1 de septiembre

Author

Ramón Salado
1 de septiembre de 2025

  1. Principales Vulnerabilidades y Filtraciones de la semana

  2. Salt Typhoon aprovecha vulnerabilidades de Cisco, Ivanti y Palo Alto para comprometer 600 organizaciones en 80 países

  3. Contrarrestar a los actores patrocinados por el Estado chino que comprometen las redes en todo el mundo para alimentar el sistema de espionaje global

Recuerda, LOS MALOS NO DESCANSAN EN VERANO

Principales Vulnerabilidades y Filtraciones de la semana

💥CVE-2025-52970: Omisión de autenticación mediante un parámetro no válido en Fortinet FortiWeb (Noticia)

Un manejo inadecuado de los parámetros en FortiWeb puede permitir que un atacante remoto no autenticado que posea información no pública (relacionada tanto con el dispositivo como con el usuario objetivo) inicie sesión como cualquier usuario existente en el dispositivo mediante una solicitud especialmente diseñada.

💥CVE-2025-7775 (9.2): Vulnerabilidad de desbordamiento de memoria que conduce a la ejecución remota de código y/o denegación de servicio (Noticia)

Citrix ha corregido hoy tres fallos de NetScaler ADC y NetScaler Gateway, incluido un fallo crítico de ejecución remota de código identificado como CVE-2025-7775 que se explotaba activamente en ataques como vulnerabilidad de ZeroDay.

💥Una falla en el software Cisco UCS Manager permite a los atacantes inyectar comandos maliciosos (Noticia)

Cisco ha publicado actualizaciones de seguridad urgentes para corregir dos vulnerabilidades de inyección de comandos de gravedad media en su software UCS Manager que podrían permitir a los administradores autenticados ejecutar comandos arbitrarios y comprometer la integridad del sistema.

💥Hackeo paraliza al Ayuntamiento de Elche (Noticia)

Han conseguido sabotear el sistema informático del Ayuntamiento de Elche y bloqueado todos los trámites administrativos para sus 243.000 vecinos han exigido un rescate económico en una nota que ya está en manos de la Policía Nacional, que ha abierto una investigación en colaboración con la Europol.

Salt Typhoon aprovecha vulnerabilidades de Cisco, Ivanti y Palo Alto para comprometer 600 organizaciones en 80 países

Contexto y alcance

El grupo de amenaza avanzado (APT) Salt Typhoon, vinculado al gobierno chino, ha estado operando desde al menos 2019, con una presencia significativa desde 2021, según una alerta conjunta de agencias de seguridad internacionales.

El ataque ha afectado al menos 600 organizaciones en 80 países, incluyendo sectores críticos como telecomunicaciones, gobierno, transporte, alojamiento e infraestructura militar.

Vulnerabilidades explotadas

Salt Typhoon ha utilizado vulnerabilidades conocidas en equipos de red para obtener acceso inicial:

  • Cisco: CVE-2018-0171, CVE-2023-20198 y CVE-2023-20273.

  • Ivanti: CVE-2023-46805 y CVE-2024-21887.

  • Palo Alto Networks: CVE-2024-3400.

Estas vulnerabilidades afectan principalmente dispositivos de borde, como routers e interfaces de gestión, y son independientemente explotables, incluso si el dispositivo no es el objetivo final, pues pueden servir como punto de entrada hacia redes más privadas.

Mecanismos de persistencia y movimiento lateral

Tras comprometer un dispositivo, los atacantes configuran túneles GRE para mantener acceso persistente y facilitan la exfiltración.

Modifican listas de control de acceso (ACLs), abren puertos y utilizan un contenedor Linux dentro del dispositivo Cisco para ejecutar herramientas, procesar datos o moverse lateralmente por la red.

En dispositivos Cisco IOS XR, habilitan el servicio sshd_operns para crear usuarios locales con privilegios sudo, y acceder mediante TCP/57722 como root.

