación de contraseñas y el refuerzo de la autenticación. Una campaña bautizada como FortiBleed [&#8230;]</p>
<p>La entrada <a href="https://unaaldia.hispasec.com/fortibleed-pone-en-el-punto-de-mira-a-fortigate-para-robar-credenciales-a-gran-escala/">FortiBleed pone en el punto de mira a FortiGate para robar credenciales a gran escala</a> se publicó primero en <a href="https://unaaldia.hispasec.com">Una Al Día</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>La campaña <strong>FortiBleed</strong> se dirige a dispositivos <strong>Fortinet FortiGate</strong> expuestos a Internet para robar credenciales y abrir la puerta a intrusiones en redes corporativas. La actividad combina <strong>fuerza bruta</strong>, ataques de <strong>diccionario</strong> y <strong>credential stuffing</strong>, lo que obliga a priorizar la rotación de contraseñas y el refuerzo de la autenticación.</p>
<p><img data-recalc-dims="1" decoding="async" alt="Entry image" src="https://i0.wp.com/unaaldia.hispasec.com/wp-content/uploads/2026/06/fortibleed-fortigate-robo-credenciales-gran-escala.png?ssl=1" /></p>
<p>Una campaña bautizada como <strong>FortiBleed</strong> ha colocado a los dispositivos perimetrales de <strong>Fortinet</strong>, en especial <strong>FortiGate</strong> y sus servicios de <strong>VPN</strong>, en el centro de una operación de robo de credenciales a gran escala. La actividad se concentra en equipos expuestos a <strong>Internet</strong> y persigue un objetivo muy concreto: conseguir usuarios y contraseñas con los que entrar por la puerta principal, sin necesidad de malware sofisticado ni técnicas especialmente ruidosas.</p>
<p>El patrón que describen las alertas encaja con lo que más teme cualquier equipo de respuesta a incidentes cuando mira al perímetro: oleadas de intentos de acceso automatizados que mezclan <strong>fuerza bruta</strong>, <strong>diccionario</strong> y <strong>credential stuffing</strong> contra portales accesibles desde fuera. En la práctica, los atacantes prueban combinaciones de credenciales de forma masiva, a menudo reutilizando pares de usuario y contraseña procedentes de filtraciones previas, hasta dar con un acceso válido a la <strong>SSL VPN</strong> o, en el peor escenario, al plano de <strong>administración</strong>.</p>
<p>El riesgo no termina en el inicio de sesión. Si una cuenta funciona en el firewall o la pasarela VPN y esa contraseña se repite en otros sistemas, el atacante puede saltar a servicios internos y avanzar con <strong>movimiento lateral</strong>. También preocupa la persistencia: tras un acceso inicial, lo habitual es ver cambios de configuración, creación de usuarios o nuevas reglas que facilitan volver a entrar.</p>
<p>La prioridad defensiva pasa por cortar esa cadena cuanto antes. Conviene <strong>rotar de inmediato las contraseñas</strong> asociadas a <strong>administración</strong>, <strong>VPN</strong> y cuentas de servicio vinculadas a <strong>FortiGate</strong> y a pasarelas VPN, y activar <strong>MFA</strong> en cualquier acceso remoto que lo permita. Reducir superficie también ayuda: limitar la exposición a Internet de las interfaces de administración, restringir por <strong>ACL</strong> o usar una VPN de administración cuando sea viable.</p>
<p>En paralelo, toca mirar los <strong>logs</strong> con lupa. Hay que buscar picos de autenticaciones fallidas, patrones de <strong>credential stuffing</strong> y orígenes anómalos, y aplicar umbrales de bloqueo y <strong>rate limiting</strong> para frenar intentos automatizados. Deshabilitar cuentas que no se usan, eliminar credenciales compartidas y endurecer políticas de contraseña reduce el margen de maniobra del atacante.</p>
<p>Si existe la sospecha de reutilización, el alcance se amplía rápidamente. Un barrido de accesos remotos y credenciales filtradas dentro de la organización, seguido de un cambio forzado en sistemas internos, puede marcar la diferencia. Después, queda lo más ingrato: elevar la monitorización para detectar señales posteriores al acceso, como inicios de sesión desde ubicaciones inusuales, cambios no previstos en la configuración o alta de nuevos administradores.</p>
<h3>Más información</h3>
<ul>
<li>The Hacker News &#8211; FortiBleed Targeted FortiGate Firewalls in 110 Million-Credential Harvesting Operation : <a href="https://thehackernews.com/2026/06/fortibleed-targeted-fortigate.html" target="_blank" rel="noopener noreferrer">https://thehackernews.com/2026/06/fortibleed-targeted-fortigate.html</a></li>
<li>Dark Reading &#8211; FortiBleed Attackers Turn Firewalls Into Credentials Stealers : <a href="https://www.darkreading.com/cyberattacks-data-breaches/fortibleed-attackers-firewalls-credentials-stealers" target="_blank" rel="noopener noreferrer">https://www.darkreading.com/cyberattacks-data-breaches/fortibleed-attackers-firewalls-credentials-stealers</a></li>
