Publicado el

Vulnerabilidad crítica CVE‑2025‑55145 en productos Ivanti

Se ha detectado una vulnerabilidad grave en varios productos de la empresa Ivanti, que podría permitir a un atacante remoto autenticado secuestrar conexiones HTML5 existentes.

La vulnerabilidad CVE‑2025‑55145 ha sido publicada por INCIBE‑CERT el 9 de septiembre de 2025. 

    • Se trata de un fallo de autorización (“missing authorization”) en versiones específicas de los productos Ivanti: Ivanti Connect Secure (antes de la versión 22.7R2.9 o 22.8R2), Ivanti Policy Secure (antes de la 22.7R1.6), Ivanti ZTA Gateway (antes de 2.8R2.3‑723) e Ivanti Neurons for Secure Access (antes de la 22.8R1.4). 
    • El fallo permite que un atacante remoto que ya tiene credenciales de autenticación (autenticado) secuestrar conexiones HTML5 existentes. Es decir, aunque no se logre entrar sin autenticación, una vez dentro podría interceptar, modificar o comprometer sesiones que ya estén activas. 
    • En la información disponible, se indica que la corrección ya fue desplegada el 2 de agosto de 2025 para esas versiones que corrigen la vulnerabilidad. 
    • El puntaje CVSS v3.1 asignado es 8.90 (Alta gravedad), con los siguientes parámetros destacados: acceso remoto a través de red, baja complejidad de ataque, privilegios bajos requeridos, interacción del usuario necesaria, confidencialidad e integridad fuertemente comprometidas, disponibilidad menos afectada.

Recursos Afectados

Los productos Ivanti afectados son los siguientes, en sus versiones no parcheadas:

    • Ivanti Connect Secure (versiones anteriores a 22.7R2.9 o 22.8R2) 
    • Ivanti Policy Secure (versiones anteriores a 22.7R1.6) 
    • Ivanti ZTA Gateway (versiones anteriores a 2.8R2.3‑723) 
    • Ivanti Neurons for Secure Access (versiones anteriores a 22.8R1.4) 

Referencias

Publicado el

Microsoft – Patch Tuesday septiembre 2025

El día martes 10 de septiembre de 2025, Microsoft ha publicado su actualización mensual de seguridad correspondiente al “Patch Tuesday”. En esta ocasión se han corregido 81 vulnerabilidades.

Este parche afecta múltiples productos del ecosistema Microsoft, incluyendo Windows, Office, Hyper-V, SharePoint, SQL Server, y otros.

Microsoft ha corregido un total de 81 fallos de seguridad, de los cuales 8 a 9 han sido clasificados como críticos y dos son vulnerabilidades de día cero (zero-day). Estas vulnerabilidades incluyen fallos de elevación de privilegios, ejecución remota de código (RCE), divulgación de información, denegación de servicio (DoS), y suplantación de identidad.

Entre estas vulnerabilidades destacan:

CVE-2025-54914 corresponde a un fallo crítico de elevación de privilegios en los servicios de Azure Networking de Microsoft. puede explotarse de manera remota a través de la red, con baja complejidad, sin necesidad de privilegios previos ni interacción del usuario, y con un impacto severo en la confidencialidad, integridad y disponibilidad de los sistemas afectados. Los productos afectados son servicios de Microsoft Azure Networking, aunque hasta el momento no se han publicado versiones específicas vulnerables. Se aconseja aplicar las actualizaciones disponibles a través del Microsoft Security Response Center (MSRC) lo antes posible.

CVE-2025-55244 representa un fallo crítico de elevación de privilegios en el servicio Azure Bot Service de Microsoft, un componente clave para organizaciones que integran chatbots, asistentes virtuales y automatización conversacional en sus procesos. Un actor malicioso podría aprovechar esta debilidad para obtener privilegios superiores a los permitidos, ampliando de forma indebida su capacidad de acción dentro del entorno. No se han publicado versiones vulnerables específicas. Se aconseja aplicar las actualizaciones disponibles a través del Microsoft Security Response Center (MSRC) lo antes posible.

CVE-2025-55241 corresponde a un fallo de elevación de privilegios en Azure Entra (anteriormente Azure Active Directory, ahora Microsoft Entra ID), atribuible a una implementación inadecuada de los mecanismos de autenticación, de tal forma que el sistema no valida correctamente la identidad de quien realiza una petición, lo que podría permitir que un atacante suplantara credenciales o roles. No se han identificado versiones específicas vulnerables, por lo que se asume que cualquier despliegue existente puede estar en riesgo. Todavía no se ha publicado un parche para esta vulnerabilidad.

Además, se han destacado vulnerabilidades críticas en componentes clave como NTLM, NTFS, Microsoft Office, Hyper-V y SharePoint, algunas de las cuales permiten ejecución remota de código con solo abrir un documento malicioso o acceder a una vista previa.

Otros proveedores como Adobe, Ivanti, y Google también han publicado parches importantes durante este mismo ciclo de actualizaciones.

Recursos Afectados

    • Windows (todas las versiones compatibles)
    • Microsoft Office (incluido Outlook y Word)
    • Windows SMB Server
    • NTLM (autenticación)
    • NTFS (sistema de archivos)
    • Hyper-V (entorno de virtualización)
    • SharePoint Server
    • SQL Server (por dependencia con Newtonsoft.Json)
    • Azure, Dynamics, .NET, Visual Studio (en menor medida)

Recomendaciones

Para mitigar el riesgo, se recomienda aplicar las siguientes medidas:

  1.  Aplicar los parches de seguridad de Microsoft lo antes posible en todos los sistemas afectados.
  2.  Priorizar la mitigación de las vulnerabilidades zero-day (CVE‑2025‑55234 y CVE‑2024‑21907).
  3.  Habilitar y revisar las configuraciones de seguridad en SMB (como SMB Signing y Extended Protection for Authentication).
  4.  Verificar que los entornos virtualizados en Hyper-V hayan sido actualizados correctamente.
  5.  Evaluar riesgos relacionados con documentos y correos maliciosos en entornos que utilicen Office.
  6.  Complementar con la aplicación de actualizaciones de seguridad de otros proveedores (Adobe, Ivanti, etc.).
  7.  Realizar análisis de vulnerabilidades posteriores al parcheo, con herramientas de escaneo actualizado.

