1. Principales Vulnerabilidades y Filtraciones de la semana

2. Exploits para pre-auth Fortinet FortiWeb RCE

3. Métodos de ataque emergentes según el informe de Trellix

4. Balance de ciberataques de la semana

Principales Vulnerabilidades y Filtraciones de la semana

💥El plugin de WordPress Gravity Forms hackeado para impulsar backdoors (Noticia)

La empresa de seguridad de WordPress PatchStack dice haber recibido un informe hoy mismo sobre solicitudes sospechosas generadas por plugins descargados del sitio web de Gravity Forms.

💥La contraseña “123456” expuso información de 64 millones de solicitantes de empleo de McDonald's (Noticia)

Investigadores de ciberseguridad descubrieron una vulnerabilidad en McHire, la plataforma de solicitud de empleo chatbot de McDonald's, que expuso la información personal de más de 64 millones de solicitantes de empleo en todo Estados Unidos.

💥Las vulnerabilidades de Bluetooth de PerfektBlue exponen a millones de vehículos a la ejecución remota de código (Noticia)

Investigadores de ciberseguridad han descubierto un conjunto de cuatro fallos de seguridad en la pila Bluetooth BlueSDK de OpenSynergy que, si se aprovechan, podrían permitir la ejecución remota de código en millones de vehículos de transporte de distintos fabricantes.

💥Actualizaciones de seguridad de Microsoft en julio para todas las empresas (Noticia)

El parche incluye actualizaciones de seguridad para 137 defectos, incluida una vulnerabilidad de día cero divulgada públicamente en Microsoft SQL Server. Se corrigen catorce vulnerabilidades "críticas", diez de las cuales son vulnerabilidades de ejecución de código remoto, una es una divulgación de información y dos son fallas de ataque de canales laterales AMD.

💥Posible filtración de datos de clientes de CaixaBank (Noticia)

Un foro de de ciberseguridad chino, un actor de amenazas afirma haber puesto a la venta una base de datos que contiene la información de 800.000 clientes de CaixaBank, incluidos números de teléfono, nombres completos, direcciones de correo electrónico, direcciones IP, fechas de nacimiento y marcas de tiempo de transacciones (la más reciente del 6 de julio de 2025).

Exploits para pre-auth Fortinet FortiWeb RCE fallo publicado (ACTUALIZA YA!)

Es muy preocupante la situación de Fortinet, tenemos vulnerabilidades críticas que afectan a diferentes componentes constantemente. Prácticamente vamos a una por semana.

Se revela esta semana una vulnerabilidad crítica en FortiWeb, el cortafuegos de aplicaciones web de Fortinet, asignada como CVE-2025‑25257, con una puntuación de severidad de 9.6–9.8/10 .

Esta falla permite a un atacante no autenticado ejecutar comandos SQL arbitrarios mediante una inyección en la cabecera HTTP Authorization (Bearer token), aprovechando la función get_fabric_user_by_token() del componente Fabric Connector de FortiWeb.

La explotación técnica, descrita por WatchTowr Labs y el investigador "faulty ptrrr", demuestra que mediante un payload diseñado en el token es posible obtener shell inversa o acceso a web shell, y escalar incluso a ejecución remota de código (RCE) usando la instrucción SQL INTO OUTFILE, ya que FortiWeb ejecuta consultas como usuario mysql con privilegios suficientes para escribir archivos en el sistema operativo. Los endpoints vulnerables incluyen /api/fabric/device/status y otros relacionados al Fabric Connector, y afectan las versiones FortiWeb 7.6.0–7.6.3, 7.4.0–7.4.7, 7.2.0–7.2.10 y 7.0.0–7.0.10.

Fortinet ha publicado parches la semana del 9–11 de julio de 2025, recomendando actualizar a las versiones FortiWeb 7.6.4, 7.4.8, 7.2.11 o 7.0.11 y superiores. Como mitigación temporal, se sugiere desactivar la interfaz administrativa HTTP/HTTPS si no es posible parchear inmediatamente. Las organizaciones que utilizan FortiWeb deben actuar con urgencia ante esta vulnerabilidad crítica, dado que no requiere autenticación y la existencia de exploits públicos la convierte en un blanco sencillo para actores maliciosos.

Noticia THN | Noticia BC | Fortinet

Métodos de ataque emergentes según el informe de Trellix

Trellix acaba de liberar un reporte sobre nuevas metodologías de ataque, desglosamos las lineas principales del informe. Crece el phishing, los password sprays y los info‑stealers
Entre octubre 2024 y marzo 2025, Trellix detectó un fuerte aumento de ataques por phishing disfrazado de PDF, password sprays (hasta +399 % contra VPN Cisco), e infostealers para robo de datos. Aconsejan reforzar MFA, formación continua sobre phishing y uso de plataformas XDR con inteligencia de amenazas operativa.

1. Phishing: primero en la cadena de acceso

• El phishing sigue siendo el vector de acceso inicial más utilizado, incluso por delante de los exploits.

• Se detectó un pico en ataques de phishing durante diciembre y enero, especialmente campañas que distribuían malware disfrazado de PDF usando instaladores MSI vinculados al grupo Leonem.

• La formación continua y la simulación de phishing para empleados es clave como medida defensiva .

2. Password Sprays: fuerza bruta distribuida y eficiente

• Los ataques de password spray contra VPN Cisco ASA incrementaron un 399 % en el primer trimestre de 2025 en comparación con el trimestre anterior. En cambio, los dirigidos a Microsoft 365 aumentaron en un 21 % y los de Okta disminuyeron significativamente.

• Este tipo de ataque aprovecha cuentas con contraseñas débiles, especialmente cuando no se aplica una detección adecuada o MFA en todos los sistemas .

• Los sectores más atacados incluyen salud, energía, seguros, retail y educación; los principales países objetivo: EE.UU., Canadá, Brasil, Australia y Argentina.

3. Info‑stealers: robo silencioso de credenciales y datos

• Se observó un aumento significativo en el uso de info‑stealers, a pesar de operaciones policiales contra familias como Redline y Meta a finales de 2024.

• Estos programas maliciosos extraen credenciales y datos sensibles directamente desde los dispositivos, facilitando ataques posteriores como ransomware o suplantación de identidad.

Informe Trellix

Balance de ciberataques de la semana

⚠️ 264 ciberataques en 39 países ⚠️

➡️​El actor de amenazas más activo la semana pasada fue NoName057(16), responsable de 54 ciberataque

➡️​USA es el país más afectado con 50 ciberataques.

➡️​El sector gubernamental, militar y de defensa es el más afectado, con un 34% de los incidentes y 91 ciberataques.

➡️​Ciberataques críticos estimados en 36 (13% del total).

➡️​Los datos comprometidos ascienden aproximadamente a 42.7 TB.

Datos de los amigos de Hackmanac

Ver historial de Publicaciones