Noticias de seguridad informatica

Oracle emitió el sábado una alerta de seguridad advirtiendo sobre una nueva falla de seguridad que afecta a su E-Business Suite (EBS y que, según afirma, podría permitir el acceso no autorizado a datos confidenciales.La vulnerabilidad, identificada como CVE-2025-61884 (CVSS de 7,5), lo que indica una gravedad alta. Afecta a las versiones desde la 12.2.3 hasta la 12.2.14. "Esta vulnerabilidad, fácilmente explotable, permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa Oracle Configurator. Los ataques exitosos a esta vulnerabilidad pueden resultar en el acceso no autorizado a datos críticos o en el acceso completo a todos los datos accesibles de Oracle Configurator".En una alerta independiente, Oracle indicó que la falla se puede explotar de forma remota sin necesidad de autenticación, por lo que es crucial que los usuarios instalen la actualización lo antes posible. Sin embargo, la compañía no menciona ninguna explotación en la práctica.El director de seguridad de Oracle, Rob Duhart, señaló que la vulnerabilidad afecta a algunas implementaciones de E-Business Suite y que podría utilizarse para permitir el acceso a recursos confidenciales.Este desarrollo se produce poco después de que Google Threat Intelligence Group (GTIG) y Mandiant revelaran que decenas de organizaciones podrían haberse visto afectadas tras la explotación de un Zero-Day de CVE-2025-61882 (CVSS: 9,8) en el software E-Business Suite (EBS) de Oracle. Se estima que la actividad, que presenta algunas características asociadas con el grupo de ransomware Cl0p, generó múltiples vulnerabilidades distintas, incluyendo la posibilidad vulnerar las redes objetivo y exfiltrar datos confidenciales.Fuente: THN

Microsoft anunció la renovación del modo de Internet Explorer (IE) en su navegador Edge tras recibir "informes creíbles" en agosto de 2025 que indicaban que actores de amenazas desconocidos estaban abusando de la función de retrocompatibilidad para obtener acceso no autorizado a los dispositivos de los usuarios. "Los actores de amenazas estaban aprovechando técnicas básicas de ingeniería social junto con exploits sin parches (de día cero) en el motor JavaScript de Internet Explorer (Chakra) para obtener acceso a los dispositivos de las víctimas", declaró el equipo de Investigación de Vulnerabilidades del Navegador de Microsoft en un informe publicado la semana pasada. En la cadena de ataques documentada por el fabricante, se descubrió que los actores de amenazas engañaban a usuarios desprevenidos para que visitaran un sitio web aparentemente legítimo y luego utilizaban un menú desplegable en la página para indicarles que recargaran la página en modo IE. Una vez recargada la página, se dice que los atacantes utilizaron un exploit no especificado en el motor Chakra para obtener la ejecución remota de código. La secuencia de infección culmina con el uso por parte del adversario de un segundo exploit para elevar sus privilegios fuera del navegador y así tomar el control total del dispositivo de la víctima. Esta actividad es preocupante, sobre todo porque subvierte las defensas modernas integradas en Chromium y Microsoft Edge al ejecutarlo en un estado menos seguro con Internet Explorer. Esto permite a los atacantes evadir los límites del navegador y realizar diversas acciones posteriores a la explotación, como la implementación de malware, el movimiento lateral y la exfiltración de datos. Microsoft no reveló detalles sobre la naturaleza de las vulnerabilidades, la identidad del atacante responsable de los ataques ni la magnitud de los esfuerzos. Sin embargo, ante la evidencia de explotación activa y el riesgo de seguridad que representa esta función, la compañía afirmó haber tomado medidas para eliminar el botón dedicado de la barra de herramientas, el menú contextual y los elementos del menú de hamburguesa. Los usuarios que deseen habilitar el modo IE ahora deberán habilitarlo explícitamente, caso por caso, a través de la configuración del navegador Edge. La empresa señaló que estas restricciones para iniciar el modo IE son necesarias para equilibrar la seguridad y la necesidad de compatibilidad con versiones anteriores. "Este enfoque garantiza que la decisión de cargar contenido web con tecnología antigua sea mucho más intencional", declaró Microsoft. "Los pasos adicionales necesarios para agregar un sitio a una lista de sitios son una barrera importante que incluso los atacantes más decididos deben superar". Fuente: THN

