Author: Seguridad CSIRT-CV

Introducció

CISA ha alertat sobre l’explotació activa de la vulnerabilitat CVE-2025-32463 en Sudo, el que permet a atacants locals sense privilegis escalar a root.

Análisi

El comando Sudo és fonamental en entorns Linux i macOS per a controlar l’accés a privilegis d’administració. Una greu vulnerabilitat d’escalada de privilegis locals (LPE), identificada com CVE-2025-32463 i amb una puntuació CVSS de 9.3, ha sigut recentment explotada, posant en risc la seguretat de servidors i estacions de treball a escala mundial.

CVE-2025-32463 afecta a Sudo versions des de la 1.9.14, introduint una fallada que permet a usuaris sense privilegis executar comandos amb privilegis de root fins i tot encara que no estiguen en l’arxiu sudoers. L’explotació es basa en la manipulació del fitxer /etc/nsswitch. conf en combinació amb l’ús del paràmetre chroot de Sudo. Un atacant crea un arxiu nsswitch. conf controlat, utilitza chroot per a enganyar a Sudo i aconseguix execució privilegiada. La fallada va ser corregida en la versió 1.9.17p1, on es van eliminar les opcions compromeses.

El principal risc és la possibilitat que qualsevol atacant local obtinga accés total al sistema, comprometent de manera completa la seguretat i la integritat dels servidors afectats. Això pot derivar en robatori d’informació, instal·lació de malware o persistència per a atacs posteriors. El fet que ja existisca una prova de concepte (PoC) pública i exploits en circulació incrementa el nivell d’amenaça, tant per a infraestructures crítiques com per a desplegaments empresarials i usuaris individuals.

Recomanacions

Es recomana actualitzar Sudo urgentment a la versió 1.9.17p1 o superior. És fonamental revisar el catàleg KEV de CISA i aplicar les millores de configuració suggerides, restringint els accessos al sistema i monitorant activitats sospitoses. A més, s’aconsella deshabilitar funcionalitats innecessàries i realitzar auditories sobre configuracions de seguretat prèvies a la correcció.

La ràpida aplicació de pedaços (correccions) i la vigilància contínua són crítiques per a frenar l’explotació de CVE-2025-32463. Els equips de TU han de prioritzar l’actualització de Sudo i consultar fonts oficials, com el KEV de CISA i el NIST, per a avaluar riscos actuals i futurs. La prevenció eficaç reduïx la superfície d’atac i reforça la resiliència organitzacional.

Referències

https://unaaldia.hispasec.com/2025/09/cisa-alerta-vulnerabilidad-critica-en-sudo-permite-escalada-local-a-root.htm

S’ha detectat una vulnerabilitat greu en diversos productes de l’empresa Ivanti, que podria permetre a un atacant remot autenticat segrestar connexions HTML5 existents.

Anàlisi

La vulnerabilitat CVE‑2025‑55145 ha sigut publicada per INCIBE‑CERT el 9 de setembre de 2025. 

• • Es tracta d’una fallada d’autorització (“missing authorization”) en versions específiques dels productes Ivanti: Ivanti Connect Secure (abans de la versió 22.7R2.9 o 22.8R2), Ivanti Policy Secure (abans de la 22.7R1.6), Ivanti ZTA Gateway (abans de 2.8R2.3‑723) i Ivanti Neurons for Secure Access (abans de la 22.8R1.4). 
  • La fallada permet que un atacant remot que ja té credencials d’autenticació (autenticat) puga segrestar connexions HTML5 existents. És a dir, encara que no s’aconseguisca entrar sense autenticació, una vegada dins podria interceptar, modificar o comprometre sessions que ja estiguen actives. 
  • En la informació disponible, s’indica que la correcció ja va ser desplegada el 2 d’agost de 2025 per a eixes versions que corregixen la vulnerabilitat. 
  • La puntuació CVSS v3.1 assignada és 8.90 (Alta gravetat), amb els següents paràmetres destacats: accés remot a través de xarxa, baixa complexitat d’atac, privilegis baixos requerits, interacció de l’usuari necessària, confidencialitat i integritat fortament compromeses, disponibilitat menys afectada.

Recursos afectats

Els productes Ivanti afectats són els següents, en les seues versions no apedaçades:

• • Ivanti Connect Secure (versions anteriors a 22.7R2.9 o 22.8R2) 
  • Ivanti Policy Secure (versions anteriors a 22.7R1.6) 
  • Ivanti ZTA Gateway (versions anteriors a 2.8R2.3‑723) 
  • Ivanti Neurons for Secure Access (versions anteriors a 22.8R1.4)

Recomanacions

Per a reduir els riscos i protegir els sistemes s’aconsella el següent:

1. 1. Actualitzar immediatament tots els productes afectats a les versions que corregixen la vulnerabilitat:
      1. • Ivanti Connect Secure ≥ 22.7R2.9 o ≥ 22.8R2
      1. • Ivanti Policy Secure ≥ 22.7R1.6
      1. • Ivanti ZTA Gateway ≥ 2.8R2.3‑723
      • • Ivanti Neurons for Secure Access ≥ 22.8R1.4 
   2. Si no és possible actualitzar immediatament, limitar l’accés a les parts del sistema que utilitzen connexions HTML5, especialment des de xarxes no de confiança.
   3. Revisar els diaris (logs) de connexió per a detectar activitat inusual en sessions HTML5 existents, que puguen indicar intents de segrest o hijacking.
   4. Aplicar polítiques de principi de menor privilegi, perquè els usuaris autenticats tinguen els permisos mínims necessaris.