<li>UK National Cyber Security Centre (NCSC) &#8211; Alert: NCSC issues advice following global targeting of Fortinet firewalls and VPN gateways (PDF) : <a href="https://www.ncsc.gov.uk/sites/default/files/2026-06/Alert-NCSC-issues-advice-following-global-targeting-of-Fortinet-firewalls-and-VPN-gateways_3.pdf" target="_blank" rel="noopener noreferrer">https://www.ncsc.gov.uk/sites/default/files/2026-06/Alert-NCSC-issues-advice-following-global-targeting-of-Fortinet-firewalls-and-VPN-gateways_3.pdf</a></li>
</ul>
<p>La entrada <a href="https://unaaldia.hispasec.com/fortibleed-pone-en-el-punto-de-mira-a-fortigate-para-robar-credenciales-a-gran-escala/">FortiBleed pone en el punto de mira a FortiGate para robar credenciales a gran escala</a> se publicó primero en <a href="https://unaaldia.hispasec.com">Una Al Día</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://unaaldia.hispasec.com/fortibleed-pone-en-el-punto-de-mira-a-fortigate-para-robar-credenciales-a-gran-escala/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
		<post-id xmlns="com-wordpress:feed-additions:1">78727</post-id>	</item>
		<item>
		<title>Explotan en ataques un fallo crítico en Cisco Unified CM con WebDialer habilitado</title>
		<link>https://unaaldia.hispasec.com/explotan-en-ataques-un-fallo-critico-en-cisco-unified-cm-con-webdialer-habilitado-2/?utm_source=rss&amp;utm_medium=rss&amp;utm_campaign=explotan-en-ataques-un-fallo-critico-en-cisco-unified-cm-con-webdialer-habilitado-2</link>
					<comments>https://unaaldia.hispasec.com/explotan-en-ataques-un-fallo-critico-en-cisco-unified-cm-con-webdialer-habilitado-2/#respond</comments>
		
		<dc:creator><![CDATA[Hispasec]]></dc:creator>
		<pubDate>Wed, 24 Jun 2026 08:03:24 +0000</pubDate>
				<category><![CDATA[General]]></category>
		<category><![CDATA[ciberseguridad]]></category>
		<category><![CDATA[vulnerabilidades]]></category>
		<guid isPermaLink="false">https://unaaldia.hispasec.com/explotan-en-ataques-un-fallo-critico-en-cisco-unified-cm-con-webdialer-habilitado-2/</guid>

					<description><![CDATA[<p>La vulnerabilidad CVE-2026-20230 en Cisco Unified Communications Manager ya aparece ligada a intentos de explotación en ataques reales. El fallo, de tipo SSRF, requiere que WebDialer esté activado y permite a un atacante sin autenticación escribir ficheros en el sistema, un paso que puede allanar una escalada de privilegios hasta root. Varias organizaciones que utilizan [&#8230;]</p>
<p>La entrada <a href="https://unaaldia.hispasec.com/explotan-en-ataques-un-fallo-critico-en-cisco-unified-cm-con-webdialer-habilitado-2/">Explotan en ataques un fallo crítico en Cisco Unified CM con WebDialer habilitado</a> se publicó primero en <a href="https://unaaldia.hispasec.com">Una Al Día</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>La vulnerabilidad <strong><a href="https://www.cve.org/CVERecord?id=CVE-2026-20230" target="_blank" rel="noopener noreferrer">CVE-2026-20230</a></strong> en <strong>Cisco Unified Communications Manager</strong> ya aparece ligada a intentos de explotación en ataques reales. El fallo, de tipo <strong>SSRF</strong>, requiere que <strong>WebDialer</strong> esté activado y permite a un atacante sin autenticación escribir ficheros en el sistema, un paso que puede allanar una escalada de privilegios hasta <strong>root</strong>.</p>
<p><img data-recalc-dims="1" decoding="async" alt="Entry image" src="https://i0.wp.com/unaaldia.hispasec.com/wp-content/uploads/2026/06/explotan-ataques-fallo-critico-cisco-unified-cm-webdialer-cve-2026-20230-1.png?ssl=1" /></p>
<p>Varias organizaciones que utilizan <strong>Cisco Unified Communications Manager (Unified CM)</strong>, y su edición <strong>Cisco Unified Communications Manager Session Management Edition (Unified CM SME)</strong>, afrontan estos días una prioridad clara: revisar si tienen activado <strong>WebDialer</strong> y aplicar las correcciones publicadas por <strong>Cisco</strong>. El motivo no es teórico. Ya se han visto intentos de explotación en campañas activas vinculadas a <strong><a href="https://www.cve.org/CVERecord?id=CVE-2026-20230" target="_blank" rel="noopener noreferrer">CVE-2026-20230</a></strong>, un fallo con severidad alta que el fabricante califica como <strong>Critical</strong>.</p>
