1. Principales Vulnerabilidades y Filtraciones de la semana

2. OAuth Device Code Phishing: el nuevo bypass silencioso contra Microsoft 365

3. Linux bajo ataque: QLNX y PamDOORa elevan el riesgo para desarrolladores y servidores SSH

💥Se ha revelada una vulnerabilidad crítica en el kernel de Linux, identificada como CVE-2026-46333 y apodada “ssh-keysign-pwn” (Noticia)

💥Fortinet ha informado sobre múltiples vulnerabilidades críticas en FortiAuthenticator y FortiSandbox (Noticia)

💥La actualización de Microsoft de mayo de 2026 corrige 120 fallos (Noticia)

💥SAP corrige las vulnerabilidades críticas en Commerce Cloud y S/4HANA (Noticia)

💥Explotan vulnerabilidad CVE-2026-42897 en Microsoft Exchange Server local (Noticia)

💥CISA incluye la vulnerabilidad CVE-2026-20182 de Cisco SD-WAN en su catálogo de vulnerabilidades explotadas (Noticia)

💥Vulnerabilidad crítica en la interfaz de usuario de Nginx, con puntuación CVSS de 9.8, explotada activamente (Noticia)

OAuth Device Code Phishing: el nuevo bypass silencioso contra Microsoft 365

Los atacantes están explotando una funcionalidad legítima de Microsoft conocida como OAuth Device Code Flow para secuestrar cuentas corporativas sin necesidad de robar contraseñas. La técnica, cada vez más utilizada por grupos criminales y actores estatales, permite obtener tokens válidos de acceso incluso cuando las víctimas utilizan MFA.

¿Qué es el Device Code Flow?

El Device Code Flow fue diseñado para dispositivos con capacidades limitadas de entrada, como Smart TVs, impresoras o dispositivos IoT. En lugar de introducir credenciales directamente en el dispositivo, el usuario recibe un código y debe validarlo en una página legítima de Microsoft.

El problema es que los atacantes están utilizando este mecanismo para engañar a usuarios corporativos y conseguir que autoricen, sin saberlo, aplicaciones controladas por el atacante. Como el login se realiza en dominios reales de Microsoft, el proceso parece completamente legítimo.

Cómo funciona el ataque

1. La víctima recibe un correo, mensaje o QR que aparenta ser una invitación corporativa, una reunión de Teams o una alerta de seguridad.

2. El mensaje solicita introducir un código en la página oficial de Microsoft.

3. El usuario completa la autenticación real, incluyendo MFA.

4. Microsoft entrega un token OAuth válido… pero asociado a la aplicación del atacante.

El resultado es especialmente peligroso: el atacante obtiene acceso persistente al buzón, OneDrive, Teams y otros recursos corporativos sin conocer la contraseña del usuario.

Un ataque que está creciendo rápidamente

Investigadores y medios especializados alertan de un fuerte incremento de campañas que utilizan OAuth Device Code phishing durante 2025 y 2026, especialmente contra organizaciones gubernamentales, defensa y entornos empresariales con Microsoft 365. Microsoft también ha detectado campañas automatizadas y apoyadas por IA capaces de generar códigos dinámicamente y operar a gran escala

Recomendaciones defensivas

Las organizaciones deberían revisar urgentemente sus controles OAuth y Microsoft Entra ID:

• Deshabilitar Device Code Flow cuando no sea necesario.

• Aplicar políticas de Conditional Access.

• Monitorizar consentimientos OAuth sospechosos.

• Revisar aplicaciones autorizadas por usuarios.

• Alertar sobre autenticaciones desde ubicaciones anómalas.

• Formar a usuarios para no introducir códigos fuera de procesos corporativos verificados.

La gran lección es clara: los atacantes ya no necesitan robar contraseñas si pueden abusar de los propios mecanismos legítimos de autenticación.

Algunos IoC relacionados GBhackers

Linux bajo ataque: QLNX y PamDOORa elevan el riesgo para desarrolladores y servidores SSH

Dos nuevas amenazas dirigidas a entornos Linux están preocupando a investigadores de ciberseguridad: el malware Quasar Linux RAT (QLNX), orientado al robo de credenciales DevOps y ataques a la cadena de suministro, y PamDOORa, un backdoor que manipula el sistema PAM para obtener persistencia y robar credenciales SSH.

Investigadores han identificado un implante Linux avanzado denominado Quasar Linux RAT o QLNX. Su objetivo principal son desarrolladores y administradores DevOps, especialmente en infraestructuras cloud y pipelines CI/CD.

El malware incorpora capacidades típicas de espionaje y control remoto:

• Robo de credenciales

• Keylogging

• Manipulación de archivos

• Monitorización del portapapeles

• Túneles de red

• Persistencia avanzada

• Técnicas rootkit y evasión

Uno de los aspectos más preocupantes es su foco en credenciales críticas asociadas a:

• AWS

• Kubernetes

• Docker

• GitHub

• npm

• PyPI

QLNX utiliza ejecución “fileless” y múltiples mecanismos de persistencia para dificultar la detección. Algunas investigaciones indican que puede operar completamente en memoria y utilizar técnicas de ocultación de procesos y borrado de logs. El impacto potencial es enorme: comprometer la máquina de un desarrollador puede permitir introducir malware en repositorios, paquetes o pipelines utilizados por miles de organizaciones

La segunda amenaza identificada es PamDOORa, un malware Linux basado en módulos PAM (Pluggable Authentication Modules). PAM es el sistema utilizado en Linux y Unix para gestionar autenticación. Debido a que los módulos PAM operan con privilegios elevados, representan un objetivo muy atractivo para atacantes.

Ambos incorporan medidas para ocultar accesos y dificultar enormemente las investigaciones forenses posteriores.

Más info: THW Quasar | THW PamDOORa

Ver historial de Publicaciones