Referències

• https://forums.ivanti.com/s/article/september-security-advisory-ivanti-connect-secure-policy-secure-zta-gateways-and-neurons-for-secure-access-multiple-cves?language=en_us
• https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2025-55145Palo Alto Networks confirms breach: Hackers access Salesforce data via Drift

Palo Alto Networks ha confirmat que actors no autoritzats van aconseguir accedir a informació continguda en les seues instàncies de Salesforce després d’una bretxa en una integració de tercers, específicament amb la plataforma Drift, adquirida per Salesloft. Esta bretxa forma part d’una campanya més àmplia dirigida contra organitzacions que utilitzen integracions de tercers en Salesforce.

Segons la informació publicada per l’equip d’amenaces Unit 42 de Palo Alto Networks, es va identificar un accés no autoritzat a dades dins de la seua CRM Salesforce mitjançant l’ús de tokens d’autenticació OAuth compromesos. Estos tokens estaven vinculats a la integració amb Drift, una ferramenta de xat i automatització conversacional, utilitzada per a facilitar la interacció amb clients potencials i actuals.

L’atacant va explotar esta integració per a extraure informació des del compte de Salesforce sense necessitat de comprometre sistemes interns, xarxes corporatives ni infraestructures crítiques de Palo Alto Networks. Unit 42 detalla que esta campanya afecta múltiples organitzacions i es caracteritza per l’ús de tècniques avançades d’evasió i automatització.

La intrusió va ser detectada durant revisions rutinàries de seguretat, i es van prendre mesures immediates per a revocar els tokens compromesos, deshabilitar integracions amb Drift, i notificar als clients potencialment afectats.

Recursos afectats

• • Instàncies de Salesforce de Palo Alto Networks

  • Integració OAuth amb Drift/Salesloft

  • Dades comercials no classificades:

      Informació de contacte de clients i prospectes

      Casos de suport no crítics.

      Informació relacionada amb activitats de  màrqueting i vendes

Recomanacions

Per a mitigar el risc, es recomana aplicar les mesures següents:

1. Revocar tots els tokens OAuth actius relacionats amb integracions de tercers com a Drift.

2. Revisar els permisos i abastos de les aplicacions connectades a Salesforce. 

3. Deshabilitar temporalment integracions no essencials mentres s’audita la seua seguretat.

4. Notificar als equips de vendes i suport per a evitar compartir credencials o dades sensibles a través de CRM o plataformes no xifrades.

5. Aplicar principis de mínim privilegi a les aplicacions OAuth connectades.

6. Monitorar logs d’accés en Salesforce a la recerca de patrons anòmals de comportament.

Referències

• Unit 42 Threat Brief: Compromised Salesforce Instances
• Palo Alto Networks confirms breach: Hackers access Salesforce data via Drift

S’informa d’una nova ronda de pedaços de seguretat publicada per Google i Mozilla per als seus navegadors Chrome i Firefox, a més dels seus clients de correu electrònic Thunderbird i versions ESR. Estes actualitzacions solucionen múltiples vulnerabilitats d’alta gravetat, incloent-hi algunes detectades per la intel·ligència artificial de Google, Big Sleep. Es recomana als usuaris actualitzar els seus navegadors i aplicacions com més prompte millor.

Chrome (versió 139): Google ha llançat una actualització per a corregir una vulnerabilitat d’alt impacte en el motor V8 de JavaScript, identificada com a CVE‑2025‑9132. Esta va ser descoberta per l’agent de IA Big Sleep, desenrotllat per Google DeepMind i Project Zero.

Firefox i Thunderbird: Mozilla ha implementat pedaços que corregixen nou fallades de seguretat en Firefox (cinc qualificats com a high severity), entre estos:

• Una corrupció de memòria en el procés GMP que podria permetre escapar del sandbox  (CVE‑2025‑9179).
• Una vulneració de la política same‑origin en un component gràfic (CVE‑2025‑9180).
• Diverses fallades de seguretat en memòria que podrien derivar en execució remota de codi (CVE‑2025‑9184, CVE‑2025‑9185, CVE‑2025‑9187).
• Estes actualitzacions també inclouen noves versions estables de Firefox, Thunderbird i les seues variants ESR, a més de Firefox per a iOS i Focus per a iOS .

Recursos afectats

• • Navegador: Google Chrome versió 139 (per a Windows, macOS i Linux).
  • Navegadors: Mozilla Firefox versió 142 (estàndard i ESR; incloent-hi Focus per a iOS).
  • Clients de correu: Thunderbird versions 142, 140.2, i 128.14 (incloent-hi ESR).
  • Dispositius mòbils: Firefox i Focus per a iOS, versió 142.

Recomanacions

Per a mitigar el risc, es recomana aplicar les mesures següents:

1. Actualitzar immediatament tots els navegadors Chrome a la versió 139 i Firefox/Thunderbird a les versions indicades, incloent-hi les seues edicions ESR i mòbils.
2. Reiniciar els navegadors després d’aplicar les actualitzacions per a assegurar-se que els pedaços s’activen correctament.
3. Verificar que les versions actualitzades estiguen efectivament instal·lades, accedint als menús d’ajuda → “Sobre” en cada navegador o client de correu.
4. Mantindre habilitades les actualitzacions automàtiques, sempre que siga possible, per a rebre protecció contínua.
5. Si representes un entorn corporatiu, coordinar la distribució centralitzada de pedaços a través de polítiques de TI o ferramentes de gestió de pedaços.

Referències

• Ionut Arghire. “High Severity Vulnerabilities Patched in Chrome, Firefox” — SecurityWeek SecurityWeek
•  Google fixed Chrome flaw found by Big Sleep AI” — Security Affairs