<p>El defecto encaja en una categoría conocida pero muy peligrosa en entornos corporativos: <strong>SSRF (Server-Side Request Forgery)</strong>. En la práctica, un atacante remoto sin autenticar puede forzar al servidor a realizar solicitudes HTTP manipuladas a destinos internos o controlados, debido a una validación insuficiente en peticiones concretas. En este caso el alcance va más allá de &#8216;mirar&#8217; recursos internos: la cadena descrita permite <strong>escribir ficheros arbitrarios</strong> en el sistema operativo subyacente. Esa capacidad no equivale automáticamente a tomar el control total, pero sí deja el terreno preparado para una <strong>escalada de privilegios</strong> que acabe en ejecución como <strong>root</strong>.</p>
<p>El detalle que marca la diferencia en la exposición es <strong>WebDialer</strong>. La explotación depende de que el servicio esté habilitado, y en muchas instalaciones viene desactivado por defecto, lo que reduce el riesgo para parte del parque. Aun así, basta una configuración heredada o un despliegue con requisitos específicos para abrir la puerta. El interés de los atacantes crece cuando existe una <strong>prueba de concepto</strong> pública, y en este caso ya circula.</p>
<p><strong>Cisco</strong> publicó actualizaciones el <strong>3 de junio de 2026</strong>. No hay soluciones alternativas que mitiguen por completo el fallo sin actualizar, así que la recomendación pasa por parchear. Mientras llega la ventana de mantenimiento, deshabilitar <strong>WebDialer</strong> si no resulta imprescindible recorta superficie expuesta.</p>
<p>Para equipos de seguridad, la respuesta práctica empieza por localizar instancias de <strong>Unified CM</strong> y <strong>Unified CM SME</strong> con <strong>WebDialer</strong> activo, especialmente en entornos accesibles desde redes no confiables. Después toca aplicar las versiones corregidas: en <strong>Unified CM 14</strong>, la ruta indicada pasa por <strong>14SU6</strong>. En <strong>Unified CM 15</strong>, conviene planificar la actualización a <strong>15SU5</strong>, prevista para <strong>septiembre de 2026</strong>, o valorar <strong>COP1</strong> si encaja con el entorno.</p>
<p>La parte menos visible, y a menudo la más útil, está en la verificación posterior. Conviene revisar registros y telemetría en busca de patrones compatibles con <strong>SSRF</strong> y con eventos de <strong>escritura de ficheros</strong> inusuales, además de elevar la monitorización en servidores de comunicaciones, que suelen quedar fuera del foco habitual. Y, como medida defensiva transversal, limitar el acceso de red a interfaces y servicios de administración, acotándolo a segmentos de gestión, reduce el margen de maniobra si alguien intenta repetir la jugada.</p>
<h3>Más información</h3>
<ul>
<li>BleepingComputer &#8211; Cisco Unified CM flaw <a href="https://www.cve.org/CVERecord?id=CVE-2026-20230" target="_blank" rel="noopener noreferrer">CVE-2026-20230</a> now exploited in attacks : <a href="https://www.bleepingcomputer.com/news/security/cisco-unified-cm-flaw-cve-2026-20230-now-exploited-in-attacks/" target="_blank" rel="noopener noreferrer">https://www.bleepingcomputer.com/news/security/cisco-unified-cm-flaw-cve-2026-20230-now-exploited-in-attacks/</a></li>
<li>Cisco &#8211; Cisco Unified Communications Manager Server-Side Request Forgery Vulnerability : <a href="https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssrf-cXPnHcW" target="_blank" rel="noopener noreferrer">https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssrf-cXPnHcW</a></li>
<li>SecurityWeek &#8211; Hackers Exploiting Cisco Unified CM Vulnerability : <a href="https://www.securityweek.com/hackers-exploiting-cisco-unified-cm-vulnerability/" target="_blank" rel="noopener noreferrer">https://www.securityweek.com/hackers-exploiting-cisco-unified-cm-vulnerability/</a></li>
</ul>
<p>La entrada <a href="https://unaaldia.hispasec.com/explotan-en-ataques-un-fallo-critico-en-cisco-unified-cm-con-webdialer-habilitado-2/">Explotan en ataques un fallo crítico en Cisco Unified CM con WebDialer habilitado</a> se publicó primero en <a href="https://unaaldia.hispasec.com">Una Al Día</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://unaaldia.hispasec.com/explotan-en-ataques-un-fallo-critico-en-cisco-unified-cm-con-webdialer-habilitado-2/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
		<post-id xmlns="com-wordpress:feed-additions:1">78721</post-id>	</item>
		<item>
		<title>Explotan en ataques un fallo crítico en Cisco Unified CM con WebDialer habilitado</title>
		<link>https://unaaldia.hispasec.com/explotan-en-ataques-un-fallo-critico-en-cisco-unified-cm-con-webdialer-habilitado/?utm_source=rss&amp;utm_medium=rss&amp;utm_campaign=explotan-en-ataques-un-fallo-critico-en-cisco-unified-cm-con-webdialer-habilitado</link>
					<comments>https://unaaldia.hispasec.com/explotan-en-ataques-un-fallo-critico-en-cisco-unified-cm-con-webdialer-habilitado/#respond</comments>
		
		<dc:creator><![CDATA[Hispasec]]></dc:creator>
		<pubDate>Wed, 24 Jun 2026 08:03:22 +0000</pubDate>
				<category><![CDATA[General]]></category>
