Author: Seguridad CSIRT-CV

Palo Alto Networks ha confirmat que actors no autoritzats van aconseguir accedir a informació continguda en les seues instàncies de Salesforce després d’una bretxa en una integració de tercers, específicament amb la plataforma Drift, adquirida per Salesloft. Esta bretxa forma part d’una campanya més àmplia dirigida contra organitzacions que utilitzen integracions de tercers en Salesforce.

Segons la informació publicada per l’equip d’amenaces Unit 42 de Palo Alto Networks, es va identificar un accés no autoritzat a dades dins de la seua CRM Salesforce mitjançant l’ús de tokens d’autenticació OAuth compromesos. Estos tokens estaven vinculats a la integració amb Drift, una ferramenta de xat i automatització conversacional, utilitzada per a facilitar la interacció amb clients potencials i actuals.

L’atacant va explotar esta integració per a extraure informació des del compte de Salesforce sense necessitat de comprometre sistemes interns, xarxes corporatives ni infraestructures crítiques de Palo Alto Networks. Unit 42 detalla que esta campanya afecta múltiples organitzacions i es caracteritza per l’ús de tècniques avançades d’evasió i automatització.

La intrusió va ser detectada durant revisions rutinàries de seguretat, i es van prendre mesures immediates per a revocar els tokens compromesos, deshabilitar integracions amb Drift, i notificar als clients potencialment afectats.

Recursos afectats

• • Instàncies de Salesforce de Palo Alto Networks

  • Integració OAuth amb Drift/Salesloft

  • Dades comercials no classificades:

      Informació de contacte de clients i prospectes

      Casos de suport no crítics.

      Informació relacionada amb activitats de  màrqueting i vendes

Recomanacions

Per a mitigar el risc, es recomana aplicar les mesures següents:

1. Revocar tots els tokens OAuth actius relacionats amb integracions de tercers com a Drift.

2. Revisar els permisos i abastos de les aplicacions connectades a Salesforce. 

3. Deshabilitar temporalment integracions no essencials mentres s’audita la seua seguretat.

4. Notificar als equips de vendes i suport per a evitar compartir credencials o dades sensibles a través de CRM o plataformes no xifrades.

5. Aplicar principis de mínim privilegi a les aplicacions OAuth connectades.

6. Monitorar logs d’accés en Salesforce a la recerca de patrons anòmals de comportament.

Referències

• Unit 42 Threat Brief: Compromised Salesforce Instances
• Palo Alto Networks confirms breach: Hackers access Salesforce data via Drift

S’informa d’una nova ronda de pedaços de seguretat publicada per Google i Mozilla per als seus navegadors Chrome i Firefox, a més dels seus clients de correu electrònic Thunderbird i versions ESR. Estes actualitzacions solucionen múltiples vulnerabilitats d’alta gravetat, incloent-hi algunes detectades per la intel·ligència artificial de Google, Big Sleep. Es recomana als usuaris actualitzar els seus navegadors i aplicacions com més prompte millor.

Chrome (versió 139): Google ha llançat una actualització per a corregir una vulnerabilitat d’alt impacte en el motor V8 de JavaScript, identificada com a CVE‑2025‑9132. Esta va ser descoberta per l’agent de IA Big Sleep, desenrotllat per Google DeepMind i Project Zero.

Firefox i Thunderbird: Mozilla ha implementat pedaços que corregixen nou fallades de seguretat en Firefox (cinc qualificats com a high severity), entre estos:

• Una corrupció de memòria en el procés GMP que podria permetre escapar del sandbox  (CVE‑2025‑9179).
• Una vulneració de la política same‑origin en un component gràfic (CVE‑2025‑9180).
• Diverses fallades de seguretat en memòria que podrien derivar en execució remota de codi (CVE‑2025‑9184, CVE‑2025‑9185, CVE‑2025‑9187).
• Estes actualitzacions també inclouen noves versions estables de Firefox, Thunderbird i les seues variants ESR, a més de Firefox per a iOS i Focus per a iOS .

Recursos afectats

• • Navegador: Google Chrome versió 139 (per a Windows, macOS i Linux).
  • Navegadors: Mozilla Firefox versió 142 (estàndard i ESR; incloent-hi Focus per a iOS).
  • Clients de correu: Thunderbird versions 142, 140.2, i 128.14 (incloent-hi ESR).
  • Dispositius mòbils: Firefox i Focus per a iOS, versió 142.

Recomanacions

Per a mitigar el risc, es recomana aplicar les mesures següents:

1. Actualitzar immediatament tots els navegadors Chrome a la versió 139 i Firefox/Thunderbird a les versions indicades, incloent-hi les seues edicions ESR i mòbils.
2. Reiniciar els navegadors després d’aplicar les actualitzacions per a assegurar-se que els pedaços s’activen correctament.
3. Verificar que les versions actualitzades estiguen efectivament instal·lades, accedint als menús d’ajuda → “Sobre” en cada navegador o client de correu.
4. Mantindre habilitades les actualitzacions automàtiques, sempre que siga possible, per a rebre protecció contínua.
5. Si representes un entorn corporatiu, coordinar la distribució centralitzada de pedaços a través de polítiques de TI o ferramentes de gestió de pedaços.

