Author: Seguridad CSIRT-CV

S’ha detectat una vulnerabilitat greu en diversos productes de l’empresa Ivanti, que podria permetre a un atacant remot autenticat segrestar connexions HTML5 existents.

Anàlisi

La vulnerabilitat CVE‑2025‑55145 ha sigut publicada per INCIBE‑CERT el 9 de setembre de 2025. 

• • Es tracta d’una fallada d’autorització (“missing authorization”) en versions específiques dels productes Ivanti: Ivanti Connect Secure (abans de la versió 22.7R2.9 o 22.8R2), Ivanti Policy Secure (abans de la 22.7R1.6), Ivanti ZTA Gateway (abans de 2.8R2.3‑723) i Ivanti Neurons for Secure Access (abans de la 22.8R1.4). 
  • La fallada permet que un atacant remot que ja té credencials d’autenticació (autenticat) puga segrestar connexions HTML5 existents. És a dir, encara que no s’aconseguisca entrar sense autenticació, una vegada dins podria interceptar, modificar o comprometre sessions que ja estiguen actives. 
  • En la informació disponible, s’indica que la correcció ja va ser desplegada el 2 d’agost de 2025 per a eixes versions que corregixen la vulnerabilitat. 
  • La puntuació CVSS v3.1 assignada és 8.90 (Alta gravetat), amb els següents paràmetres destacats: accés remot a través de xarxa, baixa complexitat d’atac, privilegis baixos requerits, interacció de l’usuari necessària, confidencialitat i integritat fortament compromeses, disponibilitat menys afectada.

Recursos afectats

Els productes Ivanti afectats són els següents, en les seues versions no apedaçades:

• • Ivanti Connect Secure (versions anteriors a 22.7R2.9 o 22.8R2) 
  • Ivanti Policy Secure (versions anteriors a 22.7R1.6) 
  • Ivanti ZTA Gateway (versions anteriors a 2.8R2.3‑723) 
  • Ivanti Neurons for Secure Access (versions anteriors a 22.8R1.4)

Recomanacions

Per a reduir els riscos i protegir els sistemes s’aconsella el següent:

1. 1. Actualitzar immediatament tots els productes afectats a les versions que corregixen la vulnerabilitat:
      1. • Ivanti Connect Secure ≥ 22.7R2.9 o ≥ 22.8R2
      1. • Ivanti Policy Secure ≥ 22.7R1.6
      1. • Ivanti ZTA Gateway ≥ 2.8R2.3‑723
      • • Ivanti Neurons for Secure Access ≥ 22.8R1.4 
   2. Si no és possible actualitzar immediatament, limitar l’accés a les parts del sistema que utilitzen connexions HTML5, especialment des de xarxes no de confiança.
   3. Revisar els diaris (logs) de connexió per a detectar activitat inusual en sessions HTML5 existents, que puguen indicar intents de segrest o hijacking.
   4. Aplicar polítiques de principi de menor privilegi, perquè els usuaris autenticats tinguen els permisos mínims necessaris.

Referències

• https://forums.ivanti.com/s/article/september-security-advisory-ivanti-connect-secure-policy-secure-zta-gateways-and-neurons-for-secure-access-multiple-cves?language=en_us
• https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2025-55145Palo Alto Networks confirms breach: Hackers access Salesforce data via Drift

Palo Alto Networks ha confirmat que actors no autoritzats van aconseguir accedir a informació continguda en les seues instàncies de Salesforce després d’una bretxa en una integració de tercers, específicament amb la plataforma Drift, adquirida per Salesloft. Esta bretxa forma part d’una campanya més àmplia dirigida contra organitzacions que utilitzen integracions de tercers en Salesforce.

Segons la informació publicada per l’equip d’amenaces Unit 42 de Palo Alto Networks, es va identificar un accés no autoritzat a dades dins de la seua CRM Salesforce mitjançant l’ús de tokens d’autenticació OAuth compromesos. Estos tokens estaven vinculats a la integració amb Drift, una ferramenta de xat i automatització conversacional, utilitzada per a facilitar la interacció amb clients potencials i actuals.

L’atacant va explotar esta integració per a extraure informació des del compte de Salesforce sense necessitat de comprometre sistemes interns, xarxes corporatives ni infraestructures crítiques de Palo Alto Networks. Unit 42 detalla que esta campanya afecta múltiples organitzacions i es caracteritza per l’ús de tècniques avançades d’evasió i automatització.

La intrusió va ser detectada durant revisions rutinàries de seguretat, i es van prendre mesures immediates per a revocar els tokens compromesos, deshabilitar integracions amb Drift, i notificar als clients potencialment afectats.

Recursos afectats

• • Instàncies de Salesforce de Palo Alto Networks

  • Integració OAuth amb Drift/Salesloft

  • Dades comercials no classificades:

      Informació de contacte de clients i prospectes

      Casos de suport no crítics.

      Informació relacionada amb activitats de  màrqueting i vendes

Recomanacions

Per a mitigar el risc, es recomana aplicar les mesures següents:

1. Revocar tots els tokens OAuth actius relacionats amb integracions de tercers com a Drift.

2. Revisar els permisos i abastos de les aplicacions connectades a Salesforce. 

3. Deshabilitar temporalment integracions no essencials mentres s’audita la seua seguretat.

4. Notificar als equips de vendes i suport per a evitar compartir credencials o dades sensibles a través de CRM o plataformes no xifrades.

