Investigadores de Sophos han documentado una campaña en la que el grupo DragonForce comprometió un Managed Service Provider (MSP) aprovechando tres fallos críticos en el software RMM SimpleHelp. Desde la consola secuestrada, los atacantes impulsaron el ransomware a decenas de organizaciones aguas abajo y exfiltraron información para presionar el pago —un claro ejemplo de ataque a la cadena de suministro. La entrada DragonForce explota SimpleHelp sin parche para implantar ransomware en clientes de un MSP se publicó primero en Una Al Día. Llegir Més
Múltiples vulnerabilidades en productos GitLab Vie, 13/06/2025 - 12:11 Aviso Recursos Afectados Las siguientes versiones de GitLab Community Edition (CE), Enterprise Edition (EE) y GitLab Ultimate (EE) se ven afectadas:Versiones 18.0 anteriores a 18.0.2;Versiones 17.9 anteriores a 17.10.8, Versiones 17.11 anteriores a 17.11.4;Versiones 17.7 anteriores a 17.10.8.El resto de versiones afectadas por las vulnerabilidades de severidad media y baja, pueden consultarse en las referencias. Descripción GitLab ha publicado 10 vulnerabilitats: 4 de severitat alta, 5 de severidad media y 1 de severidad baja, que podrían permitir a atacantes realizar ataques de Cross-Site Scripting (XSS), inyectar encabezados maliciosos, provocar denegaciones de servicio o acceder a información restringida. Identificador INCIBE-2025-0317 4 - Alta Solución Actualizar GitLab CE/EE y GitLab Ultimate EE a una de las siguientes versiones:18.0.2;17.11.4;17.10.8. Detalle Las vulnerabilidades de severidad alta son:CVE-2025-4278: vulnerabilidad de inyección HTML, cuya explotación podría permitir Llegir Més
Múltiples vulnerabilidades en Streamline NX V3 de RICOH Vie, 13/06/2025 - 09:40 Aviso Recursos Afectados RICOH Streamline NX V3, para PC cliente, versiones de la 3.5.0 a 3.242.0 (CVE-2025-36506 y CVE-2025-46783) y de la 3.5.0 a la 3.7.0 (CVE-2025-48825).Para consultar la versión del producto en el PC, ejecutar RICOH Streamline NX PC Client:Hacer clic con el botón derecho en el icono de la bandeja de tareas e ir a la opción "Información de la versión".En el Panel de Control, en la lista de "Programas y características" comprobar la versión de "RICOH Streamline NX PC Client" Descripción CYS DET PEN de Siemen ha descubierto 3 vulnerabilitats, 1 de severitat crítica, otra media y otra baja que, en caso de ser explotadas, podrían permitir sobrescribir cualquier fichero de la máquina del usuario y deshabilitar cualquier funcionalidad que proporcione, ejecutar código como AUTHORITY/SYSTEM Llegir Més
Múltiples vulnerabilidades en productos de Trend Micro Jue, 12/06/2025 - 12:02 Aviso Recursos Afectados Trend Micro Endpoint Encryption (TMEE) PolicyServer, versions anteriors a 6.0.0.4013 para plataformas Windows en inglés;Apex Central, versió 2019 (On-prem) para plataformas Windows en inglés;Apex Central as a Service (SAAS) para plataformas Windows en inglés. Descripción Trend Micro ha publicado 2 actualizaciones donde se corrigen un total de 10 vulnerabilitats: 6 crítiques i 4 altes. En caso de que las vulnerabilidades sean explotadas un atacante podría aumentar sus privilegios; realizar una ejecución remota de código pre y post autenticación; y modificar la configuración del producto. Identificador INCIBE-2025-0315 5 - Crítica Solución Actualizar el producto a la siguiente versión o posteriores:Trend Micro Endpoint Encryption (TMEE) PolicyServer, Pacth 1 Update 6 (versió 6.0.0.4013). Consultar información del parche.Apex Central, CP B7007;Apex Central as a Service (SAAS), actualizado en la actualización Llegir Més
Múltiples vulnerabilidades en productos de Ubiquiti Networks Jue, 12/06/2025 - 10:30 Aviso Recursos Afectados UniFi Protect Cameras, versió 4.74.88 i anteriors;UniFi Protect Application, versió 5.2.46 i anteriors. Descripción Ubiquiti Networks ha publicado 5 vulnerabilitats, de las cuales 2 son de severidad crítica, 1 de severitat alta i 2 de severitat mitjana. La explotación de estas vulnerabilidades podría permitir a un atacante llevar a cabo una explotación remota de código, controlar y modificar los dispositivos afectados y omitir la autenticación de los mismos. Identificador INCIBE-2025-0314 5 - Crítica Solución Actualizar los productos afectados a las siguientes versiones:UniFi Protect Cameras: versió 4.74.106 o posterior;UniFi Protect Application: versió 5.2.49 o posterior. Detalle CVE-2025-23115: de severitat crítica. Vulnerabilidad 'Use After Free' en UniFi Protect Cameras podría permitir una ejecución remota de código (RCE) por un actor malicioso con acceso a la red de gestión.CVE-2025-23116: Llegir Més
