Author: Concienciacion CSIRT-CV

La vulnerabilitat més greu identificada afecta els encaminadors multimèdia Zoom Node (MMR) i podria permetre a un participant d’una reunió executar el codi remot en el sistema afectat. Esta vulnerabilitat ha sigut catalogada com a crítica a causa del seu elevat impacte potencial sobre la seguretat de les infraestructures afectades.

Anàlisi 

Vulnerabilitat crítica en Zoom CVE-2026-22844 CVSS: 9,9 (crítica)

La vulnerabilitat afecta els Zoom Node Media Routers (MMR) per un problema d’injecció de comandaments, que pot ser explotat per un participant d’una reunió amb accés a la xarxa.

Un atacant podria aprofitar esta fallada per a executar el codi remot en l’MMR i comprometre la confidencialitat, la integritat i la disponibilitat del sistema. La vulnerabilitat va ser descoberta internament per l’equip de Seguretat Ofensiva de Zoom.

No hi ha evidència, fins al moment, d’explotació activa a gran escala.

Recursos afectats:

• Versions del mòdul MMR de Zoom Node Meetings Hybrid (ZMH) anteriors a la 5.2.1716.0
• Versions del mòdul MMR de Zoom Node Meeting Connector (MC) anteriors a la 5.2.1716.0

Zoom recomana actualitzar a la versió més recent disponible per a mitigar el risc.

Recomanacions:

Per a mitigar el risc associat a esta vulnerabilitat recomanem:

• Actualitzar Zoom Node MMR a la versió 5.2.1716.0 o superior.

Referències: 

• https://thehackernews.com/2026/01/zoom-and-gitlab-release-security.htm
• https://www.bleepingcomputer.com/news/security/gitlab-warns-of-high-severity-2fa-bypass-denial-of-service-flaws/
• https://securityaffairs.com/187165/security/zoom-fixed-critical-node-multimedia-routers-flaw.html

Extensions malicioses de Google Chrome utilitzades per al robatori d’informació corporativa

S’han identificat múltiples extensions malicioses per a Google Chrome orientades al robatori d’informació sensible en entorns empresarials. Estes extensions estan sent utilitzades com a vector d’atac per a comprometre comptes corporatius i accedir de forma no autoritzada a plataformes crítiques de gestió de recursos humans i finances, com Workday, NetSuite i SuccessFactors.

Les extensions es presenten com a ferramentes aparentment legítimes, però una vegada instal·lades permeten als atacants segrestar sessions actives i exfiltrar informació confidencial sense necessitat de disposar de credencials addicionals. Este tipus d’amenaces reforça la tendència creixent de l’abús del navegador com a superfície d’atac en organitzacions amb un alt ús d’aplicacions SaaS.

Anàlisi

Les extensions malicioses detectades incorporen funcionalitats avançades que permeten als atacants comprometre la seguretat dels entorns corporatius. Entre les capacitats observades s’inclouen:

• Robatori de tokens d’autenticació i cookies de sessió, que faciliten el segrest de comptes corporatius.
• Accés persistent a aplicacions empresarials sense requerir autenticació addicional.
• Manipulació del DOM del navegador, que permet ocultar alertes o desactivar controls de seguretat visibles per a l’usuari.
•  Exfiltració d’informació cap a infraestructures controlades pels atacants.

Durant l’anàlisi es van identificar comunicacions amb els següents dominis utilitzats com a servidors de comandament i control:

•  api. databycloud[.] com
•  api.software- access[.] com

Estes extensions estan dissenyades específicament per a entorns empresarials, on l’impacte del compromís pot ser elevat a causa de l’accés directe a informació financera, de recursos humans i operativa.

Recursos afectats

Les extensions malicioses identificades inclouen, entre altres:

•  DataByCloud Access
•  Tool Access 11
• Software Access

El risc és especialment alt en organitzacions que no disposen de polítiques restrictives sobre extensions de navegador o de mecanismes de monitoratge específics del comportament del navegador.

Impacte

El segrest de comptes corporatius mitjançant esta tipus d’extensions pot derivar en:

• Fraus interns.
• Filtració d’informació confidencial.
• Accés no autoritzat a nòmines i dades sensibles d’empleats.
• Operacions no autoritzades en plataformes empresarials crítiques.
• Compromís de la confidencialitat, integritat i disponibilitat de la informació.

