Publicado el

Apple lanza actualizaciones de seguridad para corregir vulnerabilidades críticas

Apple ha lanzado recientemente actualizaciones de seguridad que abordan vulnerabilidades activamente explotadas, algunas de las cuales fueron utilizadas como «zero-days» (fallos de seguridad desconocidos previamente). Estas actualizaciones cubren varias versiones de los sistemas operativos de Apple, tanto en modelos más recientes como en dispositivos más antiguos. En particular, Apple ha corregido vulnerabilidades críticas en sus sistemas operativos iOS, iPadOS, macOS, y Safari, que van desde la escalada de privilegios hasta la ejecución remota de código. Además, han retroportado soluciones para vulnerabilidades que fueron explotadas antes de ser identificadas formalmente, con el objetivo de proteger a los usuarios de ataques sofisticados y prevenir posibles daños.

Análisis

Las vulnerabilidades más significativas corregidas en las últimas actualizaciones son las siguientes:

CVE-2025-24200 (Puntuación CVSS: 4.6): Se trata de un problema de autorización en el componente de Accesibilidad, que podría permitir a un atacante deshabilitar el «Modo USB Restringido» en un dispositivo bloqueado. Este tipo de vulnerabilidad podría ser aprovechada por atacantes con acceso físico a los dispositivos para comprometer la seguridad del mismo, permitiendo un ataque físico cibernético

CVE-2025-24201 (Puntuación CVSS: 8.8): Es un error en el motor WebKit que permite a los atacantes escapar de la sandbox de Web Content mediante la creación de contenido web malicioso. Este fallo es especialmente crítico ya que permite la ejecución de código arbitrario con privilegios elevados, lo que podría permitir la toma de control de dispositivos afectados.

CVE-2025-24085 (Puntuación CVSS: 7.3): Un fallo de tipo «use-after-free» en el marco Core Media de Apple, que podría ser explotado por una aplicación maliciosa para elevar privilegios en dispositivos comprometidos. Esta vulnerabilidad facilita que una aplicación comprometida pueda obtener permisos elevados y ejecutar código malicioso sin el consentimiento del usuario.

Recursos afectados

Las actualizaciones corrigen vulnerabilidades en una variedad de dispositivos Apple, que incluyen tanto modelos nuevos como antiguos. Los dispositivos afectados por las vulnerabilidades y las versiones de sistema operativo en los que se aplican las correcciones son los siguientes:

    • CVE-2025-24200: Corregido en iOS 15.8.4, iPadOS 15.8.4, iOS 16.7.11, iPadOS 16.7.11.
    • CVE-2025-24201: Afecta a dispositivos con iOS 15.8.4, iPadOS 15.8.4, iOS 16.7.11, iPadOS 16.7.11, y versiones posteriores de estos sistemas operativos.
    • CVE-2025-24085: Afecta a macOS Sonoma 14.7.5, macOS Ventura 13.7.5, y iPadOS 17.7.6.

Recomendaciones

Se recomienda encarecidamente a todos los usuarios de dispositivos Apple que actualicen sus dispositivos a las últimas versiones de software disponibles para asegurar la protección contra las vulnerabilidades mencionadas. Las actualizaciones pueden descargarse a través de las configuraciones del sistema o mediante el uso de iTunes en dispositivos que no soporten actualizaciones automáticas.

Referencias

 
Publicado el

Triton RAT usa Telegram para controlar sistemas de forma remota y robar credenciales

Triton, un sofisticado software de acceso remoto (RAT) desarrollado en Python, ha sido identificado como una amenaza de nivel APT (Advanced Persistent Threat). Este artefacto malicioso utiliza Telegram como infraestructura de C2 (Comando y Control), permitiendo a los atacantes acceder y controlar sistemas comprometidos de manera remota, según ha informado Cado Security.

El código malicioso diseñado por los cibercriminales tiene como objetivo principal la exfiltración de credenciales de Roblox y cookies de autenticación persistente, las cuales pueden eludir mecanismos de autenticación en dos factores (2FA). El ciclo operativo de Triton RAT comienza con la obtención de su token de bot de Telegram y el chat ID desde Pastebin, utilizando URLs codificadas en Base64 para crear un canal de C2 ofuscado que evita ser detectado por sistemas de seguridad.

Telegram token y chat ID codificada en Base64 (Fuente: CADO Security)

Una vez instalado en los sistemas afectados, Triton RAT despliega una serie de funciones avanzadas de post-explotación, como la captura de pulsaciones de teclas (keylogging), la extracción de contraseñas almacenadas (credential dumping), la captura de pantallas (screen scraping), el secuestro de cámaras web (webcam hijacking) y el monitoreo del portapapeles (clipboard monitoring). Estas capacidades le permiten a los atacantes obtener información sensible de manera continua y sigilosa.

Investigadores de Cado Security documentaron este artefacto tras analizar una campaña de compromisos, destacando su arquitectura modular y sus TTPs (Tácticas, Técnicas y Procedimientos) relacionadas con operaciones de espionaje cibernético. A través de ingeniería inversa, se descubrió que Triton RAT tiene funciones diseñadas específicamente para exfiltrar credenciales almacenadas en navegadores como Chrome, Brave y Firefox, además de centrarse en la extracción de la cookie .ROBLOSECURITY de Roblox, que permite eludir el 2FA.

Función utilizada para buscar y exfiltrar cookies de seguridad de Roblox (Fuente: CADO Security)
 

El vector inicial de infección es típico de los ataques de ingeniería social, utilizando técnicas como phishing o la entrega de archivos maliciosos. Posteriormente, Triton RAT realiza un reconocimiento detallado del sistema comprometido, recopilando información como huellas de hardware, configuraciones de red y perfiles de cuentas de usuario. Esta información es transmitida a través de la API de Telegram en formato JSON, permitiendo que los atacantes mantengan un control interactivo sobre el sistema comprometido.

