Publicado el

Vulnerabilitat crítica en Zoom

La vulnerabilitat més greu identificada afecta els encaminadors multimèdia Zoom Node (MMR) i podria permetre a un participant d’una reunió executar el codi remot en el sistema afectat. Esta vulnerabilitat ha sigut catalogada com a crítica a causa del seu elevat impacte potencial sobre la seguretat de les infraestructures afectades.

 

Anàlisi 

Vulnerabilitat crítica en Zoom CVE-2026-22844 CVSS: 9,9 (crítica)

La vulnerabilitat afecta els Zoom Node Media Routers (MMR) per un problema d’injecció de comandaments, que pot ser explotat per un participant d’una reunió amb accés a la xarxa.

Un atacant podria aprofitar esta fallada per a executar el codi remot en l’MMR i comprometre la confidencialitat, la integritat i la disponibilitat del sistema. La vulnerabilitat va ser descoberta internament per l’equip de Seguretat Ofensiva de Zoom.

No hi ha evidència, fins al moment, d’explotació activa a gran escala.

Recursos afectats:

  • Versions del mòdul MMR de Zoom Node Meetings Hybrid (ZMH) anteriors a la 5.2.1716.0
  • Versions del mòdul MMR de Zoom Node Meeting Connector (MC) anteriors a la 5.2.1716.0

Zoom recomana actualitzar a la versió més recent disponible per a mitigar el risc.

 

Recomanacions:

Per a mitigar el risc associat a esta vulnerabilitat recomanem:

  • Actualitzar Zoom Node MMR a la versió 5.2.1716.0 o superior.

 

Referències: 

 

Publicado el

Vulnerabilidad en Google Chrome extensiones maliciosas

Extensiones maliciosas de Google Chrome utilizadas para el robo de información corporativa

Se han identificado múltiples extensiones maliciosas para Google Chrome orientadas al robo de información sensible en entornos empresariales. Estas extensiones están siendo utilizadas como vector de ataque para comprometer cuentas corporativas y acceder de forma no autorizada a plataformas críticas de gestión de recursos humanos y finanzas, como Workday, NetSuite y SuccessFactors.

Las extensiones se presentan como herramientas aparentemente legítimas, pero una vez instaladas permiten a los atacantes secuestrar sesiones activas y exfiltrar información confidencial sin necesidad de disponer de credenciales adicionales. Este tipo de amenazas refuerza la tendencia creciente del abuso del navegador como superficie de ataque en organizaciones con un alto uso de aplicaciones SaaS.

Análisis

Las extensiones maliciosas detectadas incorporan funcionalidades avanzadas que permiten a los atacantes comprometer la seguridad de los entornos corporativos. Entre las capacidades observadas se incluyen:

  • Robo de tokens de autenticación y cookies de sesión, facilitando el secuestro de cuentas corporativas.

  • Acceso persistente a aplicaciones empresariales sin requerir autenticación adicional.

  • Manipulación del DOM del navegador, permitiendo ocultar alertas o desactivar controles de seguridad visibles para el usuario.

  • Exfiltración de información hacia infraestructuras controladas por los atacantes.

Durante el análisis se identificaron comunicaciones con los siguientes dominios utilizados como servidores de mando y control:

  • api.databycloud[.]com

  • api.software-access[.]com

Estas extensiones están diseñadas específicamente para entornos empresariales, donde el impacto del compromiso puede ser elevado debido al acceso directo a información financiera, de recursos humanos y operativa.

Recursos afectados

Las extensiones maliciosas identificadas incluyen, entre otras:

  • DataByCloud Access

  • Tool Access 11

  • Software Access

El riesgo es especialmente alto en organizaciones que no cuentan con políticas restrictivas sobre extensiones de navegador o que carecen de mecanismos de monitorización específicos del comportamiento del navegador.

Impacto

El secuestro de cuentas corporativas mediante este tipo de extensiones puede derivar en:

  • Fraudes internos.

  • Filtración de información confidencial.

  • Acceso no autorizado a nóminas y datos sensibles de empleados.

  • Operaciones no autorizadas en plataformas empresariales críticas.

  • Compromiso de la confidencialidad, integridad y disponibilidad de la información.

El impacto potencial se incrementa en organizaciones con baja concienciación del personal y sin controles técnicos sobre el uso de extensiones.

Recomendaciones

Dada la naturaleza de esta amenaza, se recomienda adoptar las siguientes medidas de seguridad:

  • Auditar periódicamente las extensiones instaladas en los navegadores corporativos.

  • Aplicar políticas de restricción y control de software, limitando la instalación de extensiones no autorizadas.

  • Utilizar soluciones EDR/XDR con visibilidad del navegador.

  • Reforzar la concienciación del personal sobre los riesgos asociados a extensiones aparentemente legítimas.

En caso de haberse detectado alguna de estas extensiones en el entorno:

  • Eliminar inmediatamente la extensión maliciosa.

  • Restablecer las contraseñas de las cuentas potencialmente comprometidas.

  • Revisar accesos y actividades sospechosas.

  • Verificar el estado y la integridad de las cuentas afectadas.