		<category><![CDATA[ciberseguridad]]></category>
		<category><![CDATA[vulnerabilidades]]></category>
		<guid isPermaLink="false">https://unaaldia.hispasec.com/explotan-en-ataques-un-fallo-critico-en-cisco-unified-cm-con-webdialer-habilitado/</guid>

					<description><![CDATA[<p>La vulnerabilidad CVE-2026-20230 en Cisco Unified Communications Manager ya aparece ligada a intentos de explotación en ataques reales. El fallo, de tipo SSRF, requiere que WebDialer esté activado y permite a un atacante sin autenticación escribir ficheros en el sistema, un paso que puede allanar una escalada de privilegios hasta root. Varias organizaciones que utilizan [&#8230;]</p>
<p>La entrada <a href="https://unaaldia.hispasec.com/explotan-en-ataques-un-fallo-critico-en-cisco-unified-cm-con-webdialer-habilitado/">Explotan en ataques un fallo crítico en Cisco Unified CM con WebDialer habilitado</a> se publicó primero en <a href="https://unaaldia.hispasec.com">Una Al Día</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>La vulnerabilidad <strong><a href="https://www.cve.org/CVERecord?id=CVE-2026-20230" target="_blank" rel="noopener noreferrer">CVE-2026-20230</a></strong> en <strong>Cisco Unified Communications Manager</strong> ya aparece ligada a intentos de explotación en ataques reales. El fallo, de tipo <strong>SSRF</strong>, requiere que <strong>WebDialer</strong> esté activado y permite a un atacante sin autenticación escribir ficheros en el sistema, un paso que puede allanar una escalada de privilegios hasta <strong>root</strong>.</p>
<p><img data-recalc-dims="1" decoding="async" alt="Entry image" src="https://i0.wp.com/unaaldia.hispasec.com/wp-content/uploads/2026/06/explotan-ataques-fallo-critico-cisco-unified-cm-webdialer-cve-2026-20230.png?ssl=1" /></p>
<p>Varias organizaciones que utilizan <strong>Cisco Unified Communications Manager (Unified CM)</strong>, y su edición <strong>Cisco Unified Communications Manager Session Management Edition (Unified CM SME)</strong>, afrontan estos días una prioridad clara: revisar si tienen activado <strong>WebDialer</strong> y aplicar las correcciones publicadas por <strong>Cisco</strong>. El motivo no es teórico. Ya se han visto intentos de explotación en campañas activas vinculadas a <strong><a href="https://www.cve.org/CVERecord?id=CVE-2026-20230" target="_blank" rel="noopener noreferrer">CVE-2026-20230</a></strong>, un fallo con severidad alta que el fabricante califica como <strong>Critical</strong>.</p>
<p>El defecto encaja en una categoría conocida pero muy peligrosa en entornos corporativos: <strong>SSRF (Server-Side Request Forgery)</strong>. En la práctica, un atacante remoto sin autenticar puede forzar al servidor a realizar solicitudes HTTP manipuladas a destinos internos o controlados, debido a una validación insuficiente en peticiones concretas. En este caso el alcance va más allá de &#8216;mirar&#8217; recursos internos: la cadena descrita permite <strong>escribir ficheros arbitrarios</strong> en el sistema operativo subyacente. Esa capacidad no equivale automáticamente a tomar el control total, pero sí deja el terreno preparado para una <strong>escalada de privilegios</strong> que acabe en ejecución como <strong>root</strong>.</p>
<p>El detalle que marca la diferencia en la exposición es <strong>WebDialer</strong>. La explotación depende de que el servicio esté habilitado, y en muchas instalaciones viene desactivado por defecto, lo que reduce el riesgo para parte del parque. Aun así, basta una configuración heredada o un despliegue con requisitos específicos para abrir la puerta. El interés de los atacantes crece cuando existe una <strong>prueba de concepto</strong> pública, y en este caso ya circula.</p>
<p><strong>Cisco</strong> publicó actualizaciones el <strong>3 de junio de 2026</strong>. No hay soluciones alternativas que mitiguen por completo el fallo sin actualizar, así que la recomendación pasa por parchear. Mientras llega la ventana de mantenimiento, deshabilitar <strong>WebDialer</strong> si no resulta imprescindible recorta superficie expuesta.</p>
<p>Para equipos de seguridad, la respuesta práctica empieza por localizar instancias de <strong>Unified CM</strong> y <strong>Unified CM SME</strong> con <strong>WebDialer</strong> activo, especialmente en entornos accesibles desde redes no confiables. Después toca aplicar las versiones corregidas: en <strong>Unified CM 14</strong>, la ruta indicada pasa por <strong>14SU6</strong>. En <strong>Unified CM 15</strong>, conviene planificar la actualización a <strong>15SU5</strong>, prevista para <strong>septiembre de 2026</strong>, o valorar <strong>COP1</strong> si encaja con el entorno.</p>