Además de sus capacidades de control remoto, Triton RAT implementa mecanismos avanzados para garantizar la persistencia en los sistemas infectados. Utiliza scripts para deshabilitar las defensas de Windows, como el Windows Defender, y descarga binarios desde Dropbox para asegurar su permanencia en el sistema. También emplea técnicas de elevación de privilegios, como el bypass de UAC, para ejecutar el RAT con permisos de administrador.

El software malicioso incluye además una serie de técnicas anti-forenses, como la monitorización de procesos de análisis, la evasión de entornos de prueba y la ofuscación de código, lo que dificulta su detección y análisis.

Triton RAT representa una amenaza crítica debido a su enfoque en el robo de identidades digitales, su capacidad para evadir detección y su arquitectura multiplataforma. La integración con servicios legítimos como Telegram y Dropbox para el C2 complica aún más la atribución y la detección del ataque. Los expertos recomiendan implementar contramedidas basadas en análisis de comportamiento y endurecer las defensas de los puntos finales (EDR/XDR) para mitigar el riesgo que presenta este malware.

 
Publicado el

Actualización Google Chrome

Google ha publicado una actualización por un fallo de seguridad de alta gravedad en su navegador Chrome para Windows que ha sido explotada como parte de ataques dirigidos a organizaciones en Rusia.

Análisis

La vulnerabilidad, identificada como CVE-2025-2783, se ha descrito como un caso de «controlador incorrecto proporcionado en circunstancias no especificadas en Mojo para Windows». Mojo se refiere a un conjunto de bibliotecas de ejecución que proporcionan un mecanismo independiente de la plataforma para la comunicación entre procesos (IPC). La esencia de la vulnerabilidad reside en un error lógico en la intersección de Chrome y el sistema operativo Windows, que permite eludir la protección sandbox del navegador.

Recursos afectados

La versión vulnerable es la 134.0.6998.177/.178 de Chrome para Windows

Recomendaciones

En vista de la explotación activa, también se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones a medida que estén disponibles

Referencias

Publicado el

Vulnerabilidad crítica en Apache Tomcat

Se ha identificado una vulnerabilidad crítica de ejecución remota de código (RCE) en Apache Tomcat que está siendo explotada activamente.

Análisis

Identificada como CVE-2025-24813 (CVSS 9.8) ya está siendo activamente explotada en ataques cibernéticos, lo que representa un riesgo importante para los sistemas afectados.
La vulnerabilidad permite a los atacantes ejecutar código malicioso en los servidores vulnerables a través de una solicitud HTTP PUT manipulada, sin la necesidad de autenticación.
Esta vulnerabilidad fue identificada y publicada inicialmente en marzo de 2025 y ya ha sido aprovechada activamente en ataques dirigidos. La publicación de un código de explotación en foros públicos ha acelerado la propagación del uso de esta vulnerabilidad en la ciberdelincuencia.

Recursos afectados

Esta vulnerabilidad afecta principalmente a las siguientes versiones de Apache Tomcat:

    • Apache Tomcat 9.0.0-M1 a 9.0.98
    • Apache Tomcat 10.1.0-M1 a 10.1.34
    • Apache Tomcat 11.0.0-M1 a 11.0.2

Los servicios web, plataformas y aplicaciones que dependen de Tomcat para la ejecución de aplicaciones Java están en riesgo, en especial aquellos que tienen configuraciones que permiten la carga de archivos de manera insegura a través de HTTP PUT.

Recomendaciones

    • Actualizar a las versiones 9.0.99, 10.1.35 y 11.0.3 de Tomcat que solucionan dicha vulnerabilidad
    • Deshabilitar HTTP PUT: Si no es necesario, considere deshabilitar el método HTTP PUT en el servidor para prevenir la explotación de esta vulnerabilidad.
    • Monitorizar los logs de los registros del servidor en busca de solicitudes PUT sospechosas que puedan estar relacionadas con intentos de explotación.

Condiciones para una explotación exitosa

La explotación requiere múltiples configuraciones no predeterminadas para ser explotable, lo que limita significativamente su impacto en implementaciones típicas.

    • Para la divulgación de información o la inyección de archivos, el ataque solo es posible si se dan las siguientes condiciones:
      • Escrituras habilitadas para el servlet predeterminado (deshabilitado de forma predeterminada)
      • Se admiten solicitudes PUT parciales (el soporte para PUT parcial está habilitado de forma predeterminada).
      • La carga de archivos confidenciales se realiza dentro de un directorio con permisos de escritura públicos, es decir, se requiere de una URL de destino para cargas sensibles a la seguridad que era un subdirectorio de una URL de destino para cargas públicas.
      • Conocimiento del atacante de los nombres de los archivos sensibles de seguridad que se están cargando
      • Los archivos sensibles a la seguridad también se cargan mediante PUT parcial.

    • Para la ejecución remota de código (RCE), la explotación requiere:
      • Escrituras habilitadas para el servlet predeterminado (deshabilitado de forma predeterminada).
      • Se admiten solicitudes PUT parciales (el soporte para PUT parcial está habilitado de forma predeterminada).
      • La persistencia de sesión basada en archivos de Tomcat con la ubicación de almacenamiento predeterminada.
      • Una biblioteca vulnerable a la deserialización.

Pueden encontrar mas información sobre esas condiciones principalmente en los siguientes enlaces:

Referencias