Múltiples vulnerabilidades en productos Mitel Jue, 12/06/2025 - 09:27 Aviso Recursos Afectados La vulnerabilidad de severidad crítica afecta al producto:MiCollab, versión 9.8SP2 (9.8.2.12) y anteriores.Nota: MiCollab versión 10.0.0.26 y posteriores no están afectados.La vulnerabilidad de severidad alta afecta al producto:OpenScape Accounting Management, V5 R1.1.0 y anteriores. Descripción El investigador Dahmani Toumi y el milCERT AT han descubierto 2 vulnerabilitats: 1 de severidad crítica y otra alta que, en caso de ser explotadas, podrían permitir a un atacante, no autenticat, acceder a directorios a los que no tiene permisos y, en caso de que consiga privilegios de administrador, subir ficheros arbitrarios en el sistema. Identificador INCIBE-2025-0313 5 - Crítica Solución Actualizar a la última versión de cada producto. MiCollab version 9.8 SP3 (9.8.3.1) o posterior;OpenScape Accounting Management, V5 R1.1.4 o posterior. Detalle La vulnerabilidad de severidad crítica se produce porque el componente Llegir Més
Actualizaciones de seguridad de Microsoft de junio de 2025 Mar, 10/06/2025 - 20:16 Aviso Recursos Afectados .NET and Visual StudioApp Control for Business (WDAC)Microsoft AutoUpdate (MAU)Microsoft Local Security Authority Server (lsasrv)Microsoft OfficeMicrosoft Office ExcelMicrosoft Office OutlookMicrosoft Office PowerPointMicrosoft Office SharePointMicrosoft Office WordNuance Digital Engagement PlatformPower AutomateRemote Desktop ClientVisual StudioWebDAVWindows Common Log File System DriverWindows Cryptographic ServicesWindows DHCP ServerWindows DWM Core LibraryWindows HelloWindows InstallerWindows KDC Proxy Service (KPSSVC)Windows KernelWindows Local Security Authority (LSA)Windows Local Security Authority Subsystem Service (LSASS)Windows MediaWindows NetlogonWindows Recovery DriverWindows Remote Access Connection ManagerWindows Remote Desktop ServicesWindows Routing and Remote Access Service (RRAS)Windows SDKWindows SMBWindows Security AppWindows ShellWindows Standards-Based Storage Management ServiceWindows Storage Management ProviderWindows Storage Port DriverWindows Win32K - GRFX Descripción La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 10 de junio, consta de 67 vulnerabilitats (con CVE asignado), qualificades Llegir Més
Múltiples vulnerabilidades en DM Corporative CMS de Dmacroweb Mar, 10/06/2025 - 09:50 Aviso Recursos Afectados DM Corporative CMS, versions anteriors a la 2025.01. Descripció INCIBE ha coordinat la publicació de 9 vulnerabilitats: 4 de severitat crítica i 5 de severitat mitjana, que afectan a DM Corporative CMS de Dmacroweb, un sistema de gestió de continguts. Las vulnerabilidades han sido descubiertas por Oscar Atienza.A estas vulnerabilidades se les ha asignado el siguiente código, puntuació base CVSS v4.0, vector del CVSS y tipo de vulnerabilidad CWE:CVE-2025-40654 a CVE-2025-40657: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89CVE-2025-40658 a CVE-2025-40661: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-639CVE-2025-40662: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-200 Identificador INCIBE-2025-0305 5 - Crítica Solución Las vulnerabilidades han sido solucionadas por el equipo Dmacroweb en la versión 2025.01. Detalle Se ha encontrado una vulnerabilidad de inyección SQL Llegir Més