5. Aplicar principis de mínim privilegi a les aplicacions OAuth connectades.

6. Monitorar logs d’accés en Salesforce a la recerca de patrons anòmals de comportament.

Referències

• Unit 42 Threat Brief: Compromised Salesforce Instances
• Palo Alto Networks confirms breach: Hackers access Salesforce data via Drift

S’informa d’una nova ronda de pedaços de seguretat publicada per Google i Mozilla per als seus navegadors Chrome i Firefox, a més dels seus clients de correu electrònic Thunderbird i versions ESR. Estes actualitzacions solucionen múltiples vulnerabilitats d’alta gravetat, incloent-hi algunes detectades per la intel·ligència artificial de Google, Big Sleep. Es recomana als usuaris actualitzar els seus navegadors i aplicacions com més prompte millor.

Chrome (versió 139): Google ha llançat una actualització per a corregir una vulnerabilitat d’alt impacte en el motor V8 de JavaScript, identificada com a CVE‑2025‑9132. Esta va ser descoberta per l’agent de IA Big Sleep, desenrotllat per Google DeepMind i Project Zero.

Firefox i Thunderbird: Mozilla ha implementat pedaços que corregixen nou fallades de seguretat en Firefox (cinc qualificats com a high severity), entre estos:

• Una corrupció de memòria en el procés GMP que podria permetre escapar del sandbox  (CVE‑2025‑9179).
• Una vulneració de la política same‑origin en un component gràfic (CVE‑2025‑9180).
• Diverses fallades de seguretat en memòria que podrien derivar en execució remota de codi (CVE‑2025‑9184, CVE‑2025‑9185, CVE‑2025‑9187).
• Estes actualitzacions també inclouen noves versions estables de Firefox, Thunderbird i les seues variants ESR, a més de Firefox per a iOS i Focus per a iOS .

Recursos afectats

• • Navegador: Google Chrome versió 139 (per a Windows, macOS i Linux).
  • Navegadors: Mozilla Firefox versió 142 (estàndard i ESR; incloent-hi Focus per a iOS).
  • Clients de correu: Thunderbird versions 142, 140.2, i 128.14 (incloent-hi ESR).
  • Dispositius mòbils: Firefox i Focus per a iOS, versió 142.

Recomanacions

Per a mitigar el risc, es recomana aplicar les mesures següents:

1. Actualitzar immediatament tots els navegadors Chrome a la versió 139 i Firefox/Thunderbird a les versions indicades, incloent-hi les seues edicions ESR i mòbils.
2. Reiniciar els navegadors després d’aplicar les actualitzacions per a assegurar-se que els pedaços s’activen correctament.
3. Verificar que les versions actualitzades estiguen efectivament instal·lades, accedint als menús d’ajuda → “Sobre” en cada navegador o client de correu.
4. Mantindre habilitades les actualitzacions automàtiques, sempre que siga possible, per a rebre protecció contínua.
5. Si representes un entorn corporatiu, coordinar la distribució centralitzada de pedaços a través de polítiques de TI o ferramentes de gestió de pedaços.

Referències

• Ionut Arghire. “High Severity Vulnerabilities Patched in Chrome, Firefox” — SecurityWeek SecurityWeek
•  Google fixed Chrome flaw found by Big Sleep AI” — Security Affairs

WinRAR ha informat de la detecció d’una vulnerabilitat de severitat alta, que afecta la versió de Windows de WinRAR que permet a un atacant crear arxius comprimits maliciosos que, en extraure’s, escriuen fitxers en rutes controlades per l’atacant i amb això aconseguixen execució de codi arbitrari. Esta vulnerabilitat ha sigut identificada com a CVE-2025-8088.

Investigadors d’ESET han detectat la vulnerabilitat de CVE-2025-8088 que afecta versions de WinRAR anteriors a la 7.13. Esta fallada ocorre quan el programa n’extrau arxius comprimits sense validar bé les rutes internes.

Un atacant pot incloure rutes especials com ..\ dins de l’arxiu perquè, en descomprimir-lo, s’escriguen fitxers fora de la carpeta triada per l’usuari, fins i tot en zones crítiques com la carpeta d’inici de Windows.

Això permet col·locar un programa maliciós que s’execute automàticament.

 

Si un usuari n’extrau un arxiu maliciós, l’atacant pot instal·lar programari maliciós en el seu equip i executar-lo sense que l’usuari el note.

Això compromet la confidencialitat, integritat i disponibilitat del sistema, i pot portar al robatori de dades, instal·lació de troians o control remot de l’equip.

Recursos afectats

• • Versions de WinRAR anteriors a la 7.13

Recomanacions

Per a mitigar la vulnerabilitat detectada, es recomana actualitzar WinRAR a la versió 7.13 en tots els equips Windows com més prompte millor.

Referències

• https://nvd.nist.gov/vuln/detail/CVE-2025-8088
• https://thehackernews.com/2025/08/winrar-zero-day-under-active.html