Se han descubierto dos vulnerabilidades de alta gravedad en el popular archivador de archivos de código abierto 7-Zip, que podrían permitir a atacantes remotos ejecutar código arbitrario. Identificadas como CVE-2025-11001 y CVE-2025-11002, las fallas afectan a todas las versiones del software anteriores a la última versión y requieren una corrección inmediata. Falla en el procesamiento de enlaces simbólicos El núcleo de ambas vulnerabilidades reside en la forma en que 7-Zip gestiona los enlaces simbólicos incrustados en archivos ZIP. Según el aviso, un atacante puede crear un archivo ZIP malicioso con datos manipulados que explotan esta vulnerabilidad. Cuando un usuario con una versión vulnerable de 7-Zip intenta descomprimir el archivo, el proceso afectado puede manipularse para realizar un recorrido de directorio. Esto permite que el proceso de extracción escriba archivos fuera de la carpeta de destino prevista, lo que podría colocar cargas maliciosas en ubicaciones sensibles del sistema. Si bien el ataque se inicia remotamente mediante la entrega del archivo malicioso, su explotación requiere la interacción del usuario, ya que la víctima debe decidir si desea abrir el archivo comprimido. Los vectores de ataque específicos pueden variar según la implementación de 7-Zip en diferentes entornos. La alta complejidad del ataque y la necesidad de interacción del usuario impiden que las vulnerabilidades reciban una calificación crítica, pero el impacto potencial en la confidencialidad, la integridad y la disponibilidad sigue siendo significativo dado el uso generalizado de la utilidad 7-Zip. El desarrollador de 7-Zip ha lanzado la versión 25.01, que corrige estas fallas de seguridad. Se recomienda encarecidamente a todos los usuarios que actualicen sus instalaciones inmediatamente para protegerse contra posibles vulnerabilidades. Las vulnerabilidades se informaron inicialmente al proveedor el 2 de mayo de 2025, siguiendo un cronograma de divulgación responsable. Posteriormente, el 7 de octubre de 2025, se publicó un aviso público coordinado para informar al público sobre los riesgos y el parche disponible. Estas vulnerabilidades fueron descubiertas por el investigador de seguridad Ryota Shiga de GMO Flatt Security Inc., en colaboración con takumi-san.ai. Fuente: CyberSecurityNews

Investigadores de ciberseguridad han detectado un nuevo conjunto de 175 paquetes maliciosos en el registro de NPM, utilizados para facilitar ataques de recolección de credenciales como parte de una campaña inusual. Los paquetes se han descargado 26.000 veces en total, sirviendo como infraestructura para una campaña de phishing generalizada, denominada Beamglea, dirigida a más de 135 empresas industriales, tecnológicas y energéticas de todo el mundo, según Socket. "Si bien los nombres aleatorios de los paquetes hacen improbable su instalación accidental por parte de desarrolladores, es probable que el recuento de descargas incluya a investigadores de seguridad, escáneres automatizados e infraestructura de CDN que analizan los paquetes tras su divulgación", declaró el investigador de seguridad Kush Pandya. Se ha descubierto que los paquetes utilizan el registro público de NPM y el CDN de unpkg.com para alojar scripts que dirigen a las víctimas a páginas de recolección de credenciales. Algunos aspectos de la campaña fueron detectados por primera vez por Paul McCarty, de Safety, a finales del mes pasado. En concreto, la biblioteca incluye un archivo Python llamado "redirect_generator.py" para crear y publicar programáticamente un paquete NPM llamado "redirect-xxxxxx", donde "x" se refiere a una cadena alfanumérica aleatoria. El script inyecta la dirección de correo electrónico de la víctima y una URL de phishing personalizada en el paquete. Una vez que el paquete está activo en el registro NPM, el malware crea un archivo HTML con una referencia al CDN y asociada al paquete recién publicado (p. ej., "unpkg[.]com/[email protected]/beamglea.js"). El atacante aprovecha este comportamiento para distribuir cargas útiles HTML que, al abrirse, cargan JavaScript desde el CDN y redirigen a la víctima a páginas de recolección de credenciales de Microsoft. El archivo JavaScript "beamglea.js" es un script de redirección que incluye la dirección de correo electrónico de la víctima y la URL a la que se dirige para obtener sus credenciales. Socket afirmó haber encontrado más de 630 archivos HTML que se hacen pasar por órdenes de compra, especificaciones técnicas o documentos de proyecto. En otras palabras, los paquetes NPM no están diseñados para ejecutar código malicioso al instalarse. En cambio, la campaña utiliza NPM y UNPKG para alojar la infraestructura de phishing. Actualmente no está claro cómo se distribuyen los archivos HTML, aunque es posible que se propaguen mediante correos electrónicos que engañan a los destinatarios para que ejecuten los archivos HTML especialmente diseñados. "Cuando las víctimas abren estos archivos HTML en un navegador, el JavaScript redirige inmediatamente al dominio de phishing, pasando la dirección de correo electrónico de la víctima mediante un fragmento de URL", explicó Socket. La página de phishing rellena previamente el campo de correo electrónico, creando la impresión de que la víctima accede a un portal de inicio de sesión legítimo que ya la reconoce. Esta credencial precargada aumenta significativamente la tasa de éxito del ataque al reducir la sospecha de la víctima. Los hallazgos resaltan una vez más la naturaleza en constante evolución de los actores de amenazas, que adaptan constantemente sus técnicas para adelantarse a los defensores, quienes también desarrollan constantemente nuevas técnicas para detectarlos. En este caso, se pone de manifiesto el abuso de infraestructura legítima a gran escala. Al publicar 175 paquetes en 9 cuentas y automatizar la generación de HTML específico para cada víctima, los atacantes crearon una infraestructura de phishing resistente, gratuita y que aprovecha servicios CDN confiables. La combinación del registro abierto de NPM, la entrega automática desde UNPKG  y un código mínimo crea un manual de estrategias reproducible que otros actores de amenazas adoptarán. Fuente: THN

