Etiqueta: Seguridad de la red Página 1 de 9

El 11 de junio de 2025Ravie Lakshmananunited States Fortinet ha lanzado soluciones para una falla de seguridad crítica que impacta FortiWeb que podría permitir a un atacante no autenticado ejecutar comandos de base de datos arbitrarios en instancias susceptibles. Seguimiento como CVE-2025-25257, la vulnerabilidad conlleva una puntuación CVSS de 9.6 de un máximo de 10.0. «Una neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando SQL (‘inyección sql’) [CWE-89] En FortiWeb puede permitir que un atacante no autenticado ejecute el código o comandos SQL no autorizados a través de solicitudes HTTP o HTTPS no autorizadas a través de solicitudes HTTP o HTTPS no autorizadas, dijo en un asesoramiento publicado esta semana. La deficiencia impacta las siguientes versiones: FortiWeb 7.6.0 a 7.6.3 (actualización a 7.6.4 o más) FortiWeb 7.4.0 a 7.4.4.7 (mejoras a 7. 7.2.0 through 7.2.10 (Upgrade to 7.2.11 or above) FortiWeb 7.0.0 through 7.0.10 (Upgrade to 7.0.11 or above) Kentaro Kawane from GMO Cybersecurity, who was recently credited with reporting a set of critical flaws in Cisco Identity Services and ISE Passive Identity Connector (CVE-2025-20286, CVE-2025-20281, and CVE-2025-20282) ha sido reconocido por descubrir el problema. Desde tres puntos finales de API diferentes: «/API/Fabric/Device/Status,» «/API/V[0-9]/tela/widget/[a-z]+, «y»/API/V[0-9]/Fabric/Widget. «El problema es que la entrada controlada por el atacante, aprobada a través de un encabezado de autorización de token de portador en una solicitud HTTP especialmente elaborada, se pasa directamente a una base de datos de SQL de la consulta de la base de datos sin una sanitización adecuada para asegurarse de que no sea perjudicial y no incluya ningún código malicioso. Sistema operativo al aprovechar el hecho de que la consulta se ejecuta como el usuario «MySQL» «. Los fallas en los dispositivos Fortinet han sido explotados por los actores de amenaza en el pasado, es esencial que los usuarios se muevan rápidamente para actualizar la última versión para mitigar los riesgos potenciales.

Los investigadores de ciberseguridad han descubierto un conjunto de cuatro fallas de seguridad en la pila Bluetooth de Bluesdk de OpenSynergy que, si se explotan con éxito, podría permitir la ejecución remota del código en millones de vehículos de transporte de diferentes proveedores. Las vulnerabilidades, denominadas PerfektBlue, pueden diseñarse juntas como una cadena de exploit para ejecutar un código arbitrario en automóviles de al menos tres fabricantes de automóviles principales, Mercedes-Benz, Volkswagen y Skoda, según PCA Cyber ​​Security (anteriormente PCAUTOMOTIVE). Fuera de estos tres, se ha confirmado que un cuarto fabricante de equipos original no identificado (OEM) se ve afectado. «El ataque de explotación de PerfektBlue es un conjunto de corrupción de memoria crítica y vulnerabilidades lógicas que se encuentran en la pila de bluesdk bluesdk de OpenSynergy que se pueden encadenar para obtener la ejecución de código remoto (RCE)», dijo la compañía de seguridad cibernética. En algunos casos, el aislamiento débil permite a los atacantes usar el acceso IVI como trampolín en zonas más sensibles, especialmente si el sistema carece de aplicación de la puerta de enlace o protocolos de comunicación seguros. El único requisito para lograr el ataque es que el mal actor debe estar dentro del alcance y poder combinar su configuración con el sistema de información y entretenimiento del vehículo objetivo sobre Bluetooth. Esencialmente equivale a un ataque de un solo clic para desencadenar la explotación por aire. «Sin embargo, esta limitación es específica de la implementación debido a la naturaleza marco de BluesDK», agregó PCA Cyber ​​Security. «Por lo tanto, el proceso de emparejamiento puede verse diferente entre varios dispositivos: el número limitado/ilimitado de solicitudes de emparejamiento, la presencia/ausencia de interacción del usuario o emparejamiento podría deshabilitarse por completo». La lista de vulnerabilidades identificadas es la siguiente: CVE-2024-45434 (puntaje CVSS: 8.0)-Uso-después de la transmisión en el servicio AVRCP CVE-2024-45431 (puntaje CVSS: 3.5)-Validación incorrecta de una función de CVE-2024-45433 de CVSS de un canal L2CAP: RFCOMM CVE-2024-45432 (puntuación CVSS: 5.7): la llamada de función con el parámetro incorrecto en RFComm obteniendo correctamente la ejecución del código en el sistema de información y entretenimiento en el vehículo (IVI) permite que un atacante rastree las coordinadas GPS, registrara audio, las listas de contactos de acceso e incluso realizar el movimiento posterior a otros sistemas y potencialmente tomar el control de el control de la crítica de los coordinados de GPS, al mismo tiempo, al mismo tiempo. Después de la divulgación responsable en mayo de 2024, los parches se implementaron en septiembre de 2024. «Perfektblue permite que un atacante lograr la ejecución de código remoto en un dispositivo vulnerable», dijo PCA Cyber ​​Security. «Considérelo como un punto de entrada al sistema objetivo que es crítico. Hablando de vehículos, es un sistema IVI. El movimiento lateral adicional dentro de un vehículo depende de su arquitectura y podría implicar vulnerabilidades adicionales». A principios de abril, la compañía presentó una serie de vulnerabilidades que podrían explotarse para dividirse de forma remota en un vehículo eléctrico Nissan Leaf y tomar el control de las funciones críticas. Los