<p>La parte menos visible, y a menudo la más útil, está en la verificación posterior. Conviene revisar registros y telemetría en busca de patrones compatibles con <strong>SSRF</strong> y con eventos de <strong>escritura de ficheros</strong> inusuales, además de elevar la monitorización en servidores de comunicaciones, que suelen quedar fuera del foco habitual. Y, como medida defensiva transversal, limitar el acceso de red a interfaces y servicios de administración, acotándolo a segmentos de gestión, reduce el margen de maniobra si alguien intenta repetir la jugada.</p>
<h3>Más información</h3>
<ul>
<li>BleepingComputer &#8211; Cisco Unified CM flaw <a href="https://www.cve.org/CVERecord?id=CVE-2026-20230" target="_blank" rel="noopener noreferrer">CVE-2026-20230</a> now exploited in attacks : <a href="https://www.bleepingcomputer.com/news/security/cisco-unified-cm-flaw-cve-2026-20230-now-exploited-in-attacks/" target="_blank" rel="noopener noreferrer">https://www.bleepingcomputer.com/news/security/cisco-unified-cm-flaw-cve-2026-20230-now-exploited-in-attacks/</a></li>
<li>Cisco &#8211; Cisco Unified Communications Manager Server-Side Request Forgery Vulnerability : <a href="https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssrf-cXPnHcW" target="_blank" rel="noopener noreferrer">https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssrf-cXPnHcW</a></li>
<li>SecurityWeek &#8211; Hackers Exploiting Cisco Unified CM Vulnerability : <a href="https://www.securityweek.com/hackers-exploiting-cisco-unified-cm-vulnerability/" target="_blank" rel="noopener noreferrer">https://www.securityweek.com/hackers-exploiting-cisco-unified-cm-vulnerability/</a></li>
</ul>
<p>La entrada <a href="https://unaaldia.hispasec.com/explotan-en-ataques-un-fallo-critico-en-cisco-unified-cm-con-webdialer-habilitado/">Explotan en ataques un fallo crítico en Cisco Unified CM con WebDialer habilitado</a> se publicó primero en <a href="https://unaaldia.hispasec.com">Una Al Día</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://unaaldia.hispasec.com/explotan-en-ataques-un-fallo-critico-en-cisco-unified-cm-con-webdialer-habilitado/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
		<post-id xmlns="com-wordpress:feed-additions:1">78719</post-id>	</item>
		<item>
		<title>Paquetes maliciosos en npm se hacen pasar por herramientas de PostCSS para instalar un RAT en Windows</title>
		<link>https://unaaldia.hispasec.com/paquetes-maliciosos-en-npm-se-hacen-pasar-por-herramientas-de-postcss-para-instalar-un-rat-en-windows/?utm_source=rss&amp;utm_medium=rss&amp;utm_campaign=paquetes-maliciosos-en-npm-se-hacen-pasar-por-herramientas-de-postcss-para-instalar-un-rat-en-windows</link>
					<comments>https://unaaldia.hispasec.com/paquetes-maliciosos-en-npm-se-hacen-pasar-por-herramientas-de-postcss-para-instalar-un-rat-en-windows/#respond</comments>
		
		<dc:creator><![CDATA[Hispasec]]></dc:creator>
		<pubDate>Tue, 23 Jun 2026 09:29:28 +0000</pubDate>
				<category><![CDATA[General]]></category>
		<category><![CDATA[ciberseguridad]]></category>
		<category><![CDATA[malware]]></category>
		<guid isPermaLink="false">https://unaaldia.hispasec.com/paquetes-maliciosos-en-npm-se-hacen-pasar-por-herramientas-de-postcss-para-instalar-un-rat-en-windows/</guid>

					<description><![CDATA[<p>Una campaña de cadena de suministro en npm utiliza paquetes que imitan utilidades de PostCSS para ejecutar código durante la instalación y descargar un RAT orientado a Windows. El riesgo aumenta en equipos de desarrollo y en CI/CD, donde la instalación de dependencias puede exponer credenciales y tokens. Una nueva campaña de cadena de suministro [&#8230;]</p>
<p>La entrada <a href="https://unaaldia.hispasec.com/paquetes-maliciosos-en-npm-se-hacen-pasar-por-herramientas-de-postcss-para-instalar-un-rat-en-windows/">Paquetes maliciosos en npm se hacen pasar por herramientas de PostCSS para instalar un RAT en Windows</a> se publicó primero en <a href="https://unaaldia.hispasec.com">Una Al Día</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>Una campaña de cadena de suministro en <strong>npm</strong> utiliza paquetes que imitan utilidades de <strong>PostCSS</strong> para ejecutar código durante la instalación y descargar un <strong>RAT</strong> orientado a <strong>Windows</strong>. El riesgo aumenta en equipos de desarrollo y en <strong>CI/CD</strong>, donde la instalación de dependencias puede exponer credenciales y tokens.</p>
<p><img data-recalc-dims="1" decoding="async" alt="Entry image" src="https://i0.wp.com/unaaldia.hispasec.com/wp-content/uploads/2026/06/paquetes-maliciosos-npm-postcss-rat-windows.png?ssl=1" /></p>