Actualización de seguridad de SAP de junio de 2025 Mar, 10/06/2025 - 09:38 Aviso Recursos Afectados SAP NetWeaver Application Server para ABAPVersiones: NUCLI 7.89, 7.93, 9.14, 9.15.SAP GRC (complemento AC)Versiones: GRCPINW V1100_700, V1100_731.SAP Business Warehouse y SAP Plug-In Basis, versions:PI_BASIS: 2006_1_700, 701, 702, 731, 740.SAP_BW: 750, 751, 752, 753, 754, 755, 756, 757, 758, 914, 915.SAP BusinessObjects Business Intelligence (BI Workspace)Versiones: ENTERPRISE 430, 2025, 2027.SAP NetWeaver Visual ComposerVersiones: VCBASE 7.50.SAP MDM ServerVersiones: MDM_SERVER 710.750. Descripció SAP ha publicat el seu butlletí mensual en el qual s' inclouen 14 vulnerabilitats: 1 de severitat crítica, 5 altes, 6 mitjanes i 2 mitjanes. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante realizar una escalada de privilegios, modificar o controlar las credenciales del sistema o eliminar completamente las entradas de la base de datos. Identificador INCIBE-2025-0304 5 Llegir Més
Ejecución de código remoto en Webmail de Roundcube Lun, 09/06/2025 - 13:33 Aviso Recursos Afectados Esta vulnerabilidad afecta a las versiones 1.1.0 a 1.6.10 de Roundcube, incluidas las instalaciones predeterminadas en cPanel, Plesk, ISPConfig y otras. Descripción Kirill Firsov ha informado sobre una vulnerabilidad de severidad crítica que podría permitir a un atacante ejecutar código de forma remota. Existe constancia de que la vulnerabilidad se está explotando de forma activa. Identificador INICBE-2025-0303 5 - Crítica Solución Se recomienda actualizar a las versiones:1.6.11 (última versión estable)1.5.10 (LTS) Detalle La vulnerabilidad de severidad crítica permite la ejecución remota de código por parte de usuarios autenticados, ya que el parámetro _from en una URL no está validado en program/actions/settings/upload.php, lo que lleva a la deserialización de objetos PHP.Se ha asignado el identificador CVE-2025-49113 para esta vulnerabilidad. Listado de referencias Roundcube ≤ 1.6.10 Post-Auth RCE Llegir Més
Múltiples vulnerabilidades en TCMAN GIM Lun, 09/06/2025 - 12:05 Aviso Recursos Afectados GIM, versió 11. Descripció INCIBE ha coordinat la publicació de 3 vulnerabilitats de severitat mitjana, que afectan a GIM de TCMAN, un software de gestión de mantenimiento. Las vulnerabilidades han sido descubiertas por Jorge Riopedre Vega.A estas vulnerabilidades se les ha asignado el siguiente código, puntuació base CVSS v4.0, vector del CVSS y tipo de vulnerabilidad CWE:CVE-2025-40668 a CVE-2025-40670: CVSS v4.0: 7.1 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-863 Identificador INCIBE-2025-0300 3 - Media Solución Las vulnerabilidades han sido solucionadas por el equipo de TCMAN. El fabricante ha informado que las vulnerabilidades no se encuentran en la versión más actual de GIM Web versión 20250128. Detalle CVE-2025-40668: vulnerabilidad de autorización incorrecta en GIM v11 de TCMAN. Esta vulnerabilidad permite a un atacante, con bajo nivel de privilegios, cambiar la contraseña de Llegir Més
Cisco ha publicado hotfixes para su Identity Services Engine (ISE) tras revelarse CVE-2025-20286, una vulnerabilidad de credenciales estáticas que afecta a implementaciones en la nube de AWS, Azure y Oracle Cloud Infrastructure y que ya cuenta con código de prueba de concepto. La entrada Cisco corrige vulnerabilidad crítica en ISE con PoC pública se publicó primero en Una Al Día. Llegir Més
Varios complementos muy populares de Google Chrome ‒entre ellos SEMRush Rank, Browsec VPN, MSN New Tab, DualSafe Password Manager, AVG Online Security o Trust Wallet‒ exponen a sus usuarios a dos riesgos simultáneos: envían telemetría a través de HTTP sin cifrar y contienen credenciales duras en el propio JavaScript (API keys de GA4, Azure, AWS, Tenor o Ramp Network). La entrada Extensiones de Chrome filtran API keys y datos en texto plano se publicó primero en Una Al Día. Llegir Més
Un investigador ha destapado un bug que llevaba una década escondido en Roundcube Webmail. El fallo (CVE-2025-49113, CVSS 9.9) permite que cualquier usuario autenticado tome el control total del servidor y ejecute código arbitrario. La solución llegó el 1 de junio con las versiones 1.6.11 y 1.5.10 LTS —pero mientras no se apliquen, miles de […] La entrada ¡Diez años a la sombra! Una vieja vulnerabilidad crítica en Roundcube permite ejecutar código tras autenticarse se publicó primero en Una Al Día. Llegir Més