hallazgos se presentaron en la conferencia Black Hat Asia celebrada en Singapur. «Nuestro enfoque comenzó explotando las debilidades en Bluetooth para infiltrarse en la red interna, seguido de omitir el proceso de arranque seguro para aumentar el acceso», dijo. «Establecer un canal de comando y control (C2) sobre DNS nos permitió mantener un vínculo encubierto y persistente con el vehículo, que permite un control remoto completo. Al comprometer una CPU de comunicación independiente, podríamos interactuar directamente con el bus de lata, que gobierna elementos críticos del cuerpo, incluidos espejos, limpiadores, bloqueos de puerta e incluso la dirección». CAN, abreviatura de la red de área del controlador, es un protocolo de comunicación utilizado principalmente en vehículos y sistemas industriales para facilitar la comunicación entre múltiples unidades de control electrónico (ECU). Si un atacante con acceso físico al automóvil puede aprovecharlo, el escenario abre la puerta para ataques de inyección y suplantación de dispositivos de confianza. «Un ejemplo notorio involucra un pequeño dispositivo electrónico escondido dentro de un objeto inocuo (como un altavoz portátil)», dijo la compañía húngara. «Los ladrones enchufan este dispositivo a una unión de cableado de lata expuesta en el automóvil». «Una vez conectado al autobús CAN del automóvil, el dispositivo Rogue imita los mensajes de una ECU autorizada. Inunda el autobús con una explosión de mensajes de lata que declara ‘una clave válida está presente’ o instruye a acciones específicas como desbloquear las puertas». En un informe publicado a fines del mes pasado, Pen Test Partners reveló que convirtió un Renault Clio 2016 en un controlador de Mario Kart al interceptar los datos de Can Bus para obtener el control del automóvil y mapear su dirección, freno y acelerador a un controlador de juego con sede en Python. ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

 10 de junio de 2025Ravie Lakshmananvulnerabilidad / AI Seguridad Los investigadores de seguridad cibernética han descubierto una vulnerabilidad crítica en el proyecto remoto de MCP de código abierto que podría resultar en la ejecución de comandos de sistema operativo arbitrario (OS). La vulnerabilidad, rastreada como CVE-2025-6514, tiene una puntuación CVSS de 9.6 de 10.0. «La vulnerabilidad permite a los atacantes activar la ejecución arbitraria del comando del sistema operativo en la máquina que ejecuta MCP-Remote cuando inicia una conexión con un servidor MCP no confiable, lo que representa un riesgo significativo para los usuarios: un compromiso completo del sistema», o Peles, JFrog Vulnerability Investigation Leader. MCP-Remote es una herramienta que surgió después de la liberación de Anthrope del Protocolo de contexto del modelo (MCP), un marco de código abierto que estandariza la forma en que las aplicaciones del Modelo de lenguaje grande (LLM) integran y comparten datos con fuentes y servicios de datos externas. Actúa como un proxy local, lo que permite a los clientes de MCP como Claude Desktop comunicarse con servidores MCP remotos, en lugar de ejecutarlos localmente en la misma máquina que la aplicación LLM. El paquete NPM se ha descargado más de 437,000 veces hasta la fecha. La vulnerabilidad afecta las versiones remotas de MCP de 0.0.5 a 0.1.15. Se ha abordado en la versión 0.1.16 lanzado el 17 de junio de 2025. Cualquiera que use MCP-Remote que se conecta a un servidor MCP no confiable o inseguro que usa una versión afectada está en riesgo. «Si bien la investigación publicada anteriormente ha demostrado riesgos de los clientes de MCP que se conectan con los servidores MCP maliciosos, esta es la primera vez que se logra la ejecución de código remoto completo en un escenario del mundo real en el sistema operativo del cliente cuando se conecta a un servidor MCP remoto no confiable», dijo Peles. La deficiencia tiene que ver con cómo un servidor MCP malicioso operado por un actor de amenaza podría incorporar un comando durante la fase de establecimiento y autorización de comunicación inicial, que, cuando se procesa por MCP-Remote, hace que se ejecute en el sistema operativo subyacente. Mientras que el problema conduce a la ejecución arbitraria del comando del sistema operativo en Windows con control de parámetros completo, da como resultado la ejecución de ejecutables arbitrarios con control de parámetros limitado en los sistemas MACOS y Linux. Para mitigar el riesgo planteado por la falla, se aconseja a los usuarios que actualicen la biblioteca a la última versión y solo se conecten a servidores MCP de confianza a través de HTTPS. «Si bien los servidores MCP remotos son herramientas altamente efectivas para expandir las capacidades de IA en entornos administrados, facilitar la rápida iteración de código y ayudar a garantizar una entrega más confiable de software, los usuarios de MCP deben tener en cuenta solo conectarse a servidores MCP confiables utilizando métodos de conexión seguros como HTTPS», dijo Peles. «De lo contrario, es probable que vulnerabilidades como CVE-2025-6514 secuestren a los clientes de MCP en el ecosistema de MCP cada vez mayor». La divulgación se produce después de que Oligo Security detalló una vulnerabilidad crítica en la herramienta MCP Inspector (CVE-2025-49596, puntaje CVSS: 9.4) que podría allanar el camino para la ejecución de código remoto. A principios de este mes, otros dos defectos de seguridad de alta severidad se descubrieron en el servidor MCP del sistema de archivos de