1. Principales Vulnerabilidades y Filtraciones de la semana

2. ALERTA CRÍTICA: Copy Fail (CVE-2026-31431)

3. The Gentlemen: ransomware adaptativo y operaciones “a medida”

💥Vulnerabilidades en SonicWall SonicOS permiten a atacantes eludir controles de acceso y bloquear el firewall (Noticia)

Estas fallas podrían permitir a los atacantes eludir controles de acceso, acceder a servicios restringidos o provocar una condición de denegación de servicio al bloquear el firewall. Se insta a los administradores a aplicar las últimas actualizaciones de firmware de inmediato para proteger sus sistemas.

💥Se ha detectado una vulnerabilidad crítica en la autenticación de cPanel: actualice su servidor de inmediato (Noticia)

La vulnerabilidad de evasión de autenticación se le ha asignado el identificador CVE CVE-2026-41940 y tiene una puntuación CVSS de 9,8 sobre 10,0. ES URGENTE QUE VERIFIQUES QUE NO TE AFECTA, Y EN CASO DE AFECTARTE QUE ACTUALICES.

💥Unos investigadores descubren 73 extensiones falsas de VS Code que distribuyen el malware GlassWorm (Noticia)

El conjunto de 73 extensiones ha sido identificado como versiones clonadas de sus homólogas legítimas. De estas, se ha confirmado que seis son maliciosas, mientras que el resto actúan como paquetes latentes aparentemente inofensivos para que los usuarios las descarguen y generen confianza.

💥Un fallo crítico en CrowdStrike LogScale podría haber permitido el acceso a archivos (Noticia)

CrowdStrike ha revelado recientemente una vulnerabilidad crítica, identificada como CVE-2026-40050, que afecta a su producto LogScale self-hosted. La vulnerabilidad permite el recorrido de rutas sin autenticación, lo que podría permitir a un atacante remoto leer archivos arbitrarios del sistema de archivos del servidor.

💥Contaminación de prototipos en n8n (Noticia)

Un fallo en la biblioteca "xml2js" utilizada para analizar los cuerpos de las solicitudes XML en el gestor de webhooks de n8n permite la contaminación de prototipos mediante una carga útil XML manipulada. Un usuario autenticado con permisos para crear o modificar flujos de trabajo puede explotar esto para contaminar el prototipo del objeto JavaScript.

ALERTA CRÍTICA: Copy Fail (CVE-2026-31431)

CVE-2026-31431 es una vulnerabilidad de Escalada de Privilegios Locales (LPE) en el kernel de Linux. Se origina en el subsistema criptográfico, específicamente en el módulo algif_aead de la interfaz de sockets AF_ALG (introducida para permitir que el espacio de usuario use algoritmos de cifrado del kernel).

La vulnerabilidad es masiva porque afecta a prácticamente cualquier núcleo de Linux lanzado desde 2017 hasta las versiones parcheadas en abril/mayo de 2026.

• Versiones del Kernel: Desde la 4.14 hasta las ramas actuales (6.x).

• Distribuciones Principales:

  • Ubuntu: 20.04 LTS, 22.04 LTS, 24.04 LTS (parcheadas recientemente).

  • Red Hat Enterprise Linux (RHEL): Versiones 8, 9 y 10.

  • Amazon Linux 2023.

  • Debian, Fedora, SUSE y Arch Linux.

• Entornos Cloud: Es especialmente crítica en Kubernetes y entornos de contenedores, ya que permite el escape de contenedores (un proceso en un contenedor puede comprometer el kernel del host).

A diferencia de otros fallos históricos como Dirty COW o Dirty Pipe, Copy Fail no depende de condiciones de carrera (race conditions), lo que lo hace 100% determinista y fiable. El Vector: Un script de Python de apenas 732 bytes es suficiente.

Si eres administrador de sistemas o desarrollador, estas son las acciones urgentes:

1. Actualización del Kernel (Solución Definitiva)

La forma más segura es actualizar el kernel a la versión que incluye el parche (upstream commit a664bf3d603d) y reiniciar el sistema.

