1. Principales Vulnerabilidades y Filtraciones de la semana

2. Extensiones de navegador maliciosas infectan millones de usuarios

3. Regalos que espían: el riesgo invisible de los dispositivos inteligentes en casa y en la oficina

💥Los dispositivos Fortinet están bajo ataque activo a través de fallas de omisión de autenticación SSO. (la de todas las semanas, un chupito 🥃) (Noticia)

Los ataques aprovechan dos vulnerabilidades críticas de autenticación (CVE-2025-59718 y CVE-2025-59719, puntuación CVSS: 9,8). Estas vulnerabilidades permiten eludir la autenticación de inicio de sesión SSO sin autenticación mediante mensajes SAML diseñados, si la función SSO de FortiCloud está habilitada en los dispositivos afectados.

💥WatchGuard advierte sobre la explotación activa de una vulnerabilidad crítica en el sistema operativo Fireware VPN. (Noticia)

Registrada como CVE-2025-14733 (CVSS: 9,3), la vulnerabilidad se ha descrito como un caso de escritura fuera de límites que afecta al proceso iked y que podría permitir a un atacante remoto no autenticado ejecutar código arbitrario. “Esta vulnerabilidad afecta tanto a la VPN de usuario móvil con IKEv2 como a la VPN de sucursales que utiliza IKEv2 cuando se configura con un par de puerta de enlace dinámica”.

💥Cisco advierte de ataques activos sobre un agujero de seguridad sin parchear en los dispositivos AsyncOS (Noticia)

“Este ataque permite a los actores maliciosos ejecutar comandos arbitrarios con privilegios de root en el sistema operativo subyacente de un dispositivo afectado”, afirmó Cisco en un comunicado. “La investigación en curso ha revelado pruebas de un mecanismo de persistencia implantado por los actores maliciosos para mantener un cierto grado de control sobre los dispositivos comprometidos”.

💥La vulnerabilidad de HPE OneView, con una puntuación de 10,0, permite la ejecución remota de código sin autenticación (Noticia)

La vulnerabilidad crítica, a la que se le ha asignado el identificador CVE CVE-2025-37164, tiene una puntuación CVSS de 10,0. HPE OneView es un software de gestión de infraestructura de TI que optimiza las operaciones de TI y controla todos los sistemas a través de una interfaz de panel centralizada. “Esta vulnerabilidad podría ser explotada, permitiendo a un usuario remoto no autenticado ejecutar código de forma remota”.

💥Alerta Roundcube: fallos graves de SVG XSS y CSS Sanitizer amenazan la privacidad del correo web (Noticia)

Roundcube Webmail contiene 2 vulnerabilidades de alta gravedad que afectan a la seguridad y la privacidad de los usuarios del correo web. La primera falla permite a los atacantes crear correos electrónicos maliciosos con imágenes SVG que aprovechan las debilidades como Roundcube procesa los elementos de animación, lo que permite la ejecución de JavaScript arbitrario en el navegador de las víctimas. El segundo problema se deriva de una desinfección insuficiente en la lógica de filtrado de estilo HTML, que puede ser utilizada para eludir los filtros CSS e inferir o extraer datos confidenciales de la interfaz, lo que socava la privacidad de la bandeja de entrada.

💥Escalada de privilegios de root en Plesk 18.0. (Noticia)

Una falla en los directorios protegidos con contraseña de Plesk permite a cualquier usuario autenticado inyectar datos arbitrarios en la configuración de Apache, lo que se traduce en la ejecución de comandos root completos en el servidor.

Extensiones de navegador maliciosas infectan millones de usuarios

Una nueva campaña llamada GhostPoster ha utilizado archivos de logotipos asociados a 17 complementos del navegador Mozilla Firefox para incrustar código JavaScript malicioso diseñado para secuestrar enlaces de afiliados, inyectar código de seguimiento y cometer fraudes de clics y publicidad.

Según Koi Security, empresa que descubrió la campaña, las extensiones se han descargado más de 50.000 veces. Los complementos ya no están disponibles.