Anthrope, que, si se explotan con éxito, podrían permitir que los atacantes salgan de la caja de arena del servidor, manipulen cualquier archivo en el host y logren la ejecución del código. The two flaws, per Cymulate, are listed below – CVE-2025-53110 (CVSS score: 7.3) – A directory containment bypass that makes it possible to access, read, or write outside of the approved directory (eg, «/private/tmp/allowed_dir») by using the allowed directory prefix on other directories (eg, «/private/tmp/allow_dir_sensitive_credentials»), thereby opening the door data theft and possible privilege escalation CVE-2025-53109 (CVSS score: 8.4) – A symbolic link (aka symlink) bypass stemming from poor error handling that can be used to point to any file on the file system from within the allowed directory, allowing an attacker to read or alter critical files (por ejemplo, «/etc/sudoers») o soltar código malicioso, lo que resulta en la ejecución del código mediante el uso de agentes de lanzamiento, trabajos cron u otras técnicas de persistencia ambas deficiencias afectan todas las versiones del servidor MCP del sistema de archivos antes de 0.6.3 y 2025.7.1, que incluyen las soluciones relevantes. «Esta vulnerabilidad es una violación grave del modelo de seguridad de los servidores MCP del sistema de archivos», dijo el investigador de seguridad Elad Beber sobre CVE-2025-53110. «Los atacantes pueden obtener acceso no autorizado al listar, leer o escribir en directorios fuera del alcance permitido, lo que puede exponer archivos confidenciales como credenciales o configuraciones». «Peor aún, en las configuraciones donde el servidor se ejecuta como un usuario privilegiado, este defecto podría conducir a una escalada de privilegios, permitiendo a los atacantes manipular archivos críticos del sistema y obtener un control más profundo sobre el sistema de host». ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Se ha revelado una falla de seguridad de alta severidad en la plataforma de ServiceNow que, si se explotan con éxito, podría dar lugar a la exposición y exfiltración de datos. La vulnerabilidad, rastreada como CVE-2025-3648 (puntaje CVSS: 8.2), se ha descrito como un caso de inferencia de datos en la plataforma ahora a través de reglas de la lista de control de acceso condicional (ACL). Ha sido llamado Codennam Count (ER) Strike. «Se ha identificado una vulnerabilidad en la plataforma ahora que podría resultar en que los datos se infieran sin autorización», dijo ServiceNow en un boletín. «Bajo ciertas configuraciones de la Lista de control de acceso condicional (ACL), esta vulnerabilidad podría permitir a los usuarios no autenticados y autenticados para usar solicitudes de consulta de rango para inferir datos de instancias que no se pretende ser accesibles para ellos». La compañía de ciberseguridad Varonis, que descubrió e informó la falla en febrero de 2024, dijo que los actores maliciosos podrían haber explotado para obtener acceso no autorizado a información confidencial, incluida la información de identificación personal (PII) y las credenciales. En esencia, la deficiencia impacta el elemento UI de recuento de registros en las páginas de la lista, que podrían abusar trivialmente para inferir y exponer datos confidenciales de varias tablas dentro de ServiceNow. «Esta vulnerabilidad podría haber afectado potencialmente a todas las instancias de ServiceNow, afectando a cientos de tablas», dijo el investigador de Varonis Neta Armon en un análisis del miércoles. «Lo más preocupante, esta vulnerabilidad fue relativamente simple de explotar y solo requería un acceso mínimo de tabla, como una cuenta de usuario débil dentro de la instancia o incluso un usuario anónimo autorregistrado, lo que podría evitar la necesidad de elevación de privilegios y provocar una exposición de datos confidenciales». Específicamente, la compañía descubrió que el acceso a las tablas ServiceNow, aunque se rige por las configuraciones de ACL, podría usarse para obtener información, incluso en escenarios en los que se niega el acceso debido a una «condición de datos» fallida o «condición de script», lo que permite proporcionar acceso condicionalmente basado en una evaluación de ciertos criterios relacionados con datos o lógica personalizada. En estos casos, los usuarios se muestran un mensaje, indicando «número de filas eliminadas de esta lista por restricciones de seguridad» junto con el recuento. Sin embargo, cuando el acceso a un recurso se bloquea debido a «roles requeridos» o «condición de atributo de seguridad», los usuarios se muestran una página en blanco con el mensaje «Las restricciones de seguridad impiden el acceso a la página solicitada». Vale la pena mencionar que las cuatro condiciones de ACL se evalúan en un orden particular, comenzando con roles, seguidos de atributos de seguridad, condición de datos y, por último, condición de script. Para que un usuario obtenga acceso a un recurso, todas estas condiciones deben estar satisfechas. Cualquier condición que quede vacía se considera que no tiene ningún tipo de restricción. El hecho de que las respuestas sean diferentes en función de las cuatro condiciones de ACL abre una nueva vía de ataque que un actor de amenaza puede explotar para determinar qué condiciones de acceso no están satisfechas, y luego consultar repetidamente la tabla de la base de datos para enumerar la información deseada utilizando una combinación de parámetros de consulta y filtros. Las tablas protegidas solo por una condición de datos o