La función "Buscar mi iPhone" original se introdujo en 2010 como una función del iPhone. Era un servicio independiente de "Buscar a mis amigos", que permite rastrear la ubicación de contactos que dan su consentimiento. Apple los fusionó en 2019 para iOS 13. Hoy en día, el servicio funciona con AirPods, Macs e incluso dispositivos de terceros. Utiliza Bluetooth para enviar señales de corto alcance que pueden ser captadas por otros dispositivos Apple, que luego transmiten la ubicación del objeto perdido a Apple. Cuando abres tu iPhone para localizar un dispositivo perdido en un mapa, eso es lo que estás usando. Resulta que "Buscar" también es ideal para encontrar dispositivos robados. En Nochebuena del año pasado, una víctima de robo de teléfono utilizó el servicio para rastrear su dispositivo robado. La señal condujo a la policía a un almacén cerca del aeropuerto de Heathrow que contenía casi 900 teléfonos robados con destino a Hong Kong. Este descubrimiento impulsó a la policía a lanzar la Operación Echosteep, una investigación que duró casi un año. Al final, se lograron 46 arrestos tras redadas en 28 ubicaciones. La policía del Reino Unido recuperó más de 2.000 dispositivos robados, exponiendo una red criminal que contrabandeaba hasta 40.000 teléfonos al año. Los dispositivos robados acababan en China, donde podían venderse a un alto precio. El robo de teléfonos es una plaga en Londres, donde ladrones callejeros en bicicletas eléctricas han convertido esta nefasta actividad en un negocio. Pueden vender los teléfonos que roban por 300 libras cada uno (unos 400 dólares). Suelen envolver los dispositivos en papel de aluminio para bloquear las señales de rastreo. Esta no es la primera vez que se rastrea un teléfono. El Financial Times informó en mayo sobre un emprendedor tecnológico llamado Sam Amrani, cuyo teléfono fue robado en Kensington, Londres. Rastreó el recorrido de su teléfono hasta un barrio de Shenzhen, China, conocido por su mercado de teléfonos de segunda mano. Incluso los teléfonos con bloqueo de activación para evitar el robo de datos pueden ser desmantelados, conservando hasta el 30% de su valor. Los legisladores del Reino Unido han expresado su preocupación por el creciente problema del robo de teléfonos. En una audiencia parlamentaria celebrada en junio, preguntaron a Apple y Google por qué no estaban haciendo más para integrar medidas antirrobo en sus sistemas. Todo dispositivo que se conecta a una red móvil tiene un número de identificación único llamado Identidad Internacional de Equipo Móvil (IMEI). Cuando se denuncia el robo de un dispositivo, su IMEI puede añadirse a una "lista negra" global gestionada por la Asociación del Sistema Global para las Comunicaciones Móviles (GSMA). Las redes móviles pueden entonces bloquear la conexión de ese teléfono. Sin embargo, este sistema solo funciona en países donde las operadoras aplican activamente la lista negra. Muchas no lo hacen, lo que significa que un teléfono robado en un país puede venderse y utilizarse en otro. Por eso, los legisladores quieren que Apple y Google vayan más allá. Como se quejó el diputado Martin Wrigley en la audiencia: "Pueden detener esto bloqueando los IMEI de la lista negra de la GSMA, y simplemente están decidiendo no hacerlo todavía". Si Apple y Google también se negaran a activar o conectar los dispositivos incluidos en la lista negra de la GSMA a cuentas de iCloud o Google, esos teléfonos quedarían inservibles en cualquier parte del mundo. Esto haría que los teléfonos robados fueran mucho menos valiosos y podría reducir significativamente los robos. El gobierno del Reino Unido no espera a que las empresas tecnológicas actúen. En febrero presentó el Proyecto de Ley sobre Delitos y Vigilancia Policial, que otorga a la policía nuevas facultades para registrar los locales donde se hayan geolocalizado dispositivos robados, sin necesidad de una orden judicial. Mientras tanto, ¿qué puede hacer para protegerse? Guarde el teléfono en el bolsillo, preferiblemente en uno interior, y no camine por la calle sosteniéndolo alegremente junto a la oreja o mirando la pantalla. Use auriculares si necesita hablar, pero manténgase atento a su entorno. Es un buen consejo para cualquier persona, en cualquier lugar, ya sea que use un teléfono o no. Fuente: MalwareBytes