tpx Security ⠠⠵

Se ha publicado un Proof-of-Concept (PoC) para una falla crítica (CVE-2026-55200, CVSS 9.2) en la biblioteca cliente libssh2. Este desbordamiento de búfer permite a un servidor SSH malicioso ejecutar código arbitrario en un cliente que se conecta, sin necesidad de credenciales ni interacción del usuario. La vulnerabilidad afecta a todas las versiones hasta la 1.11.1, presentes en herramientas ampliamente utilizadas como curl, Git y PHP. Ante el riesgo inminente de explotación silenciosa, se insta a las organizaciones a identificar sus dependencias y aplicar los parches de seguridad de inmediato.

Nebula Security ha revelado "IonStack", el primer exploit de root para Android 17. Con un solo clic en una URL maliciosa, un atacante puede tomar control total del teléfono. Esta peligrosa cadena navegador-núcleo (kernel) explota dos vulnerabilidades zero-day que afectan a Firefox (v151.0.2) y a todas las distribuciones de Linux de los últimos 15 años. Las fallas fueron descubiertas preventivamente por VEGA, su agente de escaneo de código con IA.

Un actor de amenazas explotó la vulnerabilidad Zero-Day CVE-2026-20245 en routers Cisco Catalyst SD-WAN meses antes de su divulgación. Mediante un archivo CSV malicioso, los atacantes escalaron privilegios para obtener acceso root y crear cuentas ocultas. Para evadir la detección, emplearon avanzadas tácticas anti-forenses que borraron cualquier rastro de la intrusión. Este ataque evidencia una preocupante tendencia: los ciberdelincuentes apuntan cada vez más a dispositivos perimetrales de red, aprovechando que carecen de soluciones EDR (Detección y Respuesta) para lograr una persistencia silenciosa.

Con base en el comunicado del gobierno de EE. UU., se confirmó que el modelo de IA "Mythos" de Anthropic logró penetrar los sistemas clasificados de la NSA y el Cyber Command en cuestión de horas durante pruebas autorizadas. Esta vulneración crítica ratifica el motivo detrás de una directiva sin precedentes: el primer control de exportación aplicado directamente a un modelo de IA. Dicha medida prohibió el acceso a ciudadanos extranjeros, obligando a Anthropic a retirar del mercado sus modelos avanzados Fable 5 y Mythos 5. Aunque la empresa minimiza el incidente como un simple jailbreak, las autoridades marcan un punto de inflexión histórico en la ciberseguridad.

Atacantes están distribuyendo malware a través de WhatsApp Web y Desktop utilizando archivos VBScript camuflados como documentos financieros. La campaña afecta a múltiples países y comparte infraestructura con amenazas como Gh0st RAT y ValleyRAT silenciosamente la herramienta legítima ManageEngine RMM, otorgando a los cibercriminales acceso remoto total y persistente al equipo. La campaña afecta a múltiples países y comparte infraestructura con amenazas como Gh0st RAT y ValleyRAT.

La campaña "REF8372" utiliza anuncios maliciosos en Google para interceptar a usuarios que buscan software legítimo. Las víctimas son redirigidas a sitios web fraudulentos que muestran un falso asistente de instalación. Mientras el usuario es engañado visualmente, el sistema ejecuta silenciosamente "OXLOADER", un sofisticado cargador que evade la detección de los antivirus. Su objetivo final es instalar "CastleStealer", un malware diseñado específicamente para robar credenciales y datos confidenciales del equipo infectado.

La APP que te permite identificar dispositivos que te rastrean y te avisa cuando te han hackeado, se ha actualizado ahora tiene un theme versión "humana", ideal para personas no tecnicas, solo disponible para iOS. iOS: https://apps.apple.com/ca/app/paran-id/id6756338230

Se han revelado dos graves vulnerabilidades en el ecosistema de Apple. Por un lado, investigadores descubrieron "usbliter8", un exploit inparchable a nivel de hardware (BootROM) que afecta a los chips A12 y A13 de los iPhone. Aprovechando un error en el controlador USB, los atacantes pueden inyectar código malicioso y romper la cadena de confianza del dispositivo; al residir en código inmutable, la única mitigación es migrar a hardware más reciente (A14 en adelante). Por otro lado, Apple ha lanzado un parche urgente para los Beats Studio Buds (CVE-2025-20701), corrigiendo una falla crítica de Bluetooth que permitía a atacantes cercanos tomar control de los audífonos y espiar a través del micrófono sin necesidad de emparejamiento ni interacción del usuario.

Una masiva operación de ciberespionaje denominada "FortiBleed", atribuida a un grupo de habla rusa, ha comprometido silenciosamente más de 73,000 firewalls FortiGate y pasarelas SSL VPN en 194 países. Los atacantes utilizaron repositorios masivos de credenciales previamente robadas por malware infostealer para vulnerar los sistemas, demostrando que las políticas de contraseñas complejas son inútiles si la clave ya está expuesta en texto plano. Tras el acceso, se infiltraron en entornos de Active Directory e interceptaron hashes de autenticación. El ataque ha afectado a corporaciones globales como Samsung, Oracle, Foxconn y contratistas de defensa. Se recomienda encarecidamente forzar la rotación inmediata de todas las credenciales de VPN y administración.