script son susceptibles al ataque de inferencia. «Cualquier usuario en una instancia puede explotar esta vulnerabilidad, incluso aquellos con privilegios mínimos y sin roles asignados, siempre que tengan acceso a al menos una mesa mal configurada», dijo Armon. «Esta vulnerabilidad se aplica a cualquier tabla en la instancia con al menos una regla de ACL donde las dos primeras condiciones se dejan vacías o son demasiado permisivas, una situación común». Para empeorar las cosas, un actor de amenaza podría expandir el radio de explosión del defecto utilizando técnicas como caminar de puntos y autorregistro para acceder a datos adicionales de tablas referenciadas, crear cuentas y obtener acceso a una instancia sin requerir la aprobación previa de un administrador. ServiceNow, en respuesta a los hallazgos, ha introducido nuevos mecanismos de seguridad, como ACL de consulta, filtros de datos de seguridad y ACL a menos de Degley, para contrarrestar el riesgo que plantea el ataque de consulta a ciegas de inferencia de datos. Si bien no hay evidencia de que el problema haya sido explotado en la naturaleza, se insta a todos los clientes de ServiceNow a aplicar las barandillas necesarias en las tablas sensibles. «Los clientes de ServiceNow también deben tener en cuenta que las ACL de consulta de consultas pronto se establecerán para negar predeterminada, por lo que deben crear exclusiones para mantener la capacidad autorizada del usuario para realizar tales acciones», dijo Armon. DLL secuestro de fallas en el software del menú rápido de TrackPoint de Lenovo El desarrollo se produce cuando TrustedSec detalló una falla de escalada de privilegios (CVE-2025-1729) en el software de menú rápido de TrackPoint («TPQMassistant.exe») presente en los computadores de Lenovo que podrían permitir que un atacante local se vaya a los privilegios de atacantes a medidas por medios de una vulnerabilidad de Dll. El defecto se ha abordado en la versión 1.12.54.0 lanzado el 8 de julio de 2025, luego de la divulgación responsable a principios de enero. «El directorio Housing ‘tpqMassistant.exe’ es escritura por usuarios estándar, que ya es una bandera roja», dijo el investigador de seguridad Oddvar Moe. «El permiso de la carpeta permite al propietario del creador escribir archivos, lo que significa que cualquier usuario local puede soltar archivos en esta ubicación». «Cuando se activa la tarea programada (o el binario en sí), intenta cargar ‘hostfxr.dll’ desde su directorio de trabajo pero falla, lo que resulta en un evento no encontrado. Como resultado, un atacante puede colocar una versión maliciosa de ‘hostfxr.dll’ en el directorio «C: \ ProgramDatallenovoltpqm \ Assistant» para secuestrar el flujo de control cuando se lanza el binario, lo que resulta en la ejecución de código arbitrario. Microsoft se dirige a Kerberos Dos Erring Los hallazgos también siguen la divulgación pública de una falla de lectura fuera de los límites en el protocolo de Netlogon de Windows Kerberos (CVE-2025-47978, puntaje CVSS: 6.5) que podría permitir que un atacante autorizado denegue el servicio a través de una red. Microsoft abordó la vulnerabilidad como parte de sus actualizaciones del martes de parche para julio de 2025. Silverfort, que ha asignado el nombre de NotLogon a CVE-2025-47978, dijo que permite cualquier «máquina de dominio con privilegios mínimos para enviar una solicitud de autenticación especializada que se bloquee que se bloqueará que será un controlador de dominio y causará un reBoot Full». «Esta vulnerabilidad no requiere privilegios elevados: solo se necesitan acceso estándar de la red y se necesita una cuenta de máquina débil. En entornos empresariales típicos, cualquier usuario privilegiado puede crear tales cuentas por defecto», dijo el investigador de seguridad DOR Segal. La compañía de ciberseguridad también señaló que el bloqueo afectó principalmente al Servicio del Subsistema de la Autoridad de Seguridad Local (LSASS), un proceso de seguridad crítico en Windows responsable de hacer cumplir las políticas de seguridad y manejar la autenticación de los usuarios. Por lo tanto, la explotación exitosa de CVE-2025-47978 podría desestabilizar o interrumpir los servicios de Active Directory. «Con solo una cuenta de máquina válida y un mensaje RPC diseñado, un atacante puede bloquear de forma remota un controlador de dominio, un sistema responsable de las funcionalidades centrales de Active Directory, incluida la autenticación, la autorización, la aplicación de políticas grupales y la emisión de boletos de servicio», dijo Segal. ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

JUL 09, 2025RAVIE LAKSHMANANDYBER AMENAZA / MALware El corredor de acceso inicial (IAB) conocido como melodía de oro se ha atribuido a una campaña que explota las claves de la máquina ASP.NET para obtener el acceso no autorizado a las organizaciones y pedir que el acceso a otros actores de amenazas. La actividad está siendo rastreada por la Unidad de Palo Alto Networks 42 bajo el apodo TGR-CRI-0045, donde «TGR» significa «Grupo temporal» y «CRI» se refiere a la motivación criminal. El grupo de piratería también se conoce como Profet Spider y UNC961, con una de sus herramientas también utilizadas por un corredor de acceso inicial llamado Tymaker. «El grupo parece seguir un enfoque oportunista, pero ha atacado a las organizaciones en Europa y los Estados Unidos en las siguientes industrias: servicios financieros, fabricación, mayorista y minorista, alta tecnología y transporte y logística», dijeron