<p>Una nueva campaña de <strong>cadena de suministro</strong> ha puesto el foco en <strong>npm</strong> con paquetes maliciosos que se camuflan como utilidades relacionadas con <strong>PostCSS</strong> y activan su carga durante un gesto tan cotidiano como un <strong>npm install</strong>. El gancho no está en un exploit sofisticado, sino en una práctica habitual del ecosistema: los scripts de ciclo de vida, como <strong>postinstall</strong>, que pueden ejecutarse automáticamente al instalar dependencias.</p>
<p>El patrón encaja con ataques recientes contra repositorios de paquetes: el código se dispara en el momento de la instalación, contacta con una infraestructura de <strong>mando y control (C2)</strong> y baja una segunda fase adaptada al sistema operativo. En este caso, el objetivo principal se concentra en <strong>Windows</strong>, donde la cadena de infección suele apoyarse en <strong>PowerShell</strong> para descargar componentes, lanzar la carga útil y preparar mecanismos de <strong>persistencia</strong>. El resultado es un <strong>troyano de acceso remoto (RAT)</strong>, una herramienta que permite al atacante controlar el equipo, ejecutar comandos y moverse por el sistema con discreción.</p>
<p>El impacto no se limita al portátil del desarrollador. Los entornos de <strong>CI/CD</strong> también quedan en la diana porque instalan dependencias de forma desatendida y suelen manejar <strong>tokens</strong>, credenciales de despliegue y accesos a servicios internos. Un único paquete contaminado en el árbol de dependencias puede convertir un pipeline en un punto de entrada, con capacidad para escalar el incidente hacia repositorios, artefactos de compilación o infraestructura.</p>
<p>Los análisis describen además rutinas pensadas para complicar el trabajo posterior: tras ejecutarse, algunos paquetes eliminan o sustituyen <strong>metadatos</strong> y señales visibles para pasar más desapercibidos en <strong>node_modules</strong>. Aun así, la campaña deja rastros aprovechables para caza proactiva, como <strong>dominios</strong>, <strong>IPs</strong>, rutas de descarga y ficheros temporales asociados al descargador y a la carga final.</p>
<p>La respuesta defensiva pasa por medidas poco glamurosas, pero eficaces. Conviene <strong>inventariar dependencias</strong> y revisar el árbol en busca de nombres que imiten librerías populares o incorporaciones recientes sin justificación técnica. También ayuda <strong>fijar versiones exactas</strong> en <strong>package.json</strong> y evitar rangos con <strong>^</strong> o <strong>~</strong>, que abren la puerta a actualizaciones automáticas no revisadas. Cuando el proyecto lo permita, se puede desactivar la ejecución de scripts durante la instalación con opciones como <strong>ignore-scripts</strong>, y reforzar dependencias transitivas con <strong>overrides</strong>.</p>
<p>En paralelo, las organizaciones deberían revisar logs de estaciones y pipelines para detectar instalaciones sospechosas, controlar el tráfico saliente hacia infraestructura asociada a campañas de <strong>npm</strong>, y, si existe la sospecha de ejecución, <strong>aislar equipos</strong> y <strong>rotar secretos</strong>. En ataques de este tipo, el coste real suele llegar después: cuando el atacante ya ha tenido tiempo de leer tokens, moverse por la red y persistir donde menos se mira.</p>
<h3>Más información</h3>
<ul>
<li>The Hacker News &#8211; Google Attributes Axios npm Supply Chain Attack to North Korean Group UNC1069 : <a href="https://thehackernews.com/2026/04/google-attributes-axios-npm-supply.html" target="_blank" rel="noopener noreferrer">https://thehackernews.com/2026/04/google-attributes-axios-npm-supply.html</a></li>
<li>Microsoft Security Blog &#8211; Mitigating the Axios npm supply chain compromise : <a href="https://www.microsoft.com/en-us/security/blog/2026/04/01/mitigating-the-axios-npm-supply-chain-compromise/" target="_blank" rel="noopener noreferrer">https://www.microsoft.com/en-us/security/blog/2026/04/01/mitigating-the-axios-npm-supply-chain-compromise/</a></li>
<li>ReversingLabs &#8211; Malicious npm packages use fake install logs to load RAT : <a href="https://www.reversinglabs.com/blog/npm-fake-install-logs-rat" target="_blank" rel="noopener noreferrer">https://www.reversinglabs.com/blog/npm-fake-install-logs-rat</a></li>
</ul>
<p>La entrada <a href="https://unaaldia.hispasec.com/paquetes-maliciosos-en-npm-se-hacen-pasar-por-herramientas-de-postcss-para-instalar-un-rat-en-windows/">Paquetes maliciosos en npm se hacen pasar por herramientas de PostCSS para instalar un RAT en Windows</a> se publicó primero en <a href="https://unaaldia.hispasec.com">Una Al Día</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://unaaldia.hispasec.com/paquetes-maliciosos-en-npm-se-hacen-pasar-por-herramientas-de-postcss-para-instalar-un-rat-en-windows/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