Referencias

Publicado el

Brecha en Salesforce de Palo Alto

Palo Alto Networks ha confirmado que actores no autorizados lograron acceder a información contenida en sus instancias de Salesforce tras una brecha en una integración de terceros, específicamente con la plataforma Drift, adquirida por Salesloft. Esta brecha forma parte de una campaña más amplia dirigida contra organizaciones que utilizan integraciones de terceros en Salesforce.

Según la información publicada por el equipo de amenazas Unit 42 de Palo Alto Networks, se identificó un acceso no autorizado a datos dentro de su CRM Salesforce mediante el uso de tokens de autenticación OAuth comprometidos. Estos tokens estaban vinculados a la integración con Drift, una herramienta de chat y automatización conversacional, utilizada para facilitar la interacción con clientes potenciales y actuales.

El atacante explotó esta integración para extraer información desde la cuenta de Salesforce sin necesidad de comprometer sistemas internos, redes corporativas ni infraestructuras críticas de Palo Alto Networks. Unit 42 detalla que esta campaña afecta a múltiples organizaciones y se caracteriza por el uso de técnicas avanzadas de evasión y automatización.
La intrusión fue detectada durante revisiones rutinarias de seguridad, y se tomaron medidas inmediatas para revocar los tokens comprometidos, deshabilitar integraciones con Drift, y notificar a los clientes potencialmente afectados.
 

Recursos Afectados

  • Instancias de Salesforce de Palo Alto Networks
  • Integración OAuth con Drift/Salesloft
  • Datos comerciales no clasificados:

    Información de contacto de clientes y prospectos
    Casos de soporte no críticos.
    Información relacionada con actividades de marketing y ventas

Recomendaciones

Para mitigar el riesgo, se recomienda aplicar las siguientes medidas:

  1. Revocar todos los tokens OAuth activos relacionados con integraciones de terceros como Drift.
  2. Revisar los permisos y alcances de las aplicaciones conectadas a Salesforce.
  3. Deshabilitar temporalmente integraciones no esenciales mientras se audita su seguridad.
  4. Notificar a los equipos de ventas y soporte para evitar compartir credenciales o datos sensibles a través de CRM o plataformas no cifradas.
  5. Aplicar principios de mínimo privilegio a las aplicaciones OAuth conectadas.
  6. Monitorizar logs de acceso en Salesforce en busca de patrones anómalos de comportamiento.

Referencias

Publicado el

Vulnerabilidad en Chrome y Firefox

Se informa de una nueva ronda de parches de seguridad publicada por Google y Mozilla para sus navegadores Chrome y Firefox, además de sus clientes de correo electrónicos Thunderbird y versiones ESR. Estas actualizaciones solucionan múltiples vulnerabilidades de alta gravedad, incluidas algunas detectadas por la inteligencia artificial de Google, Big Sleep. Se recomienda a los usuarios actualizar sus navegadores y aplicaciones cuanto antes.
Chrome (versión 139): Google ha lanzado una actualización para corregir una vulnerabilidad de alto impacto en el motor V8 de JavaScript, identificada como CVE‑2025‑9132. Esta fue descubierta por el agente de IA Big Sleep, desarrollado por Google DeepMind y Project Zero.

Firefox y Thunderbird: Mozilla ha implementado parches que corrigen nueve fallos de seguridad en Firefox (cinco calificados como high severity), entre ellos:

  • Una corrupción de memoria en el proceso GMP que podría permitir escapar del sandbox (CVE‑2025‑9179).
  • Una vulneración de la política same‑origin en un componente gráfico (CVE‑2025‑9180).
  • Varios fallos de seguridad en memoria que podrían derivar en ejecución remota de código (CVE‑2025‑9184, CVE‑2025‑9185, CVE‑2025‑9187).
  • Estas actualizaciones también incluyen nuevas versiones estables de Firefox, Thunderbird y sus variantes ESR, además de Firefox para iOS y Focus para iOS.
 

Recursos Afectados

  • Navegador: Google Chrome versión 139 (para Windows, macOS y Linux).
  • Navegadores: Mozilla Firefox versión 142 (estándar y ESR; incluyendo Focus para iOS).
  • Clientes de correo: Thunderbird versiones 142, 140.2, y 128.14 (incluyendo ESR).
  • Dispositivos móviles: Firefox y Focus para iOS, versión 142.

Recomendaciones

Para mitigar el riesgo, se recomienda aplicar las siguientes medidas:

  1. Actualizar inmediatamente todos los navegadores Chrome a la versión 139 y Firefox/Thunderbird a las versiones indicadas, incluidas sus ediciones ESR y móviles.
  2. Reiniciar los navegadores tras aplicar las actualizaciones para asegurarse de que los parches se activan correctamente.
  3. Verificar que las versiones actualizadas estén efectivamente instaladas, accediendo a los menús de ayuda → “Acerca de” en cada navegador o cliente de correo.
  4. Mantener habilitadas las actualizaciones automáticas siempre que sea posible para recibir protección continua.
  5. Si representas un entorno corporativo, coordinar la distribución centralizada de parches a través de políticas de TI o herramientas de gestión de parches.

Referencias