los investigadores Tom Marsden y Chica García. El abuso de las claves de la máquina ASP.NET en la naturaleza fue documentado por primera vez por Microsoft en febrero de 2025, y la compañía señaló que había identificado más de 3.000 de tales claves divulgadas públicamente que podrían ser armadas para ataques de inyección de código ViewState, lo que ha llevado a la ejecución de código arbitraria. El primer signo de estos ataques fue detectado por el fabricante de Windows en diciembre de 2024, cuando un adversario desconocido aprovechó una clave de máquina ASP.NET estática disponible públicamente para inyectar código malicioso y entregar el marco de Godzilla después de la explotación. El análisis de la Unidad 42 muestra que el TGR-CRI-0045 está siguiendo un modus operandi similar, empleando las claves filtradas para firmar cargas útiles maliciosas que proporcionan acceso no autorizado a los servidores específicos, una técnica conocida como ASP.NET ViewState Deserialización. «Esta técnica permitió que la IAB ejecute cargas útiles maliciosas directamente en la memoria del servidor, minimizando su presencia en disco y dejando pocos artefactos forenses, haciendo que la detección sea más desafiante», dijo la compañía de seguridad cibernética, y agregó evidencia de explotación de la explotación más temprana en octubre de 2024. Los incrementos tradicionales de la red del sistema de shell tradicional o el sistema de archivo basado en el archivo de los archivos de los archivos. Las organizaciones que dependen únicamente del monitoreo de la integridad de archivos o las firmas de antivirus pueden perder por completo la intrusión, lo que hace que sea crítico implementar detecciones de comportamiento basadas en patrones de solicitud de IIS anómalo, procesos infantiles generados por W3WP.EXE o cambios repentinos en el comportamiento de la aplicación .NET. Se dice que se detectó un aumento significativo en la actividad entre finales de enero y marzo de 2025, durante el cual los ataques condujeron a la implementación de herramientas posteriores a la explotación, como escáneres de puertos de código abierto y programas de C# a medida como UPDF para la escalada de privilegios locales. En al menos dos incidentes observados por la Unidad 42, los ataques se caracterizan por la ejecución del shell de comandos que se originan en servidores web de Servicios de Información de Internet (IIS). Otro aspecto notable es el uso probable de un generador de carga útil .NET de código abierto llamado ysoserial.net y el complemento ViewState para construir las cargas útiles. Estas cargas útiles omiten las protecciones de ViewState y activan la ejecución de un ensamblaje de .NET en la memoria. Five different IIS modules have been identified as loaded into memory so far – Cmd /c, which is used to passing a command to be executed to the system’s command shell and execute arbitrary instructions on the server File upload, which allows for uploading files to the server by specifying a target file path and a byte buffer containing the file’s contents Winner, which is likely a check for successful exploitation File download (not recovered), which appears to be a downloader that allows an atacante para recuperar datos confidenciales del cargador reflectante del servidor comprometido (no recuperado), que aparentemente actúa como un cargador reflexivo para cargar dinámicamente y ejecutar ensamblajes de .NET adicionales en la memoria sin dejar un rastro «entre octubre de 2024 y enero de 2025, la actividad de la amenaza del actor de la amenaza se centra principalmente en sistemas explotadores, desplegando modules, como el comprobador de explosión de exposición, y realiza el rendimiento básico del shell, la unidad de reconfanación de un shell. «La actividad posterior a la explotación ha involucrado principalmente el reconocimiento del huésped comprometido y la red circundante». Algunas de las otras herramientas descargadas en los sistemas incluyen un binario ELF nombrado ATM de un servidor externo («195.123.240[.]233: 443 «) y un escáner de puerto de Golang llamado TXPortMap para mapear la red interna e identificar posibles objetivos de explotación.» TGR-CRI-0045 utiliza un enfoque simplista para ver la explotación del Estado, cargando un único ensamblaje de apácrono directamente «, los investigadores observaron». Cada ejecución de comando «requiere una re-explotación de re-explotación y la reubicación del ensamblaje (EG, por ejemplo, el ensamblaje de los archivos múltiples,» los investigadores «.» Cada ejecución de comandos «requiere la ejecución de comandos», requerir la re-explotación y volver a completar el ensamblaje (EG, el ensamblaje de los archivos múltiples, «los investigadores». ASP.NET Ver vulnerabilidades de deserialización del estado a través de claves de la máquina expuesta permite una presencia mínima en disco y permite un acceso a largo plazo. La orientación oportunista y el desarrollo continuo de la herramienta del grupo destacan la necesidad de que las organizaciones prioricen la identificación y remediar las claves de la máquina comprometidas. «Esta campaña también destaca una categoría más amplia de las amenazas de exposición de la clave criptográfica, incluidas las políticas de generación de máquinas débiles, los riesgos de la generación de máquinas débiles, la validación de MAC faltante y los incumplimientos de inseguridad en el punto de medición más antiguo. Las organizaciones crean estrategias de protección de identidad y APPSEC más resistentes.

