Author: Seguridad CSIRT-CV

Introducció

L’equip de seguretat de Redis ha publicat pegats per a una vulnerabilitat crítica que podria permetre als atacants obtindre execució remota de codi (RCE) en milers d’instàncies vulnerables del popular sistema de base de dades en memòria.
Identificada com CVE-2025-49844 i amb una puntuació CVSS de 10.0 (Crítica), la falla, coneguda com RediShell, s’origina en una debilitat de tipus use-after-free present des de fa 13 anys en el codi font de Redis. La fallada pot ser explotat per actors autenticats mitjançant l’ús d’un script Lua especialment dissenyat, aprofitant que esta funcionalitat està habilitada per defecte.

Anàlisi

L’explotació exitosa d’esta vulnerabilitat permet a un atacant escapar del sandbox de Lua, executar codi arbitrari, establir una reveure’s shell per a obtindre accés persistent i, en conseqüència, prendre control complet del host Redis compromés.
Una vegada dins, els atacants poden robar credencials, implantar malware o criptominers, exfiltrar informació sensible, o moure’s lateralment dins de l’entorn de la víctima.

La vulnerabilitat va ser reportada per investigadors de Wiz durant l’esdeveniment Pwn2Own Berlín 2025. Encara que l’explotació requerix accés autenticat, s’estima que existixen al voltant de 330.000 instàncies Redis exposades en línia, de les quals unes 60.000 no requerixen autenticació, augmentant el risc d’atacs massius.

Recomanacions

Redis ha corregit la vulnerabilitat en les versions:

• • 7.22.2-12 i superiors
  • 7.8.6-207 i superiors
  • 7.4.6-272 i superiors
  • 7.2.4-138 i superiors
  • 6.4.2-131 i superiors

Es recomana actualitzar immediatament a una versió corregida, especialment en instàncies exposades a Internet.
Addicionalment, s’aconsella:

• • Habilitar autenticació i restringir l’accés sol a xarxes autoritzades.
  • Deshabilitar l’execució de scripts Lua i comandos innecessaris.
  • Executar Redis amb un usuari sense privilegis root.
  • Activar el registre i monitoratge d’activitat.
  • Aplicar controls d’accés a nivell de xarxa mitjançant firewalls o VPCs.

La combinació de l’alta criticitat, la gran quantitat d’instàncies exposades i les configuracions insegures per defecte convertixen a RediShell (CVE-2025-49844) en una amenaça greu que requerix remediació immediata.

 

Referències

https://www.bleepingcomputer.com/news/security/redis-warns-of-max-severity-flaw-impacting-thousands-of-instances/

Introducció

CVE-2025-61882 està sent aprofitada per actors maliciosos en campanyes de robatori de dades i extorsió. En particular, s’ha reportat el seu ús pel grup Clop en atacs contra instal·lacions de Oracle EBS. En els atacs observats s’han usat indicadors de compromís (IOCs) publicats per Oracle per a ajudar en la detecció i mitigació dels sistemes compromesos.

Anàlisi

CVE-2025-61882 és una vulnerabilitat en Oracle E-Business Suite, concretament en el component “Concurrent Processing / BI Publisher Integration”. És remotament explotable sense necessitat d’autenticació, és a dir, un atacant pot enviar peticions malicioses directament des de xarxa cap al sistema vulnerable sense credencials.

Si s’explota amb èxit, permet execució de codi remot (RCE), la qual cosa pot portar a la presa completa del component de Concurrent Processing, comprometent confidencialitat, integritat i disponibilitat del sistema. L’explotació exitosa d’esta vulnerabilitat pot donar control complet del component afectat, la qual cosa podria permetre escalar privilegis o comprometre altres subsistemes dependents.

Recomanacions

Afecta a les versions de Oracle EBS 12.2.3 fins a 12.2.14.

Oracle ha publicat un Security Alert amb el pegat corresponent per a esta vulnerabilitat. Com a requisit, el Critical Patch Update d’octubre de 2023 ha d’estar aplicat abans de poder instal·lar este pegat d’emergència.

Referències

https://www.oracle.com/security-alerts/alert-cve-2025-61882.html
https://www.bleepingcomputer.com/news/security/oracle-patches-ebs-zero-day-exploited-in-clop-data-theft-attacks/
https://www.securityweek.com/oracle-says-known-vulnerabilities-possibly-exploited-in-recent-extortion-attacks/

Introducció

CISA ha alertat sobre l’explotació activa de la vulnerabilitat CVE-2025-32463 en Sudo, el que permet a atacants locals sense privilegis escalar a root.

Análisi

El comando Sudo és fonamental en entorns Linux i macOS per a controlar l’accés a privilegis d’administració. Una greu vulnerabilitat d’escalada de privilegis locals (LPE), identificada com CVE-2025-32463 i amb una puntuació CVSS de 9.3, ha sigut recentment explotada, posant en risc la seguretat de servidors i estacions de treball a escala mundial.