Recomendaciones técnicas (implícitas)

Se destaca la necesidad crítica de parchear infraestructuras obsoletas o vulnerables, muchas de las cuales siguen en línea pese a que sus fallos son públicos y corregibles.

Se recomienda aplicar controles como Zero Trust, revisiones periódicas de configuraciones de red, y monitoreo proactivo de dispositivos de borde.

Fuente THN

Contrarrestar a los actores patrocinados por el Estado chino que comprometen las redes en todo el mundo para alimentar el sistema de espionaje global

El pasado 27 de agosto se publicó una Alerta de Ciberseguridad Conjunta (CSA) elaborada por la NSA, CISA, FBI, DC3, CNI, así como centros de ciberseguridad de Australia, Canadá, Reino Unido, Nueva Zelanda, Alemania, Finlandia, Italia, Japón y España entre otros.

Objetivo y Alcance

Anunciado para contrarrestar actores de amenazas persistentes avanzadas (APT) de origen chino, quienes han estado comprometiendo redes globales desde infraestructuras de telecomunicaciones, hasta redes gubernamentales, transporte, alojamiento y militar.

Aunque se citan grupos como Salt Typhoon, Operator Panda, RedMike, UNC5807 y GhostEmperor.

Tácticas, Técnicas y Procedimientos (TTP)

Acceso inicial y expansión lateral

  • Explotación de vulnerabilidades conocidas, como CVE-2023-20198 (interfaz Web Services Management Agent de Cisco) usando técnicas como double encoding para evadir detección.

  • Explotación de CVE-2018-0171 en Cisco IOS / IOS XE.

  • Uso de infraestructuras intermediarias como VPS y routers comprometidos para pivotar y acceder a redes de interés.

  • Modificaciones en rutas y mirroring de tráfico (SPAN/RSPAN/ERSPAN) y creación de túneles GRE/IPsec para movimiento lateral y exfiltración.

Persistencia

  • Alteración de Listas de Control de Acceso (ACLs), típicamente nombradas “access-list 20” (o 10, 50), para permitir direcciones IP maliciosas.

  • Apertura de puertos estándar y no estándar (SSH, SFTP, RDP, HTTP, HTTPS) en puertos altos como 22x22, xxx22, o HTTP en 18xxx, facilitando acceso cifrado y evitando detección.

  • Ejecución de comandos vía SNMP, paneles web, uso de credenciales de sistemas como RANCID, y ejecución de scripts TCL como TCLproxy.tcl, map.tcl en dispositivos Cisco.

  • Ejecución de comandos dentro de un contenedor Linux embebido en equipos Cisco para procesar datos y moverse lateralmente.

  • Ocultación de IP origen mediante técnicas como proxy locale y registro como IP local, uso de múltiples canales C2 y túneles para mezcla en tráfico legítimo.

4. Recolección y Exfiltración

  • Captura de trazas de paquetes (PCAPs), potencialmente para protocolos como TACACS+, facilitando descifrado si se dispone de claves.

  • Uso de túneles IPsec y GRE para exfiltrar datos sin ser detectados, y empleo de proxies o pools NAT como capa de ocultamiento.

5. Recomendaciones y Mitigación

  • Se insta a los defensores a comprender completamente los accesos del actor antes de implementar respuestas visibles, para maximizar la expulsión completa de intrusos.

  • Se fomenta el hunter & threat hunting, el uso de indicadores de compromiso (IOCs) y mitigaciones efectivas.

  • Se destaca la colaboración público-privada y el reporte a agencias competentes para mejorar la respuesta colectiva.

Fuente Defense.gov

Nuestro ciberSOC monitoriza la seguridad sobre su infraestructura, detectando de manera temprana cualquier incidente crítico para su organización.

Nuestro equipo de RedTeam hace una evaluación de la seguridad, simulando un ciberataque externo, poniendo así a prueba a toda la organización.

Disponemos de una plataforma de formación y concienciación con material para que su organización sepa enfrentarse a las principales amenazas.