En otra instancia de los actores de amenaza que reutilizan las herramientas legítimas para fines maliciosos, se ha descubierto que los piratas informáticos están explotando una popular herramienta de equipo rojo llamada Shellter para distribuir el malware del Stealer. La compañía detrás del software dijo que una compañía que había comprado recientemente las licencias de Shellter Elite filtró su copia, lo que llevó a los actores maliciosos a armarse la herramienta para las campañas de InfoTealer. Desde entonces, se ha lanzado una actualización para conectar el problema. «A pesar de nuestro riguroso proceso de investigación, que ha impedido con éxito tales incidentes desde el lanzamiento de Shellter Pro Plus en febrero de 2023, ahora nos encontramos abordando esta desafortunada situación», dijo el equipo del Proyecto Shellter en un comunicado. La respuesta se produce poco después de que elastic Security Labs publicara un informe sobre cómo el marco de evasión comercial está siendo abusado en la naturaleza desde abril de 2025 para propagar Lumma Stealer, Rhadamanthys Stealer y Sectoprat (también conocido como ArechClient2). Shellter es una herramienta potente que permite a los equipos de seguridad ofensivos omitir el software antivirus y detección y respuesta de punto final (EDR) instalado en puntos finales. Elastic dijo que identificó múltiples campañas de Infente de Infente de Motivado Financieramente que usa Shellter para empaquetar las cargas útiles a fines de abril de 2025, con la actividad aprovechando a Shellter Elite versión 11.0 lanzado el 16 de abril de 2025. «Las muestras protegidas de Shellter comúnmente emplean Shellcode auto modificador con la obfuscación polimórfica a sí mismos dentro de los programas legítimos», dijo la compañía. «Esta combinación de instrucciones legítimas y código polimórfico ayuda a estos archivos a evadir la detección y las firmas estáticas, lo que les permite permanecer sin ser detectados». Se cree que algunas de las campañas, incluidas las que entregan sectoprat y robador de Rhadamanthys, adoptaron la herramienta después de que la versión 11 saliera a la venta en un popular foro de delitos cibernéticos a mediados de mayo, utilizando señuelos relacionados con oportunidades de patrocinio dirigidas a creadores de contenido, así como a través de videos de YouTube que reclaman a ofrecer modificaciones gaming como Fortnite trampa. Se dice que las cadenas de ataque de Lumma Staaler que aprovechan a Shellter, por otro lado, se diseminó a través de cargas útiles alojadas en Mediafire a fines de abril de 2025. Con versiones agrietadas de Cobalt Strike y Brute Ratel C4 anteriormente encontrando su camino hacia las manos de los ciberdriminales y los actores de estado nacional, no sería una sorpresa una sorpresa si Shellter siga un seguimiento similar. «A pesar de los mejores esfuerzos de la comunidad comercial de OST para retener sus herramientas para fines legítimos, los métodos de mitigación son imperfectos», dijo Elastic. «Aunque el proyecto Shellter es una víctima en este caso a través de la pérdida de propiedad intelectual y el tiempo de desarrollo futuro, otros participantes en el espacio de seguridad ahora deben lidiar con amenazas reales que manejan herramientas más capaces». Sin embargo, el proyecto Shellter criticó a Elastic por «priorizar la publicidad sobre la seguridad pública» y por actuar de una manera que dijo que era «imprudente y poco profesional» al no notificarles rápidamente. En una declaración compartida con The Hacker News, Elastic Security Labs dijo que se dio cuenta de la actividad potencialmente sospechosa el 18 de junio de 2025 y que está comprometido con «transparencia, investigación responsable y apertura». Toda la declaración de la compañía está a continuación: nuestra publicación de investigación, que describe varias amenazas motivadas financieramente y el marco comercial de evasión AV/EDR (Shellter), se realizó en línea con nuestro compromiso con la transparencia, la divulgación responsable y una mentalidad de defensor primero. El equipo de Elastic Security Labs se dio cuenta de la actividad potencialmente sospechosa el 18 de junio de 2025, y rápidamente comenzó a investigar los comportamientos que identificamos como actividades maliciosas previamente no detectadas utilizando información y telemetría públicamente disponibles voluntariamente por nuestros usuarios. Después de nuestra investigación inicial y después de un análisis riguroso, determinamos que la herramienta pública disponible, Shellter, se estaba utilizando para fines de evasión. Nuestros hallazgos fueron publicados dentro de las dos semanas de esta determinación. Publicamos nuestros hallazgos directa y transparentemente para informar a los defensores lo más rápido posible, al igual que el estándar de la industria y parte del trabajo para nuestros clientes y usuarios. Nuestra