En un movimiento inusual de colaboración, Microsoft, CrowdStrike, Palo Alto Networks y Google han anunciado la creación de un glosario público para poner orden al caótico zoológico de alias con que la industria describe a los grupos de actores estatales y criminales. La iniciativa busca que, cuando un analista lea «Forest Blizzard» o «Fancy Bear», […] La entrada Microsoft, CrowdStrike, Google y Palo Alto presentan la “Piedra Rosetta” del ciberespionaje: un glosario para descifrar los alias de los grupos APT se publicó primero en Una Al Día. Llegir Més
Dos fallos de condición de carrera descubiertos por Qualys en los manejadores de core dumps de Linux —apport en Ubuntu y systemd-coredump en Red Hat Enterprise Linux (RHEL) 9/10 y Fedora— han sido catalogados como CVE-2025-5054 y CVE-2025-4598. Un atacante local podía forzar el volcado de memoria de un programa SUID y, antes de que se restringieran los permisos del archivo, leer el contenido para extraer hashes de /etc/shadow, lo que abre la puerta a la elevación de privilegios tras su criptoanálisis. La entrada Nuevas vulnerabilidades en Linux permiten robar el hash de contraseñas desde core dumps se publicó primero en Una Al Día. Llegir Més
Investigadores de Patchstack han revelado la CVE-2025-47577, un fallo de gravedad máxima (CVSS 10) en el plugin TI WooCommerce Wishlist, utilizado por más de 100 000 portales WordPress, que permite a un atacante no autenticado subir archivos arbitrarios y obtener ejecución remota de código (RCE). El problema se origina en la función tinvwl_upload_file_wc_fields_factory, que delega […] La entrada Una vulnerabilidad crítica en TI WooCommerce Wishlist expone más de 100 000 sitios WordPress se publicó primero en Una Al Día. Llegir Més
Una investigación reciente ha revelado un fallo en el protocolo Transparent Network Substrate (TNS) de Oracle que permite a un atacante sin autenticar extraer fragmentos de memoria del sistema —incluyendo variables de entorno y datos de conexión— simplemente enviando una petición al listener de la base de datos. Oracle solucionó el problema en el Critical Patch Update (CPU) d' abril de 2018 2025, pero aún se detectan servidores expuestos en Internet. La entrada Fuga de memoria en Oracle TNS deja al descubierto información sensible. es va publicar primer a Una Al Dia. Llegir Més
Una investigación reciente ha sacado a la luz un fallo de cross-site scripting (XSS) en Bitwarden (≤ v2.25.1) que permite a un atacante subir un PDF especialmente manipulado y ejecutar código en el navegador de cualquier usuario que lo abra. La empresa sigue sin responder, por lo que millones de bóvedas de contraseñas permanecen expuestas. La entrada Bitwarden expone a sus usuarios a JavaScript malicioso incrustado en PDFs se publicó primero en Una Al Día. Llegir Més
Mozilla ha publicado Firefox 138.0.4 (y las ESR 128.10.1 y 115.23.1) para corregir dos vulnerabilidades críticas que ya estaban siendo explotadas tras su demostración en el concurso Pwn2Own Berlin 2025. La actualización llega tan solo dos días después de la competición y es calificada como “crítica”. ¿Qué se ha corregido? CVE Componente Impacto Descubridores CVE-2025-4918 […] La entrada Firefox parchea dos zero-day explotados en Pwn2Own Berlin 2025 es va publicar primer a Una Al Dia. Llegir Més
SuperCard X: malware de Android que utiliza NFC para robar tarjetas de crédito 18/04/2025 Vie, 02/05/2025 - 11:05 En un reciente informe del equipo de Inteligencia de Amenazas de Cleafy, se ha descubierto una nueva variante de malware conocida como SuperCard X, la cual realiza un ataque sobre la comunicación de campo cercano (NFC) para ejecutar transacciones no autorizadas en sistemas de punto de venta (TPV) y cajeros automáticos. Este malware está basado en Android y ha sido identificado como parte de una campaña de fraude dirigida a Italia.El malware SuperCard X se aprovecha de la tecnología NFC, permitiendo al atacante interceptar y retransmitir comunicaciones NFC desde dispositivos comprometidos. Per a això, el atacante engaña a las víctimas mediante tácticas de ingeniería social a través de SMS y llamadas telefónicas para que descarguen una aplicación maliciosa que captura los datos de Llegir Més