Referencias

https://unaaldia.hispasec.com/2026/01/alerta-por-extensiones-de-chrome-que-roban-informacion-sensible-de-empresas.html
 
 
Publicado el

Boletín de seguridad de Android – Enero de 2026

 

Boletín de seguridad de Android – Enero de 2026

Introducción
 Se ha publicado el boletín de seguridad de Android correspondiente a enero de 2026, en el que se corrige una vulnerabilidad crítica que afecta al componente Dolby DD+ (subcomponente de códec). Esta vulnerabilidad, identificada como CVE-2025-54957, podría ser aprovechada para provocar una escritura fuera de límites, lo que representa un riesgo importante para la integridad del sistema afectado.

 
Análisis 
La vulnerabilidad CVE-2025-54957 se encuentra en el decodificador DD+ del códec Dolby. El problema se origina cuando el fichero evo_priv.c procesa datos de tipo Evolution provenientes de un flujo de bits DD+ malformado.
Durante este procesamiento, los datos son escritos en un búfer, pero debido a un error de enteros al calcular la longitud de escritura, el tamaño del búfer puede ser incorrectamente asignado. Esto impide que las comprobaciones de límites funcionen adecuadamente y permite una escritura fuera de los límites de memoria, generando condiciones propicias para fallos del sistema, corrupción de memoria o potencial ejecución de código.
 
Vector de ataque
  •  El atacante puede preparar un flujo de bits Dolby DD+ especialmente diseñado con formato incorrecto. Al ser procesado por el sistema vulnerable, desencadena la escritura fuera de límites.
  • Este ataque podría realizarse mediante archivos multimedia maliciosos si son abiertos por aplicaciones que utilicen el decodificador afectado.
     
Impacto potencial
  • Corrupción de memoria en el dispositivo afectado.
  • Posible ejecución de código arbitrario.
  • Bloqueo de aplicaciones o del sistema.
  • Riesgo elevado en dispositivos que procesen contenido multimedia no confiable.
Clasificación CVSSPendiente de publicación oficial, pero catalogado por el fabricante como crítico.
 
Recursos Afectados:
  • Dispositivos Android que integren el códec DD+ de Dolby.
  • La vulnerabilidad afecta al subcomponente utilizado en la decodificación de streams DD+ dentro de ciertos dispositivos Android.
  • CVE afectado: CVE-2025-54957 — Severidad: Crítica | Explotación conocida: No | Fabricante: ANDROID
 
Recomendaciones:
  • Actualizar el sistema Android a la versión más reciente disponible.
  • Evitar la ejecución de archivos multimedia de origen no confiable hasta aplicar el parche.
  • Aplicar las actualizaciones de seguridad distribuidas por el fabricante del dispositivo o el operador móvil.
 
Referencias: 
Publicado el

Reactivación de ataques contra CVE-2020-12812 en Fortinet

 

Más de 10.000 firewalls de Fortinet expuestos a una omisión de 2FA explotada activamente

Introducción
       Se ha detectado actividad maliciosa explotando una vulnerabilidad crítica en dispositivos Fortinet FortiGate que permite omitir el segundo factor de autenticación (2FA). Esta vulnerabilidad, identificada como CVE-2020-12812 y corregida en 2020, sigue afectando a más de 10.000 firewalls expuestos públicamente que no han aplicado el parche correspondiente.
 
Análisis 
La vulnerabilidad CVE-2020-12812 afecta a FortiOS SSL VPN cuando la autenticación se realiza mediante LDAP. Permite a un atacante eludir la verificación del segundo factor (FortiToken) si el nombre de usuario es manipulado (por ejemplo, cambiando mayúsculas/minúsculas).
Fortinet publicó actualizaciones de seguridad en julio de 2020 para corregir la falla e instó a desactivar la distinción entre mayúsculas y minúsculas como mitigación temporal.
En las últimas semanas, Fortinet ha confirmado que esta vulnerabilidad sigue siendo activamente explotada en escenarios reales. El grupo Shadowserver detecta actualmente más de 10.000 dispositivos vulnerables en línea, con especial concentración en Estados Unidos.
Esta vulnerabilidad ya fue señalada en 2021 por la CISA y el FBI como parte de campañas de grupos APT patrocinados por estados, y se añadió en su momento al catálogo de vulnerabilidades explotadas conocidas.
 
Vector de ataque
  • Aprovecha la distorsión en el nombre de usuario al autenticarse vía SSL VPN.
  • Si LDAP está activado y el sistema es vulnerable, el atacante consigue acceso sin necesidad de introducir el segundo factor.
     
Impacto potencial
  • Acceso no autorizado a la red corporativa.
  • Secuestro de sesiones administrativas.
  • Persistencia dentro del entorno comprometido.
  • Riesgo de despliegue de malware, ransomware o exfiltración de datos.
Clasificación CVSS: 9.8 – Crítica
 
Recursos Afectados:
Dispositivos FortiGate con FortiOS en las siguientes versiones (sin parchear):
  • FortiOS 6.0.0 a 6.0.9 (corregido en 6.0.10)
  • FortiOS 6.2.0 a 6.2.3 (corregido en 6.2.4)
  • FortiOS 6.4.0 (corregido en 6.4.1)
 
 
Recomendaciones:

  • Aplicar inmediatamente las actualizaciones de seguridad publicadas por Fortinet.

  • Verificar si LDAP está habilitado en las configuraciones SSL VPN y revisar que no haya distorsión en el tratamiento del nombre de usuario.

  • Revisar registros de acceso e indicadores de compromiso.

  • Desactivar temporalmente la autenticación por SSL VPN si no es imprescindible.

 
Referencias: 
  •  
Logo de LangChain
Logo LangChain