prioridad es informar a la comunidad de seguridad de manera rápida y precisa sobre nuestra investigación. Creemos que el interés público se sirve mejor revelando la investigación lo más rápido posible, una vez que se ha concluido un análisis exhaustivo, para ayudar a los defensores a responder a las amenazas emergentes, incluidas las técnicas utilizadas para evitar los controles de seguridad. Elastic Security Labs está compuesto por investigadores de malware, científicos de datos, ingenieros de seguridad ofensivos y analistas de inteligencia que han descubierto docenas de amenazas novedosas y Tradecraft adversario. Nuestro trabajo ayuda constantemente a las organizaciones a mantenerse a la vanguardia de las amenazas emergentes, y seguimos comprometidos con operar con profesionalismo, integridad y una mentalidad de defensor primero. (La historia se actualizó después de la publicación para incluir una respuesta de Elastic Security Labs.) ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Desde roles de administración demasiado privilegiados hasta tokens de proveedores olvidados desde hace mucho tiempo, estos atacantes se están deslizando a través de las grietas de la confianza y el acceso. Así es como se desarrollaron cinco infracciones minoristas, y lo que revelan … En los últimos meses, los principales minoristas como Adidas, The North Face, Dior, Victoria’s Secret, Cartier, Marks & Spencer y Co -Op han sido violados. Estos ataques no fueron malware sofisticado o exploits de día cero. Estaban impulsados ​​por la identidad, explotando el acceso demasiado privilegiado y las cuentas de servicio no supervisadas, y utilizaron la capa humana a través de tácticas como la ingeniería social. Los atacantes no necesitaban entrar. Se iniciaron sesión. Se movieron a través de aplicaciones SaaS inadvertidas, a menudo usando credenciales reales y sesiones legítimas. Y aunque la mayoría de los minoristas no compartían todos los detalles técnicos, los patrones son claros y recurrentes. Aquí hay un desglose de las cinco infracciones recientes de alto perfil en el comercio minorista: 1. Adidas: Explotación de confianza de terceros Adidas confirmó una violación de datos causada por un ataque a un proveedor de servicio al cliente de un tercero. La compañía dijo que los datos del cliente estaban expuestos, incluidos nombres, direcciones de correo electrónico y detalles del pedido. Sin malware. No hay violación de su lado. Solo el radio de explosión de un proveedor en el que confiaban. Cómo se desarrollan estos ataques en las identidades de SaaS: los tokens SaaS y las cuentas de servicio otorgadas a los proveedores a menudo no requieren MFA, no caducan y vuelan bajo el radar. Una vez que el acceso ya no es necesario pero nunca se revoca, se convierten en puntos de entrada silenciosos, perfectos para los compromisos de la cadena de suministro que asignan tácticas como T1195.002, dando a los atacantes una forma sin activar las alarmas. Takeaway de seguridad: no solo estás asegurando a tus usuarios. Estás asegurando el acceso que los proveedores también dejan atrás. Las integraciones de SaaS se quedan más tiempo que los contratos reales, y los atacantes saben exactamente dónde mirar. 2. La cara norte: desde la reutilización de la contraseña hasta el abuso de privilegios, el North Face confirmó un ataque de relleno de credencial (MITER T1110.004) donde los actores de amenaza usaban credenciales filtradas (nombres de usuario y contraseñas) para acceder a las cuentas de los clientes. Sin malware, sin phishing, solo higiene de identidad débil y sin MFA. Una vez dentro, exfiltraron los datos personales, exponiendo una brecha importante en los controles de identidad básicos. Cómo se desarrollan estos ataques en las identidades de SaaS: los inicios de sesión de SaaS sin MFA todavía están en todas partes. Una vez que los atacantes obtienen credenciales válidas, pueden acceder a cuentas directa y en silencio, sin necesidad de activar protecciones de punto final ni alertas de elevación. Takeaway de seguridad: el relleno de credenciales no es nada nuevo. Fue la cuarta violación basada en credenciales para North Face desde 2020. Cada uno es un recordatorio de que la reutilización de contraseña sin MFA es una puerta abierta. Y aunque muchas organizaciones aplican MFA para empleados, cuentas de servicio y roles privilegiados, muchas veces no se protegen. Los atacantes lo saben, y van donde están los huecos. ¿Quieres profundizar? Descargue la ‘Guía de seguridad de identidad SaaS’ para aprender a asegurar de manera proactiva cada identidad, humana o no humana, en su pila SaaS. 3. M & S & Co-OP: Según los informes, el incumplido de los minoristas de Ladered Trust UK Marks & Spencer y Co-op fueron atacados por el grupo de amenazas dispersado, conocido por los ataques basados ​​en la identidad. Según los informes, utilizaron el intercambio