Por su parte, según nuevos hallazgos de Kaspersky, más de 1,31 millones de usuarios intentaron instalar extensiones de navegador maliciosas o no deseadas al menos una vez . "De enero de 2020 a junio de 2022, más de 4,3 millones de usuarios únicos fueron atacados por adware oculto en extensiones de navegador, lo que representa aproximadamente el 70% de todos los usuarios afectados por complementos maliciosos o no deseados".

Estos hallazgos llegan poco más de un mes después de que Zimperiumm revelara una familia de malware llamada ABCsoup que se hace pasar por una extensión de Google Translate como parte de una campaña de adware dirigida a los usuarios rusos de los navegadores Google Chrome, Opera y Mozilla Firefox.

Estos extensiones del navegador se anunciaban como VPN, utilidades para capturas de pantalla, bloqueadores de anuncios y versiones no oficiales del Traductor de Google. El complemento más antiguo, el Modo Oscuro, se publicó el 25 de octubre de 2024 y ofrecía la posibilidad de activar un tema oscuro para todos los sitios web.

La lista completa de complementos para navegadores se encuentra a continuación:

• VPN gratuita

• Captura de pantalla

• Tiempo (weather-best-forecast)

• Gesto del ratón (crxMouse)

• Caché: carga rápida de sitios

• Descargador de MP3 gratuito

• Traductor de Google (google-translate-right-clicks)

• Traductor de Google

• VPN global: gratis para siempre

• Lector oscuro: modo oscuro

• Traductor: Google, Bing, Baidu, DeepL

• Tiempo (i-like-weather)

• Traductor de Google (google-translate-pro-extension)

• 谷歌翻译

• libretv-watch-free-videos

• Ad Stop: el mejor bloqueador de anuncios

• Traductor de Google (right-click-google-translate)

"Lo que realmente ofrecen es una carga útil de malware de varias etapas que monitorea todo lo que navegas, elimina las protecciones de seguridad de tu navegador y abre una puerta trasera para la ejecución remota de código", afirmaron los investigadores de seguridad Lotan Sery y Noga Gouldman.

Recordamos que en nuestro servicio de cyberSOC ya incorporamos la monitorización de las extensiones de los navegadores desde hace más de un año, lo que nos permite extender nuestra protección para protegernos de este tipo de amenazas.

Noticia Segu-Info

Regalos que espían: el riesgo invisible de los dispositivos inteligentes en casa y en la oficina

Los dispositivos inteligentes se han colado en los hogares con la promesa de facilitarnos la vida y son de los regalos que más recibiremos en estas fechas. Desde altavoces que responden a órdenes de voz hasta cepillos de dientes conectados que analizan nuestros hábitos de higiene, el ecosistema del “hogar inteligente” no deja de crecer. Sin embargo, detrás de esa capa de innovación y conveniencia se esconde una realidad mucho menos visible: estos gadgets recopilan enormes cantidades de datos personales a través de sus aplicaciones, a menudo sin que el usuario tenga claro por qué ni para qué.

Algunas marcas de freidoras de aire solicitan permisos para acceder al micrófono del dispositivo móvil, lo que en la práctica implica la posibilidad de escuchar conversaciones. Juguetes inteligentes pueden grabar la voz de los niños y almacenar datos tan sensibles como su nombre, edad o fecha de nacimiento. Ciertos televisores inteligentes, por su parte, exigen acceso a la lista completa de aplicaciones instaladas en el teléfono del usuario.

Gran parte del tratamiento de datos se ampara en extensas políticas de privacidad redactadas en un lenguaje técnico y poco accesible, que suelen aparecer ocultas tras varios clics. La mayoría de los usuarios las hojea por encima o directamente las acepta sin leerlas, lo que en la práctica vacía de contenido la idea de un consentimiento realmente informado.

Artículo Bitlifemedia

Recuerda, Los malos no se van de vacaciones

Ver historial de Publicaciones