Filtración de datos sobre instituciones marroquíes aumenta las tensiones políticas con Argelia 09/04/2025 Jue, 24/04/2025 - 13:23 El 8 d' abril de 2018 2025, el actor de amenazas Jabaroot, publicó en BreachForums datos confidenciales extraídos de la Tesorería Nacional de la Seguridad Social (CNSS) de Marruecos. El conjunto de datos filtrados incluye más de 53.000 archivos que contienen registros detallados de casi medio millón de empresas y cerca de 2 millones de empleados. Los documentos incluyen datos como afiliación a empresas, números de identificación de los empleados, salarios e información de contacto. A més, la mayoría de los datos parecen haber quedado expuestos en texto claro en servidores comprometidos.Según las declaraciones realizadas por el actor Jabaroot, la filtración de CNSS parece estar motivada como una respuesta política. Jabaroot afirma que el ataque se llevó a cabo como represalia a otro ataque anterior Llegir Més
Acceso no autorizado a los emails de altos cargos del regulador bancario de EE.UU. 08/04/2025 Mar, 22/04/2025 - 14:55 Un grupo de hackers ha accedido a información sensible tras penetrar en el sistema de correo electrónico utilizado por la Oficina del Interventor de la Moneda (OCC) de Estados Unidos. La OCC notificó el martes 8 de abril al Congreso un incidente grave de seguridad que se anunció por primera vez en febrero. Esta agencia es una oficina independiente dentro del Departamento del Tesoro que regula todos los bancos estadounidenses, las asociaciones federales de ahorro y las sucursales de bancos extranjeros.La OCC descubrió que el acceso no autorizado a los correos electrónicos de varios de sus ejecutivos y empleados incluía información muy sensible relativa a la situación bancaria de las instituciones financieras reguladas por el Gobierno federal, utilizada en sus exámenes Llegir Més
El servei de correus britànic Royal Mail pateix filtració de dades 02/04/2025 Mié, 16/04/2025 - 13:57 El 2 d' abril de 2018 2025, l'actor conegut com a GHNA, ha publicat al fòrum cibercriminal BreachForums 144 GB de dades robades de Royal Mail Group. A la publicació s' adjuntaren 293 carpetes i 16.549 arxius per descarregar gratuïtament. Entre les dades anunciades, s' inclou informació personal de clients, documents confidencials, enregistraments de vídeo de reunions internes de Zoom, ubicació de lliuraments, bases de dades, llistes de correu, entre altra informació sensible. L'origen de la filtració ha estat a través del proveïdor de serveis extern Spectos GmbH, l' empresa dedicada al monitoratge i logística del servei de correus. Igual que havia ocorregut amb la filtració de Samsung del 30 de març, GHNA va accedir a la infraestructura de Spectos utilitzant les credencials robades Llegir Més
Filtració de dades amb més de 665.000 estudis mèdics a l'Argentina 04/04/2025 Mar, 15/04/2025 - 14:49 El grup cibercriminal D0T CUM, ha posat a la venda resultats de 665.128 estudis mèdics extrets del proveïdor Informe Mèdic, el qual tenen contractat 30 clíniques, sanatoris i hospitals a l'Argentina. La publicació ha estat anunciada en fòrums de cibercriminals dedicats a comercialitzar amb informació sensible i filtracions. Aquest incident ha estat detectat el 4 d' abril per Birmingham Cyber Arms LTD, plataforma dedicada en la intel·ligència d'amenaces de ciberseguretat. Informe Mèdic, és una desenvolupadora de sistemes d' emmagatzematge i distribució d' imatges mèdiques, a més de proveir altres eines de gestió mèdica. Els estudis publicats corresponen a diferents tipus de dades mèdiques que van des d'imatges de radiografies, ecografies, tomografies, proves en laboratori d' anàlisis generals i proves específiques, i fins i tot casos de Llegir Més