de SIM y la ingeniería social para hacerse pasar por los empleados y engañar a los escritorios para restablecer las contraseñas y el MFA, sin pasar por alto el MFA, todo sin malware o phishing. Cómo se desarrollan estos ataques en las identidades de SaaS: una vez que los atacantes evitan el MFA, se dirigen a roles SaaS sobrevivilegiados o cuentas de servicio latentes para moverse lateralmente dentro de los sistemas de la organización, cosechar datos confidenciales o interrumpir operaciones en el camino. Sus acciones se combinan con el comportamiento legítimo del usuario (T1078), y con los reinicios de contraseña impulsados ​​por la suplantación de la mesa de ayuda (T1556.003), en silencio obtienen persistencia y control sin generar ninguna alarma. Takeaway de seguridad: hay una razón por la cual se están extendiendo los ataques de identidad primero. Explotan lo que ya tiene confianza, y a menudo no dejan una huella de malware. Para reducir el riesgo, rastrear el comportamiento de identidad SaaS, incluida la actividad humana y no humana, y limite los privilegios de la mesa de ayuda a través de políticas de aislamiento y escalada. La capacitación específica para el personal de apoyo también puede bloquear la ingeniería social antes de que suceda. 4. Victoria’s Secret: cuando los administradores de SaaS se vuelven sin control, Victoria’s Secret retrasó su liberación de ganancias después de que un incidente cibernético interrumpió tanto el comercio electrónico como los sistemas en la tienda. Si bien se revelaron pocos detalles, el impacto se alinea con los escenarios que involucran una interrupción interna a través de sistemas SaaS que administran las operaciones minoristas, como el inventario, el procesamiento de pedidos o las herramientas de análisis. Cómo se desarrollan estos ataques en las identidades de SaaS: el riesgo real no solo se comprometió a las credenciales comprometidas. Es el poder no controlado de los roles SaaS sobreprivilizados. Cuando un administrador mal configurado o un token obsoleto es secuestrado (T1078.004), los atacantes no necesitan malware. Pueden interrumpir las operaciones centrales, desde la gestión de inventario hasta el procesamiento de pedidos, todo dentro de la capa SaaS. Sin puntos finales. Solo destrucción (T1485) a escala. Takeaway de seguridad: los roles SaaS son poderosos y a menudo olvidados. Una sola identidad sobrevivilizada con acceso a aplicaciones comerciales críticas puede desencadenar el caos, por lo que es crucial aplicar controles de acceso estrictos y monitoreo continuo a estas identidades de alto impacto antes de que sea demasiado tarde. 5. Cartier & Dior: El costo oculto de la atención al cliente Cartier y Dior revelaron que los atacantes accedieron a la información del cliente a través de plataformas de terceros utilizadas para CRM o funciones de servicio al cliente. Estos no eran hacks de infraestructura; Eran violaciones a través de plataformas destinadas a ayudar a los clientes, no exponerlos. Cómo se desarrollan estos ataques en las identidades de SaaS: las plataformas de atención al cliente a menudo se basan en SaaS, con tokens persistentes y claves API que las conectan silenciosamente a los sistemas internos. Estas identidades no humanas (T1550.003) rara vez giran, a menudo escapan de IAM centralizado y se convierten en victorias fáciles para los atacantes que se dirigen a los datos de los clientes a escala. Takeaway de seguridad: si sus plataformas SaaS tocan los datos del cliente, son parte de su superficie de ataque. Y si no está rastreando cómo las identidades de la máquina acceden a ellas, no está protegiendo las líneas delanteras. Pensamiento final: sus identidades SaaS no son invisibles. No están supervisados. Sus identidades SaaS no son invisibles; No están supervisados. Estas violaciones no necesitaban exploits elegantes. Solo necesitaban una confianza fuera de lugar, una credencial reutilizada, una integración sin control o una cuenta que nadie revisó. Si bien los equipos de seguridad han bloqueado los puntos finales y los inicios de sesión de SaaS endurecidos, las brechas reales se encuentran en esos roles SaaS ocultos, tokens latentes y pasadas por alto anuladas. Si estos todavía están volando debajo del radar, la violación ya tiene una ventaja. Wing Security fue construido para esto. La plataforma de múltiples capas de Wing protege continuamente su pila SaaS, descubriendo puntos ciegos, endureciendo las configuraciones y detectando amenazas de identidad SaaS antes de que se intensifiquen. Es una fuente de verdad que conecta los puntos a través de aplicaciones, identidades y riesgos, por lo que puede atravesar el ruido y detener las violaciones antes de que comiencen. 👉 Obtenga una demostración de seguridad del ala para ver lo que se esconde en su capa de identidad SaaS. ¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.