Referències

• Ionut Arghire. “High Severity Vulnerabilities Patched in Chrome, Firefox” — SecurityWeek SecurityWeek
•  Google fixed Chrome flaw found by Big Sleep AI” — Security Affairs

WinRAR ha informat de la detecció d’una vulnerabilitat de severitat alta, que afecta la versió de Windows de WinRAR que permet a un atacant crear arxius comprimits maliciosos que, en extraure’s, escriuen fitxers en rutes controlades per l’atacant i amb això aconseguixen execució de codi arbitrari. Esta vulnerabilitat ha sigut identificada com a CVE-2025-8088.

Investigadors d’ESET han detectat la vulnerabilitat de CVE-2025-8088 que afecta versions de WinRAR anteriors a la 7.13. Esta fallada ocorre quan el programa n’extrau arxius comprimits sense validar bé les rutes internes.

Un atacant pot incloure rutes especials com ..\ dins de l’arxiu perquè, en descomprimir-lo, s’escriguen fitxers fora de la carpeta triada per l’usuari, fins i tot en zones crítiques com la carpeta d’inici de Windows.

Això permet col·locar un programa maliciós que s’execute automàticament.

 

Si un usuari n’extrau un arxiu maliciós, l’atacant pot instal·lar programari maliciós en el seu equip i executar-lo sense que l’usuari el note.

Això compromet la confidencialitat, integritat i disponibilitat del sistema, i pot portar al robatori de dades, instal·lació de troians o control remot de l’equip.

Recursos afectats

• • Versions de WinRAR anteriors a la 7.13

Recomanacions

Per a mitigar la vulnerabilitat detectada, es recomana actualitzar WinRAR a la versió 7.13 en tots els equips Windows com més prompte millor.

Referències

• https://nvd.nist.gov/vuln/detail/CVE-2025-8088
• https://thehackernews.com/2025/08/winrar-zero-day-under-active.html

Recentment s’ha descobert que el tema Alone – Charity Multipurpose Non-profit WordPress per a WordPress sense ànims de lucre i caritatiu és vulnerable. Esta comunicació té com a objectiu informar, analitzar l’impacte i proveir recomanacions concretes per a mitigar el risc.

La vulnerabilitat CVE‑2025‑5394, anunciada per INCIBE‑CERT el 15 de juliol de 2025, afecta el tema Alone per a WordPress en totes les seues versions fins a la 7.8.3, inclusivament. La fallada residix en la funció alone_import_pack_install_plugin() que exposa un endpoint AJAX sense verificació de permisos, la qual cosa permet a atacants no autenticats pujar arxius ZIP amb plug-in maliciosos (webshells) i executar codi remot (RCE) amb control total del lloc.

Segons informes d’HispaSec, esta fallada està sent explotada activament, amb multitud d’intents de càrrega de portes de darrere (backdoors) en llocs vulnerables. S’estima que el tema compta amb prop de 10.000 vendes, sent usat principalment per organitzacions sense ànim de lucre i fundacions, la qual cosa amplifica l’impacte potencial.

La fallada és extremadament greu: el CVSS v3.1 assigna una puntuació base de 9.80 (Crítica/Control total). L’explotació no requerix autenticació, no necessita interacció de l’usuari i és d’accés directe des de la xarxa.

 

Recursos afectats

• • Tema WordPress Alone – Charity Multipurpose Non‑profit, versions fins a la 7.8.3,
  • Llocs WordPress que utilitzen este tema en entorns públics exposats a Internet.

 

Recomanacions

Per a mitigar el risc, es recomana aplicar les mesures següents:

1. 1. Actualitzar immediatamentel tema Alone a la versió 8.5 o superior, que corregix la vulnerabilitat.
   2. Bloquejar temporalmentl’endpoint vulnerable (admin-ajax.php?action=alone_import_pack_install_plugin), si no és possible, actualitzar immediatament; pot implementar-se mitjançant WAF o IDS/.
   3. Analitzar registres i activitat inusual, buscant càrregues de connectors (plug–in), arxius ZIP no autoritzats o creació d’usuaris administratius desconeguts.
   4. Canviar credencials crítiques, incloent-hi comptes d’administrador WordPress, FTP, allotjament (hosting) i base de dades, si se sospita compromís.
   5. Restaurar des de còpies netessi es detecten backdoors o accessos ocults i desactivar arxius sospitosos.
   6. Reforç general de seguretat: mantín WordPress, temes i plug-in sempre actualitzats; utilitza autenticació de dos factors; aplica permisos mínims; i monitora activitat amb plug-in com ara Wordfence o Sucuri b.

Referències

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
• https://www.cisa.gov/news-events/alerts/2025/08/06/microsoft-releases-guidance-high-severity-vulnerability-cve-2025-53786-hybrid-exchange-deployments