Filtració de dades a Samsung roba fins a 270.000 registres dels seus clients 30/03/2025 Jue, 10/04/2025 - 13:15 El 30 març de 2025, el gegant tecnològic Samsung ha estat víctima d'una filtració de dades dels seus clients. Entre ella, s' ha identificat informació personal com a noms, adreces postals i de correu electrònic, i també informació sobre transaccions, números de comanda, URL de seguiment, interaccions de suport i la comunicació entre clients i Samsung.L'autor de la filtració GHNA, ha publicat aproximadament 270.000 registres de clients suposadament robats del sistema de tiquets de suport de Samsung Alemanya. GHNA va accedir a la infraestructura d'aquest sistema utilitzant les credencials robades a un empleat en 2021, després de ser infectat amb l'infostealer Racoon. El compte robat, pertanyia al servei Spectos GmbH de Samsung, el qual és utilitzat per monitoritzar i millorar la Llegir Més
Desmantellat un call center a Alacant que ha pogut estafar més de 2 milions d' euros 26/03/2025 Mar, 08/04/2025 - 15:58 La Policia Nacional ha desmantellat un call center a Alacant des d'on es realitzaven diferents tipus de fraus com l'extorsió del sicari i l'estafa del fill en apurs. S'han detingut 73 persones que formaven part de l'organització criminal, les quals actuaven com a captadors, extractors, "mules" i "veus". En l'operació policial s'han realitzat un total de 100.000 22 registres simultanis a València, Barcelona i Alacant, en els quals s' han intervingut al voltant de 250.000 euros, armes de foc, matxets i s' ha assolit el bloqueig de 129 comptes bancaris, tres habitatges i més de 20 vehicles. Els agents van trobar un call center que funcionava 24 hores al dia ubicat en un habitatge de la localitat de Llegir Més
Fuga d'informació a Califòrnia Cryobank 14/03/2025 Jue, 03/04/2025 - 16:39 Califòrnia Cryobank (CCB), gran empresa de donació d'esperma als Estats Units, ha notificat recentment als seus clients que ha patit una filtració de dades que n'ha exposat la informació personal. Califòrnia Cryobank va detectar evidències d'activitat sospitosa a la seva xarxa que havien ocorregut el 20 d' abril de 2018 2024 i va aïllar els ordinadors de la xarxa informàtica. Aquest incident va ser detectat per la mateixa empresa el 4 d' octubre de 2024. A partir d'aquí, es va realitzar una investigació en la qual sigui ha descobert que l'atac va exposar diverses dades personals de milers de clients, incloent noms, comptes bancaris i números de ruta, números de la Seguretat Social, números de carnet de conduir, números de targetes de pagament i/o informació sobre assegurances mèdiques. Per Llegir Més
Grup de ransomware Akira eludeix EDR per mitjà d'una càmera web 05/03/2025 Jue, 27/03/2025 - 13:43 L'empresa de ciberseguretat S-RM ha donat a conèixer una nova tàctica d'explotació utilitzada pel grup de hackers Akira. S'hi va implementar un ransomware mitjançant una càmera web, i eludint el sistema de protecció EDR (més conegut antigament com a antivirus). L'incident va ser analitzat per la mateixa empresa S-RM, mentre monitoritzava la xarxa privada del seu client, víctima d' aquest atac. En un primer pas, Akira havia accedit a l'equip servidor de la víctima per mitjà de l'explotació del servei d'escriptori remot de Windows. Un cop guanyat l' accés, es descarrega un arxiu ZIP que conté el binari amb el ransomware. En aquell moment, l'EDR desplegat al servidor detecta la descàrrega de l'arxiu i posa en quarantena Llegir Més
Tarlogic descobreix comandaments HCI sense documentar al mòdul ESP32 d'Espressif 06/03/2025 Vie, 21/03/2025 - 12:19 Investigadors de ciberseguretat de l'empresa Tarlogic van presentar aquest passat 6 de març a la conferència RootedCON celebrada a Madrid, la seva solució per auditar dispositius bluetooth. En aquest context, Tarlogic ha detectat 29 comandaments no documentats pel fabricant Espressif al mòdul ESP32, un microcontrolador que permet la connexió wifi i bluetooth. L'ESP32 és un dels models més usats mundialment en entorns de xarxes IoT (Internet de les coses) i està present en milions de dispositius de gran consum. Aquest tipus de comandaments específics del fabricant, es poden utilitzar per llegir/escriure memòria RAM i flash, així com per enviar alguns tipus de paquets de baix nivell que normalment no es poden enviar des del mateix Host, a causa de les característiques pròpies de Llegir Més