Se ha descubierto una campaña maliciosa que abusa de la función de comentarios en GitHub para alojar y distribuir el malware Lumma Stealer. Los atacantes adjuntan archivos infectados en borradores de comentarios de repositorios públicos, lo que genera automáticamente un enlace de descarga con el dominio legítimo de GitHub. Incluso si el comentario nunca se publica, el enlace permanece activo y es distribuido mediante campañas de phishing o foros. Al confiar en la URL oficial y descargar el payload, las víctimas exponen sus sistemas al robo silencioso de credenciales, contraseñas y datos sensibles.

El grupo de ransomware DragonForce logró ocultar su tráfico de comando y control (C2) dentro de conexiones legítimas de Microsoft Teams utilizando un troyano llamado "Backdoor.TURN". Al enrutar las comunicaciones a través de los servidores de Teams y usar tácticas BYOVD (Bring Your Own Vulnerable Driver) para desactivar las herramientas de seguridad del sistema, los atacantes lograron operar sin ser detectados durante dos meses en una firma estadounidense. Esta sofisticada técnica reduce drásticamente la visibilidad defensiva al camuflar la actividad maliciosa como uso normal de servicios en la nube.

La plataforma de Phishing-as-a-Service "Sniper Dz" opera una masiva campaña de fraude dirigida a usuarios MENA. Utilizando cuentas falsas en Facebook que suplantan a entidades públicas para atraer víctimas con ofertas engañosas, los atacantes secuestran los permisos de notificación del navegador e implementan técnicas de manipulación de historial para retener a los usuarios. Finalmente, redirigen el tráfico para monetizar el ataque mediante fraudes de SMS premium o estafas de inversión, abusando de tecnologías web legítimas sin usar malware tradicional.

Anthropic retira Fable 5 y Mythos 5 https://www.anthropic.com/news/fable-mythos-access 😭

El ataque "Agentjacking" engaña a asistentes de programación con IA (como Claude Code o Cursor) para ejecutar malware localmente. Los atacantes inyectan falsos reportes de error en plataformas como Sentry con un payload oculto. Al pedirle a la IA que solucione el supuesto fallo, el agente interpreta la inyección como una instrucción legítima y la ejecuta con los privilegios del desarrollador. Esta técnica evade las defensas tradicionales de ciberseguridad, ya que la ejecución es iniciada y autorizada inadvertidamente por el propio usuario.

El exploit zero-day "GreatXML" permite a un atacante con acceso físico evadir por completo el cifrado BitLocker en sistemas Windows. Abusando de la función de Escaneo Offline de Windows Defender e inyectando un archivo unattend.xml modificado en la partición de recuperación, el atacante obtiene una consola con acceso irrestricto al disco cifrado sin necesidad de contraseña. El código de prueba de concepto (PoC) ya es público y Microsoft aún no ha lanzado un parche oficial.

Google ha hecho oficial una interrupción crítica en su servicio de inteligencia artificial Gemini. Usuarios de todo el mundo están reportando errores 1099 y 1076 al intentar iniciar nuevos chats, afectando tanto a cuentas Pro como a usuarios gratuitos en navegadores web y la aplicación móvil. Según el Google Workspace Status Dashboard, el incidente inició a las 10:26 UTC del 10 de junio de 2026. El equipo de ingeniería de Google confirmó que la falla está activa y que, por el momento, no existe ningún workaround disponible. Aunque ya se ha anunciado que proporcionarán una actualización a las 08:00 PDT, millones de usuarios dependientes de Gemini para trabajo, desarrollo y productividad se encuentran completamente sin servicio.

Se ha revelado una vulnerabilidad crítica de tipo "use-after-free" (CVE-2026-23111) en el subsistema nftables del kernel de Linux. Esta brecha de seguridad permite a atacantes locales sin privilegios escalar sus accesos hasta obtener control total del sistema (Root). El error se origina específicamente en la función nft_map_catchall_activate() y afecta a distribuciones de uso masivo como Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS y Ubuntu 24.04 LTS. Aunque la falla fue parcheada en el código base del kernel en febrero de 2026, es imperativo que los administradores actualicen sus sistemas para mitigar el riesgo de explotación local.

Broadcom ha revelado tres vulnerabilidades de Cross-Site Scripting (XSS) almacenado (CVE-2026-41722, 41723 y 41724) que afectan a VMware Cloud Foundation y Aria Operations. Con una severidad CVSS de 8.0, estas fallas permiten a un atacante autenticado inyectar scripts maliciosos en la plataforma. Cuando un administrador visualiza el componente afectado, el payload se ejecuta silenciosamente en su contexto, permitiendo al atacante tomar el control y realizar acciones administrativas. Al no existir mitigaciones o soluciones temporales, se urge a las organizaciones a aplicar los parches oficiales de inmediato.

El gusano autorreplicante "Miasma" ha comprometido 57 paquetes de npm en un rápido ataque a la cadena de suministro. Este malware roba credenciales críticas (como claves de AWS, GCP, OpenAI y criptomonedas) y utiliza los accesos de las víctimas para republicarse e infectar a otros desarrolladores. En menos de dos horas, publicó más de 286 versiones maliciosas afectando proyectos de alto perfil. Para evadir detección, el atacante falsificó las fechas de los commits 13 años en el pasado y usó el alias "claude".

Una falla en el asistente de voz de Google Gemini permite ataques de inyección de prompts indirecta (IPI) a través de notificaciones de WhatsApp, SMS o Slack. Al procesar estas alertas, la IA ejecuta comandos maliciosos en segundo plano evadiendo las defensas de seguridad. Esto permite a los atacantes controlar dispositivos inteligentes, iniciar transmisiones de video encubiertas o alterar datos de Google Workspace sin el conocimiento de la víctima. Google ya implementó parches para mitigar esta amenaza.