2. Desactivar el módulo vulnerable (Mitigación Temporal)

Si no puedes reiniciar inmediatamente, puedes intentar deshabilitar el módulo algif_aead. Ojo: En algunas distribuciones (como RHEL/AlmaLinux), este módulo está compilado dentro del kernel y no se puede descargar con rmmod.

3. Restricción vía Seccomp (Contenedores)

En entornos de Kubernetes, se recomienda aplicar políticas de Seccomp para bloquear la creación de sockets de la familia AF_ALG, lo que impide que los contenedores inicien el ataque.

Durante el fin de semana varios actores de amenazas han lanzado ataques de denegación de servicio sobre la infraestructura de Debian, Ubuntu y RedHat para impedir que los sistemas se actualicen. (fuente).

ESTE NO ES UN POST MÁS, REVISA y ACTUALIZA SI ERES VULNERABLE.

Fuente BeeHackers ThreatHunting

The Gentlemen: ransomware adaptativo y operaciones “a medida”

El grupo The Gentlemen es una de las amenazas ransomware emergentes más relevantes desde 2025. A pesar de su reciente aparición, ha demostrado una madurez operativa notable, con campañas dirigidas, altamente adaptativas y basadas en un modelo Ransomware-as-a-Service (RaaS).

Su enfoque se aleja del ransomware masivo tradicional: prioriza intrusiones dirigidas, reconocimiento profundo del entorno y adaptación de herramientas en tiempo real para evadir controles defensivos.

Modelo operativo

• Doble extorsión: cifrado + exfiltración de datos con amenaza de publicación.

• Acceso inicial dirigido: explotación de servicios expuestos o credenciales comprometidas.

• Alta personalización: adaptación de tooling según defensas detectadas.

• Uso de RaaS con afiliados y reparto de beneficios.

Sectores más afectados: manufactura, tecnología, salud y servicios financieros, donde el impacto operativo maximiza la presión del rescate.

TTPs destacadas (mapeo MITRE ATT&CK)

A partir de múltiples análisis técnicos, se pueden identificar varias tácticas y técnicas clave:

Initial Access

• T1078 – Valid Accounts: uso de credenciales comprometidas (especialmente cuentas de dominio).

• Explotación de servicios expuestos / VPN.

Discovery (TA0007)

• Enumeración de red y AD con herramientas como Advanced IP Scanner.

• Identificación de controladores de dominio vía PowerShell codificado.

Privilege Escalation & Persistence

• Uso de herramientas como PowerRun para elevar privilegios.

• Abuso de cuentas privilegiadas de dominio (T1078.002).

Defense Evasion (TA0005)

• Uso de drivers firmados para deshabilitar EDR (BYOVD).

• Herramientas custom para matar procesos de seguridad (ej. Allpatch2.exe).

• Adaptación dinámica del malware según el entorno defensivo.

Lateral Movement

• Uso de herramientas legítimas como PsExec.

Command & Control

• Uso de herramientas legítimas de administración remota (living-off-the-land).

Impact

• Terminación de servicios críticos (backup, BBDD, seguridad).

• Cifrado multiplataforma (Windows, Linux, ESXi).

IOCs y artefactos observados

Aunque los IOCs son altamente variables (por la personalización), se han identificado algunos artefactos recurrentes:

Herramientas / binarios

• All.exe, Allpatch2.exe (evasión AV)

• PowerRun.exe (privilege escalation)

• PsExec (movimiento lateral)

• Advanced IP Scanner (reconocimiento)

Drivers abusados

• ThrottleBlood.sys (terminación de procesos de seguridad)

Scripts

• 1.bat (enumeración masiva de cuentas y grupos AD)

Comportamientos clave

• PowerShell codificado para discovery

• Enumeración intensiva de Active Directory

• Eliminación de artefactos post-ejecución (self-delete con delay)

Fuente Analyst1

Ver historial de Publicaciones