		<post-id xmlns="com-wordpress:feed-additions:1">78717</post-id>	</item>
		<item>
		<title>AryStinger convierte 4.300 routers antiguos en una red de reconocimiento y proxies para ataques</title>
		<link>https://unaaldia.hispasec.com/arystinger-convierte-4-300-routers-antiguos-en-una-red-de-reconocimiento-y-proxies-para-ataques/?utm_source=rss&amp;utm_medium=rss&amp;utm_campaign=arystinger-convierte-4-300-routers-antiguos-en-una-red-de-reconocimiento-y-proxies-para-ataques</link>
					<comments>https://unaaldia.hispasec.com/arystinger-convierte-4-300-routers-antiguos-en-una-red-de-reconocimiento-y-proxies-para-ataques/#respond</comments>
		
		<dc:creator><![CDATA[Hispasec]]></dc:creator>
		<pubDate>Mon, 22 Jun 2026 08:53:51 +0000</pubDate>
				<category><![CDATA[General]]></category>
		<category><![CDATA[ciberseguridad]]></category>
		<category><![CDATA[malware]]></category>
		<category><![CDATA[vulnerabilidades]]></category>
		<guid isPermaLink="false">https://unaaldia.hispasec.com/arystinger-convierte-4-300-routers-antiguos-en-una-red-de-reconocimiento-y-proxies-para-ataques/</guid>

					<description><![CDATA[<p>Una campaña bautizada como AryStinger ha tomado el control de al menos 4.300 routers domésticos antiguos para usarlos como proxies y nodos de reconocimiento. El foco está en equipos con Realtek RTL819X, sobre todo D-Link DIR-850L, y también aparece una variante que apunta a NAS de QNAP. La campaña AryStinger ha puesto en el punto [&#8230;]</p>
<p>La entrada <a href="https://unaaldia.hispasec.com/arystinger-convierte-4-300-routers-antiguos-en-una-red-de-reconocimiento-y-proxies-para-ataques/">AryStinger convierte 4.300 routers antiguos en una red de reconocimiento y proxies para ataques</a> se publicó primero en <a href="https://unaaldia.hispasec.com">Una Al Día</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>Una campaña bautizada como <strong>AryStinger</strong> ha tomado el control de al menos <strong>4.300 routers domésticos antiguos</strong> para usarlos como <strong>proxies</strong> y nodos de <strong>reconocimiento</strong>. El foco está en equipos con <strong>Realtek RTL819X</strong>, sobre todo <strong>D-Link DIR-850L</strong>, y también aparece una variante que apunta a <strong>NAS de QNAP</strong>.</p>
<p><img data-recalc-dims="1" decoding="async" alt="Entry image" src="https://i0.wp.com/unaaldia.hispasec.com/wp-content/uploads/2026/06/arystinger-routers-antiguos-red-reconocimiento-proxies-4300.png?ssl=1" /></p>
<p>La campaña <strong>AryStinger</strong> ha puesto en el punto de mira a routers domésticos descatalogados, y también a algunos <strong>NAS</strong>, para convertirlos en una infraestructura distribuida de <strong>reconocimiento</strong> y <strong>proxy</strong> que sirve de apoyo a ataques posteriores. No se trata del patrón clásico de botnet enfocada al <strong>DDoS</strong>. Aquí el valor está en otro sitio: ocultar el origen del tráfico, escanear Internet con miles de direcciones residenciales y preparar el terreno antes de una intrusión.</p>
<p>Los equipos más afectados comparten un denominador común: chips <strong>Realtek RTL819X</strong>, muy extendidos en el mercado entre <strong>2012 y 2015</strong>. Dentro de ese grupo, los routers <strong>D-Link</strong> dominan el recuento, con el <strong>DIR-850L</strong> como protagonista claro, alrededor del <strong>75%</strong> de los dispositivos comprometidos. También aparecen otros modelos de la familia <strong>DIR</strong>, como <strong>DIR-817L(W)</strong>, <strong>DIR-818L(W)</strong>, <strong>DIR-822</strong>, <strong>DIR-823</strong>, <strong>DIR-868L</strong>, <strong>DIR-880L</strong>, <strong>DIR-885L</strong>, <strong>DIR-890L</strong> y <strong>DIR-895L</strong>. La distribución geográfica se concentra en <strong>Corea del Sur</strong> y <strong>China</strong>, seguida a cierta distancia por <strong>Suecia</strong>, <strong>Malasia</strong> y <strong>Singapur</strong>.</p>
<p>La cadena de infección inicial aprovecha vulnerabilidades antiguas de <strong>ejecución remota de código</strong>. En el ecosistema <strong>Linksys</strong> aparece <strong><a href="https://www.cve.org/CVERecord?id=CVE-2013-3307" target="_blank" rel="noopener noreferrer">CVE-2013-3307</a></strong>, y en varios routers <strong>D-Link</strong> destaca <strong><a href="https://www.cve.org/CVERecord?id=CVE-2016-5681" target="_blank" rel="noopener noreferrer">CVE-2016-5681</a></strong>, un fallo documentado hace años en la superficie web de administración de estos equipos. Ese detalle explica la escala: muchos de estos dispositivos ya no reciben <strong>firmware</strong> actualizado, o directamente siguen expuestos a Internet con la administración remota activa.</p>
