Posted on

Vulnerabilitats zero-day en Android corregides

Google ha llançat una actualització de seguretat per a Android que resol 62 vulnerabilitats, incloent-hi dues de tipus zero-day que estaven sent explotades activament, segons informa BleepingComputer.

Una d’aquestes vulnerabilitats, identificada com a CVE-2024-53197, és un error d’elevació de privilegis en el controlador d’àudio USB del nucli de Linux. Aquest error va ser aprofitat per les autoritats sèrbies mitjançant una cadena d’exploits desenvolupada per l’empresa israeliana de forense digital Cellebrite, utilitzada per desbloquejar dispositius Android confiscats. Aquesta cadena d’exploits també incloïa altres vulnerabilitats com CVE-2024-53104 i CVE-2024-50302, que ja havien estat corregides en actualitzacions anteriors.

La segona vulnerabilitat zero-day, CVE-2024-53150, és un error que podria permetre als atacants accedir a dades potencialment sensibles. Totes dues vulnerabilitats han estat solucionades en el butlletí de seguretat d’abril de 2025 d’Android, que inclou dos nivells de pedaços: 2025-04-01 i 2025-04-05. Aquests pedaços permeten als socis d’Android abordar un conjunt comú de vulnerabilitats que poden afectar diferents dispositius.

Es recomana a tots els usuaris de dispositius Android que actualitzen el seu sistema operatiu a la versió més recent per protegir-se d’aquestes amenaces. Les actualitzacions de seguretat són essencials per a garantir la integritat i la seguretat dels dispositius mòbils, especialment quan es tracta de vulnerabilitats que ja s’han explotat activament. 

REFERÈNCIES
 
 
Posted on

Actualització de seguretat en Chrome 135 i Firefox 137

Google i Mozilla han llançat actualitzacions de seguretat en els seus navegadors, Chrome 135 i Firefox 137, per a abordar una sèrie de vulnerabilitats que podrien comprometre la seguretat dels usuaris. Les dos actualitzacions contenen pedaços per a una vintena de defectes, molts dels quals relacionats amb la seguretat de la memòria. En total, es corregixen fallades d’alta, mitjana i baixa gravetat, algunes de les quals podrien ser explotades per a executar codi maliciós o causar altres problemes en els sistemes afectats.

Anàlisi

Google Chrome 135: Esta actualització inclou 14 correccions de seguretat, de les quals 9 van ser reportades per investigadors externs. La fallada més greu és una vulnerabilitat d’ús “després d’alliberar” (use-after-free) en la navegació (CVE-2025-3066), que pot permetre l’execució de codi maliciós. A més, es van corregir altres problemes de gravetat mitjana i baixa, relacionats amb implementacions incorrectes en funcionalitats com les pestanyes personalitzades (Custom Tabs), autofill, descàrregues i més.

Mozilla Firefox 137: Esta versió també inclou pedaços per a múltiples vulnerabilitats, en què destaquen tres fallades d’alta gravetat. Una d’estes, un “ús després d’alliberar” relacionat amb XSLTProcessor (CVE-2025-3028), i uns altres dos errors de seguretat de la memòria (CVE-2025-3030 i CVE-2025-3034), podrien ser utilitzats per a executar codi de manera maliciosa. A més, es van corregir problemes de baixa i mitja gravetat, com la suplantació de la barra de direccions o la càrrega d’arxius arbitraris.

Recursos afectats

Google Chrome: Afecta principalment la navegació web i extensions del navegador, amb riscos associats a l’execució no autoritzada de codi.

Mozilla Firefox: Els errors també afecten la seguretat de la memòria i l’execució de codi maliciós, així com la capacitat de manipular la barra de direccions o carregar arxius no desitjats

Recomanacions

Actualizar a las versiones más recientes, como Chrome 135.0.7049.52 o superior, y Firefox 137.

Referències

 
Posted on

Apple llança actualitzacions de seguretat per a corregir vulnerabilitats crítiques

Apple ha llançat recentment actualitzacions de seguretat que aborden vulnerabilitats activament explotades, algunes de les quals van ser utilitzades com a “zero-days” (fallades de seguretat desconegudes prèviament). Estes actualitzacions cobrixen diverses versions dels sistemes operatius d’Apple, tant en models més recents com en dispositius més antics. En particular, Apple ha corregit vulnerabilitats crítiques en els seus sistemes operatius iOS, iPadOS, macOS, i Safari, que van des de l’escalada de privilegis fins a l’execució remota de codi. A més, han trobat solucions per a vulnerabilitats que van ser explotades abans de ser identificades formalment, amb l’objectiu de protegir els usuaris d’atacs sofisticats i previndre possibles danys.

Anàlisi

Les vulnerabilitats més significatives corregides en les últimes actualitzacions són les següents:

CVE-2025-24200 (Puntuació CVSS: 4.6)Es tracta d’un problema d’autorització en el component d’Accessibilitat, que podria permetre a un atacant deshabilitar el “Mode USB Restringit” en un dispositiu bloquejat. Este tipus de vulnerabilitat podria ser aprofitada per atacants amb accés físic als dispositius per a comprometre’n la seguretat, i permetre un atac físic cibernètic.