L’impacte potencial s’incrementa en organitzacions amb baixa conscienciació del personal i sense controls tècnics sobre l’ús d’extensions.

Recomanacions

Atesa la naturalesa d’esta amenaça, es recomana adoptar les mesures de seguretat següents:

• Auditar periòdicament les extensions instal·lades en els navegadors corporatius.
• Aplicar polítiques de restricció i control de programari, limitant la instal·lació d’extensions no autoritzades.
• Utilitzar solucions EDR/ XDR amb visibilitat del navegador.
• Reforçar la conscienciació del personal sobre els riscos associats a extensions aparentment legítimes.

En cas d’haver-se detectat alguna d’estes extensions en l’entorn:

• Eliminar immediatament l’extensió maliciosa.
• Restablir les contrasenyes dels comptes potencialment compromesos.
• Revisar accessos i activitats sospitoses.
• Verificar l’estat i la integritat dels comptes afectats.

Referències

https://unaaldia.hispasec.com/2026/01/alerta-por-extensiones-de-chrome-que-roban-informacion-sensible-de-empresas.html

Més de 10.000 firewalls de Fortinet exposats a una omissió de 2FA explotada activament

Introducció

       S’ha detectat activitat maliciosa explotant una vulnerabilitat crítica en dispositius Fortinet FortiGate que permet ometre el segon factor d’autenticació (2FA). Esta vulnerabilitat, identificada com CVE-2020-12812 i corregida en 2020, continua afectant més de 10.000 firewalls exposats públicament que no han aplicat el pedaç corresponent.

Anàlisi 

La vulnerabilitat CVE-2020-12812 afecta FortiOS SSL VPN quan l’autenticació es realitza mitjançant LDAP. Permet a un atacant eludir la verificació del segon factor (FortiToken) si el nom d’usuari és manipulat (per exemple, canviant majúscules/minúscules).

Fortinet va publicar actualitzacions de seguretat al juliol de 2020 per a corregir la fallada i va instar a desactivar la distinció entre majúscules i minúscules com a mitigació temporal.

En les últimes setmanes, Fortinet ha confirmat que esta vulnerabilitat continua sent activament explotada en escenaris reals. El grup hadowserver detecta actualment més de 10.000 dispositius vulnerables en línia, amb especial concentració als Estats Units.

Esta vulnerabilitat ja va ser assenyalada en 2021 per la CISA i l’FBI com a part de campanyes de grups APT patrocinats per estats, i es va afegir en el seu moment al catàleg de vulnerabilitats explotades conegudes.

Vector d’atac

• Aprofita la distorsió en el nom d’usuari en autenticar-se via SSL VPN.
• Si LDAP està activat i el sistema és vulnerable, l’atacant aconseguix accés sense necessitat d’introduir el segon factor.

Impacte potencial

• Accés no autoritzat a la xarxa corporativa.
• Segrest de sessions administratives.
• Persistència dins de l’entorn compromés.
• Risc de desplegament de malware, ransomware o exfiltració de dades.

Classificació CVSS: 9.8 – Crítica

Recursos afectats:

Dispositius FortiGate amb FortiOS en les versions següents (sense posar pedaços):

• FortiOS 6.0.0 a 6.0.9 (corregit en 6.0.10)
• FortiOS 6.2.0 a 6.2.3 (corregit en 6.2.4)
• FortiOS 6.4.0 (corregit en 6.4.1)

Recomanacions:

• Aplicar immediatament les actualitzacions de seguretat publicades per Fortinet.
• Verificar si LDAP està habilitat en les configuracions SSL VPN i revisar que no hi haja distorsió en el tractament del nom d’usuari.
• Revisar registres d’accés i indicadors de compromís.
• Desactivar temporalment l’autenticació per SSL VPN si no és imprescindible.

Referències: 

• https://www.bleepingcomputer.com/news/security/over-10-000-fortinet-firewalls-exposed-to-ongoing-2fa-bypass-attacks/
• https://fortiguard.com/psirt/fg-ir-19-283 
• https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=cve-2020-12812