1. Principales Vulnerabilidades de la semana

2. Distribución de Ransomware a través de Microsoft Teams mediante llamadas de voz

3. Configuración incorrecta de DNS en Mikrotik permite la distribución de malware

4. Evento BeeHackers - HackTheBox

Principales Vulnerabilidades de la semana

💥Los cortafuegos de Palo Alto son vulnerables a un bypass del SecureBoot y a una vulnerabilidad del firmware

• CVE-2020-10713 BootHole (afecta a PA-3260, PA-1410 y PA-415), se refiere a una vulnerabilidad de desbordamiento de búfer que permite eludir el arranque seguro en sistemas Linux con la función activada.

• CVE-2022-24030, CVE-2021-33627, CVE-2021-42060, CVE-2021-42554, CVE-2021-43323, y CVE-2021-45970 (Afecta a PA-3260), que hace referencia a un conjunto de vulnerabilidades del modo de gestión del sistema (SMM) que afectan al firmware InsydeH2O UEFI de Insyde Software y que podrían dar lugar a una escalada de privilegios y a la evasión del arranque seguro.

• LogoFAIL (Afecta a PA-3260), que hace referencia a un conjunto de vulnerabilidades críticas descubiertas en el código de la Interfaz de Firmware Extensible Unificada (UEFI) que aprovechan los defectos de las bibliotecas de análisis de imágenes integradas en el firmware para eludir el arranque seguro y ejecutar código malicioso durante el inicio del sistema.

💥Backdoor que explota la vulnerabilidad Magic Packet en los routers Juniper

La campaña J-magic despliega un malware diseñado específicamente para JunoOS, que sirve a un mercado similar pero se basa en un sistema operativo diferente, una variante de FreeBSD. Las pruebas recopiladas por la empresa muestran que la primera muestra de la puerta trasera data de septiembre de 2023, y que la actividad continuó entre mediados de 2023 y mediados de 2024. Los sectores de semiconductores, energía, fabricación y tecnologías de la información fueron los más afectados.

Noticia

💥Vulnerabilidad Zero-Day en Routers cnPilot para desplegar el Botnet AIRASHI

Investigaciones recientes han revelado que actores maliciosos están explotando una vulnerabilidad zero-day no especificada en los routers cnPilot de Cambium Networks para desplegar una variante del botnet AISURU, conocida como AIRASHI, con el objetivo de llevar a cabo ataques DDoS. 

Noticia

💥SonicWall advierte del fallo SMA1000 RCE explotado en ataques ZeroDay

El fallo, rastreado como CVE-2025-23006 y calificado como crítico (puntuación CVSS v3: 9,8), podría permitir a atacantes remotos no autenticados ejecutar comandos arbitrarios del sistema operativo en determinadas condiciones.

La vulnerabilidad afecta a todas las versiones de firmware del dispositivo SMA100 hasta la 12.4.3-02804 (platform-hotfix). SonicWall destacó que ha recibido informes de que la vulnerabilidad fue explotada como ZeroDay.

Noticia

Distribución de Ransomware a través de Microsoft Teams mediante llamadas de voz

Sophos Managed Detection and Response (MDR) ha descubierto dos campañas distintas de ransomware que aprovechan Microsoft Teams para obtener acceso no autorizado a organizaciones objetivo.

Los actores de la amenaza, rastreados como STAC5143 y STAC5777, están aprovechando una configuración predeterminada de Microsoft Teams que permite a los usuarios externos iniciar chats o reuniones con usuarios internos.

Es una sofisticada operación cibernética que emplea diversas herramientas y técnicas para infiltrarse y controlar los sistemas objetivo. En esencia, la campaña aprovecha los archivos Java Archive (JAR) junto con puertas traseras basadas en Python para afianzarse en las máquinas comprometidas.

Uno de sus componentes clave es el despliegue de una versión ofuscada de RPivot, una herramienta de proxy SOCKS inverso que permite a los atacantes mantener un acceso sigiloso a la red de la víctima.

Para evitar aún más la detección, la campaña incorpora una función lambda para la ofuscación de código, un método que recuerda a los utilizados por el famoso grupo de ciberdelincuentes FIN7. Por último, los operadores del STAC5143 establecen conexiones a sus servidores C2 a través del puerto 80, probablemente en un intento de mezclarse con el tráfico HTTP normal y eludir las medidas de seguridad habituales.

También se han detectado que emplea una DLL maliciosa llamada winhttp.dll, que se carga lateralmente en el ejecutable legítimo de Microsoft OneDriveStandaloneUpdater.exe. La campaña establece conexiones de comando y control (C2) utilizando controladores no firmados del kit de herramientas OpenSSL, lo que aumenta su capacidad para eludir la detección.

Para mantener la persistencia, los atacantes modifican el registro de Windows, añadiendo entradas en «HKLM\SOFTWARE\TitanPlus» que especifican direcciones de servidores C2. Además, la campaña crea un servicio y un archivo .lnk para asegurarse de que permanece activo en el sistema comprometido. Para el movimiento lateral, STAC5777 realiza un escaneo SMB, lo que le permite propagarse por las redes.

INCIBE

Configuración incorrecta de DNS en Mikrotik permite la distribución de malware

Una red global de unos 13.000 routers Mikrotik secuestrados se ha utilizado como botnet para propagar malware a través de campañas de spam.

La actividad "se aprovecha de los registros DNS mal configurados para pasar las técnicas de protección de correo electrónico", dijo el investigador de seguridad de Infoblox, David Brunsdon, en un informe técnico publicado la semana pasada. "Esta botnet utiliza una red global de routers Mikrotik para enviar correos electrónicos maliciosos que están diseñados para parecer que provienen de dominios legítimos".

La empresa de seguridad DNS, que ha dado a la campaña el nombre en código Mikro Typo, dijo que su análisis surgió del descubrimiento de una campaña de malspam a fines de noviembre de 2024 que aprovechó señuelos relacionados con facturas para incitar a los destinatarios a descargar un archivo ZIP.

El archivo ZIP contiene un archivo JavaScript ofuscado, que luego es responsable de ejecutar un script de PowerShell diseñado para iniciar una conexión saliente a un servidor de comando y control (C2) ubicado en la dirección IP 62.133.60[.]137.

Noticia | Análisis Técnico

Evento BeeHackers - HackTheBox

Desde BeeHackers siempre estamos implicados con la difusión de la cultura de CiberSeguridad y compartir conocimiento. Por ello, el Jueves 30 tenemos nuestro primer evento de la comunidad HackTheBox Meetup Sevilla.

Somos una de las primeras comunidades de Hack The Box en España. Comunidad para conectar con otros entusiastas de la CiberSeguridad, aprender, completar máquinas de Hack The Box y disfrutar.

Sólo necesitas Un portátil 💻, con Kali Linux, Parrot OS (o alguna distribución similar) y ganas de pasar un buen rato hackeando. Si estás interesado en asistir, tenemos varios asientos reservados para clientes, sólo tienes que escribirnos.

Meetup

Ver historial de Publicaciones