<p>Una vez dentro, los nodos comprometidos ejecutan tareas a demanda: <strong>escaneo masivo de DNS</strong>, enumeración de servicios, descubrimiento de activos y <strong>tunelización de tráfico</strong> para actuar como trampolín. Los resultados acaban en manos del operador, que puede usar esa información como fase previa para ataques más selectivos. La comunicación con el <strong>servidor de mando y control</strong> se apoya en <strong>HTTP/HTTPS</strong> y utiliza datos en <strong>Protobuf</strong> ofuscados con <strong>XOR</strong>. En otra variante, escrita en <strong>Go</strong>, el malware añade compresión <strong>gzip</strong>.</p>
<p>La persistencia también deja pistas. En routers se ha visto la instalación de <strong>Dropbear SSH</strong> escuchando en un puerto fijo, el <strong>2332</strong>, una forma de mantener acceso incluso si el usuario reinicia el dispositivo. En el caso de <strong>QNAP</strong>, se observó una segunda variante que intenta aprovechar <strong><a href="https://www.cve.org/CVERecord?id=CVE-2025-11837" target="_blank" rel="noopener noreferrer">CVE-2025-11837</a></strong>, una inyección de código vinculada a <strong>QNAP Malware Remover</strong> y corregida en <strong>noviembre de 2025</strong>, además de la presencia de herramientas como <strong>gs-netcat</strong>.</p>
<p>Para usuarios y pequeñas oficinas, las medidas pasan menos por milagros y más por higiene básica: sustituir routers en <strong>fin de vida</strong>, desactivar la <strong>administración remota</strong> si no resulta imprescindible y vigilar conexiones salientes a dominios asociados a la campaña, como <strong>ajb8.com</strong>. En entornos con algo más de control, conviene buscar binarios no autorizados en <strong>/tmp/bin</strong>, comprobar procesos con nombres como <strong>syswapd0h</strong> o <strong>syswapd0w</strong>, y verificar si aparece un <strong>Dropbear</strong> inesperado en el puerto <strong>2332</strong>. En los modelos <strong>D-Link</strong> compatibles con parches, actualizar el firmware sigue siendo la barrera más directa frente a <strong><a href="https://www.cve.org/CVERecord?id=CVE-2016-5681" target="_blank" rel="noopener noreferrer">CVE-2016-5681</a></strong>. Y en <strong>QNAP</strong>, mantener al día <strong>Malware Remover</strong> resulta clave para cerrar la puerta a <strong><a href="https://www.cve.org/CVERecord?id=CVE-2025-11837" target="_blank" rel="noopener noreferrer">CVE-2025-11837</a></strong>.</p>
<h3>Más información</h3>
<ul>
<li>thehackernews.com &#8211; AryStinger Malware Infects 4,300 Legacy Routers to Build Reconnaissance Proxy Network : <a href="https://thehackernews.com/2026/06/arystinger-malware-infects-4300-legacy.html" target="_blank" rel="noopener noreferrer">https://thehackernews.com/2026/06/arystinger-malware-infects-4300-legacy.html</a></li>
<li>QiAnXin XLab &#8211; More Than 4,000 Legacy Routers Compromised by AryStinger, Turned into Global Attack Proxies for Hackers : <a href="https://blog.xlab.qianxin.com/arystinger-botnet-hijacks-legacy-routers-for-global-attacks-en/" target="_blank" rel="noopener noreferrer">https://blog.xlab.qianxin.com/arystinger-botnet-hijacks-legacy-routers-for-global-attacks-en/</a></li>
<li>NIST NVD &#8211; <a href="https://www.cve.org/CVERecord?id=CVE-2016-5681" target="_blank" rel="noopener noreferrer">CVE-2016-5681</a> Detail : <a href="https://nvd.nist.gov/vuln/detail/" target="_blank" rel="noopener noreferrer">https://nvd.nist.gov/vuln/detail/</a><a href="https://www.cve.org/CVERecord?id=CVE-2016-5681" target="_blank" rel="noopener noreferrer">CVE-2016-5681</a></li>
<li>CERT/CC &#8211; VU#332115 &#8211; D-Link routers contain buffer overflow vulnerability : <a href="https://www.kb.cert.org/vuls/id/332115" target="_blank" rel="noopener noreferrer">https://www.kb.cert.org/vuls/id/332115</a></li>
<li>SecurityWeek &#8211; D-Link Patches Critical Flaw in DIR Routers : <a href="https://www.securityweek.com/d-link-patches-critical-flaw-dir-routers/" target="_blank" rel="noopener noreferrer">https://www.securityweek.com/d-link-patches-critical-flaw-dir-routers/</a></li>
</ul>
<p>La entrada <a href="https://unaaldia.hispasec.com/arystinger-convierte-4-300-routers-antiguos-en-una-red-de-reconocimiento-y-proxies-para-ataques/">AryStinger convierte 4.300 routers antiguos en una red de reconocimiento y proxies para ataques</a> se publicó primero en <a href="https://unaaldia.hispasec.com">Una Al Día</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://unaaldia.hispasec.com/arystinger-convierte-4-300-routers-antiguos-en-una-red-de-reconocimiento-y-proxies-para-ataques/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
		<post-id xmlns="com-wordpress:feed-additions:1">78690</post-id>	</item>
	</channel>
</rss>