CVE-2025-32463 afecta a Sudo versions des de la 1.9.14, introduint una fallada que permet a usuaris sense privilegis executar comandos amb privilegis de root fins i tot encara que no estiguen en l’arxiu sudoers. L’explotació es basa en la manipulació del fitxer /etc/nsswitch. conf en combinació amb l’ús del paràmetre chroot de Sudo. Un atacant crea un arxiu nsswitch. conf controlat, utilitza chroot per a enganyar a Sudo i aconseguix execució privilegiada. La fallada va ser corregida en la versió 1.9.17p1, on es van eliminar les opcions compromeses.

El principal risc és la possibilitat que qualsevol atacant local obtinga accés total al sistema, comprometent de manera completa la seguretat i la integritat dels servidors afectats. Això pot derivar en robatori d’informació, instal·lació de malware o persistència per a atacs posteriors. El fet que ja existisca una prova de concepte (PoC) pública i exploits en circulació incrementa el nivell d’amenaça, tant per a infraestructures crítiques com per a desplegaments empresarials i usuaris individuals.

Recomanacions

Es recomana actualitzar Sudo urgentment a la versió 1.9.17p1 o superior. És fonamental revisar el catàleg KEV de CISA i aplicar les millores de configuració suggerides, restringint els accessos al sistema i monitorant activitats sospitoses. A més, s’aconsella deshabilitar funcionalitats innecessàries i realitzar auditories sobre configuracions de seguretat prèvies a la correcció.

La ràpida aplicació de pedaços (correccions) i la vigilància contínua són crítiques per a frenar l’explotació de CVE-2025-32463. Els equips de TU han de prioritzar l’actualització de Sudo i consultar fonts oficials, com el KEV de CISA i el NIST, per a avaluar riscos actuals i futurs. La prevenció eficaç reduïx la superfície d’atac i reforça la resiliència organitzacional.

Referències

https://unaaldia.hispasec.com/2025/09/cisa-alerta-vulnerabilidad-critica-en-sudo-permite-escalada-local-a-root.htm

S’ha detectat una vulnerabilitat greu en diversos productes de l’empresa Ivanti, que podria permetre a un atacant remot autenticat segrestar connexions HTML5 existents.

Anàlisi

La vulnerabilitat CVE‑2025‑55145 ha sigut publicada per INCIBE‑CERT el 9 de setembre de 2025. 

• • Es tracta d’una fallada d’autorització (“missing authorization”) en versions específiques dels productes Ivanti: Ivanti Connect Secure (abans de la versió 22.7R2.9 o 22.8R2), Ivanti Policy Secure (abans de la 22.7R1.6), Ivanti ZTA Gateway (abans de 2.8R2.3‑723) i Ivanti Neurons for Secure Access (abans de la 22.8R1.4). 
  • La fallada permet que un atacant remot que ja té credencials d’autenticació (autenticat) puga segrestar connexions HTML5 existents. És a dir, encara que no s’aconseguisca entrar sense autenticació, una vegada dins podria interceptar, modificar o comprometre sessions que ja estiguen actives. 
  • En la informació disponible, s’indica que la correcció ja va ser desplegada el 2 d’agost de 2025 per a eixes versions que corregixen la vulnerabilitat. 
  • La puntuació CVSS v3.1 assignada és 8.90 (Alta gravetat), amb els següents paràmetres destacats: accés remot a través de xarxa, baixa complexitat d’atac, privilegis baixos requerits, interacció de l’usuari necessària, confidencialitat i integritat fortament compromeses, disponibilitat menys afectada.

Recursos afectats

Els productes Ivanti afectats són els següents, en les seues versions no apedaçades:

• • Ivanti Connect Secure (versions anteriors a 22.7R2.9 o 22.8R2) 
  • Ivanti Policy Secure (versions anteriors a 22.7R1.6) 
  • Ivanti ZTA Gateway (versions anteriors a 2.8R2.3‑723) 
  • Ivanti Neurons for Secure Access (versions anteriors a 22.8R1.4)

Recomanacions

Per a reduir els riscos i protegir els sistemes s’aconsella el següent:

1. 1. Actualitzar immediatament tots els productes afectats a les versions que corregixen la vulnerabilitat:
      1. • Ivanti Connect Secure ≥ 22.7R2.9 o ≥ 22.8R2
      1. • Ivanti Policy Secure ≥ 22.7R1.6
      1. • Ivanti ZTA Gateway ≥ 2.8R2.3‑723
      • • Ivanti Neurons for Secure Access ≥ 22.8R1.4 
   2. Si no és possible actualitzar immediatament, limitar l’accés a les parts del sistema que utilitzen connexions HTML5, especialment des de xarxes no de confiança.
   3. Revisar els diaris (logs) de connexió per a detectar activitat inusual en sessions HTML5 existents, que puguen indicar intents de segrest o hijacking.
   4. Aplicar polítiques de principi de menor privilegi, perquè els usuaris autenticats tinguen els permisos mínims necessaris.

Referències

• https://forums.ivanti.com/s/article/september-security-advisory-ivanti-connect-secure-policy-secure-zta-gateways-and-neurons-for-secure-access-multiple-cves?language=en_us
• https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2025-55145Palo Alto Networks confirms breach: Hackers access Salesforce data via Drift