CVE-2025-24201 (Puntuació CVSS: 8.8): És un error en el motor WebKit que permet als atacants escapar de la sandbox de Web Content mitjançant la creació de contingut web maliciós. Esta fallada és especialment crítica, ja que permet l’execució de codi arbitrari amb privilegis elevats, la qual cosa podria permetre la presa de control de dispositius afectats

CVE-2025-24085 (Puntuació CVSS: 7.3): Una fallada de tipus “use-after-free” en el marc Core Media d’Apple, que podria ser explotat per una aplicació maliciosa per a elevar privilegis en dispositius compromesos. Esta vulnerabilitat facilita que una aplicació compromesa puga obtindre permisos elevats i executar codi maliciós sense el consentiment de l’usuari.

Recursos afectats

Les actualitzacions corregixen vulnerabilitats en una varietat de dispositius Apple, que inclouen tant models nous com antics. Els dispositius afectats per les vulnerabilitats i les versions de sistema operatiu en els quals s’apliquen les correccions són els següents:

    • CVE-2025-24200: Corregit en iOS 15.8.4, iPadOS 15.8.4, iOS 16.7.11, iPadOS 16.7.11.
    • CVE-2025-24201: Afecta dispositius amb iOS 15.8.4, iPadOS 15.8.4, iOS 16.7.11, iPadOS 16.7.11, i versions posteriors d’estos sistemes operatius.
    • CVE-2025-24085: Afecta macOS Sonoma 14.7.5, macOS Ventura 13.7.5, i iPadOS 17.7.6.

Recomanacions

Es recomana encaridament a tots els usuaris de dispositius Apple que actualitzen els seus dispositius a les últimes versions de programari disponible per a assegurar la protecció contra les vulnerabilitats esmentades. Les actualitzacions poden descarregar-se a través de les configuracions del sistema o mitjançant l’ús d’iTunes en dispositius que no suporten actualitzacions automàtiques.

Referències


Posted on

Triton RAT usa Telegram per a controlar sistemes de manera remota i robar credencials

Triton, un sofisticat programari d’accés remot (RAT) desenrotllat en Python, ha sigut identificat com una amenaça de nivell APT (Advanced Persistent Threat). Este artefacte maliciós utilitza Telegram com a infraestructura de C2 (Comandament i Control), de manera que permet als atacants accedir i controlar sistemes compromesos de manera remota, segons ha informat Cado Security.

El codi maliciós dissenyat pels ciberdelinqüents té com a objectiu principal l’exfiltració de credencials de Roblox i galletes d’autenticació persistent, les quals poden eludir mecanismes d’autenticació en dos factors (2FA). El cicle operatiu de Triton RAT comença amb l’obtenció del seu token de bot de Telegram i el xat ID des de Pastebin, utilitzant URL codificats en Base64 per a crear un canal de C2 ofuscat que evita ser detectat per sistemes de seguretat.

 Token de Telegram i ID de xat codificats en Base64 (Font: CADO Security)

Una vegada instal·lat en els sistemes afectats, Triton RAT desplega una sèrie de funcions avançades de postexplotació, com la captura de pulsacions de tecles (keylogging), l’extracció de contrasenyes emmagatzemades (credential dumping), la captura de pantalles (screen scraping), el segrest de càmeres web (webcam hijacking) i el monitoratge del porta-retalls (clipboard monitoring). Estes capacitats permeten als atacants obtindre informació sensible de manera contínua i sigil·losa.

Investigadors de Cado Security han documentat este artefacte després d’analitzar una campanya de compromisos, en què destaca la seua arquitectura modular i les seues TTP (tàctiques, tècniques i procediments) relacionades amb operacions d’espionatge cibernètic. A través d’enginyeria inversa, es va descobrir que Triton RAT té funcions dissenyades específicament per a exfiltrar credencials emmagatzemades en navegadors com Chrome, Brave i Firefox, a més de centrar-se en l’extracció de la galleta .ROBLOSECURITY de Roblox, que permet eludir el 2FA.

Funció utilitzada per a buscar i exfiltrar galetes de seguretat de Roblox (Font: CADO Security)
 

El vector inicial de infección es típico de los ataques de ingeniería social, utilizando técnicas como phishing o la entrega de archivos maliciosos. Posteriormente, Triton RAT realiza un reconocimiento detallado del sistema comprometido, recopilando información como huellas de hardware, configuraciones de red y perfiles de cuentas de usuario. Esta información es transmitida a través de la API de Telegram en formato JSON, permitiendo que los atacantes mantengan un control interactivo sobre el sistema comprometido.

Además de sus capacidades de control remoto, Triton RAT implementa mecanismos avanzados para garantizar la persistencia en los sistemas infectados. Utiliza scripts para deshabilitar las defensas de Windows, como el Windows Defender, y descarga binarios desde Dropbox para asegurar su permanencia en el sistema. También emplea técnicas de elevación de privilegios, como el bypass de UAC, para ejecutar el RAT con permisos de administrador.

El software malicioso incluye además una serie de técnicas anti-forenses, como la monitorización de procesos de análisis, la evasión de entornos de prueba y la ofuscación de código, lo que dificulta su detección y análisis.

Triton RAT representa una amenaza crítica debido a su enfoque en el robo de identidades digitales, su capacidad para evadir detección y su arquitectura multiplataforma. La integración con servicios legítimos como Telegram y Dropbox para el C2 complica aún más la atribución y la detección del ataque. Los expertos recomiendan implementar contramedidas basadas en análisis de comportamiento y endurecer las defensas de los puntos finales (EDR/XDR) para mitigar el riesgo que presenta este malware.