Categoría: Actualidad

Introducción

Andrew Tierney de Pen Test Partners ha reportado las siguientes vulnerabilidades a CISA, ambas de ellas críticas. En caso de que estas vulnerabilidades fueran explotadas permitirían a un atacante ganar acceso de alto nivel al dispositivo para operarlo de manera remota, poniéndolo en un estado no funcional.^[1]  

Análisis

Las vulnerabilidades críticas encontradas son las siguientes:

• • CVE-2025-41438– Inicialización de un recurso con un por defecto no seguro. (CWE-1188):

El panel de incendios CS5000 es vulnerable debido a una cuenta por defecto que existe en el panel. Aunque es posible cambiarla conectándose por SSH al dispositivo, ha permanecido sin cambiar en todos los paneles instalados observados. Esta cuenta no es una cuenta root, pero posee permisos de alto nivel que podrían impactar de manera severa el funcionamiento del dispositivo.

• • CVE-2025-46352– Uso de credenciales incrustadas. (CWE-798):

El panel de incendios CS5000 es vulnerable debido a una contraseña incrustada en un servidor VNC que es visible como una cadena de texto en el binario responsable de correr VNC. Esta contraseña no puede ser alterada, permitiendo que cualquiera con conocimiento de ella pueda ganar acceso de manera remota al panel. Tal acceso podría permitir a un atacante operar de manera remota el panel, potencialmente poniendo al panel de incendios en un estado de no funcionamiento y causando problemas de seguridad severos

• Estas vulnerabilidades afectan a los siguientes recursos:

• • CS5000 Fire Panel: All versions.

Recomendaciones

Actualmente Consilium Safety es consciente de estas vulnerabilidades, pero ninguna solución está planeada para el CS5000 Fire Panel.
Se recomienda a los usuarios que deseen mejores opciones de seguridad que adquieran la nueva línea de paneles de incendios de Consilium Safety. Especialmente de productos producidos a partir del 1 de julio de 2024, que incorporan principios de seguridad como diseño.

Más información sobre seguridad del producto puede ser obtenida en la página de soporte de Consilium Safety.

Referencias

[1] ICSA-25-148-03 Consilium Safety CS5000 Fire Panel

Un modelo avanzado de inteligencia artificial ha descubierto una vulnerabilidad crítica de tipo zero-day en el kernel de Linux, identificada como CVE-2025-37899, que afecta a la implementación del protocolo Server Message Block (SMB) dentro del módulo ksmbd del kernel. Así lo ha publicado el medio de comunicación BankInfoSecurity.

La vulnerabilidad es un fallo de tipo use-after-free en el manejo de la instrucción ‘logoff’ del protocolo SMB, lo que puede permitir a un atacante remoto ejecutar código arbitrario con privilegios de kernel. Este tipo de fallo ocurre cuando un área de memoria es liberada pero sigue siendo accesible, lo que puede ser explotado para alterar el comportamiento del sistema o ejecutar código malicioso.

El hallazgo ha sido posible gracias a una investigación del experto Sean Heelan, quien utilizó el modelo de IA de frontera o3, desarrollado por OpenAI, para analizar aproximadamente 12.000 líneas de código fuente del módulo vulnerable. La inteligencia artificial fue capaz de razonar sobre rutas de ejecución complejas y detectar el error sin indicaciones específicas, lo que demuestra el potencial de estas tecnologías para identificar vulnerabilidades sofisticadas.

Este descubrimiento marca un hito importante en el uso de IA para la seguridad informática, ya que representa una de las primeras ocasiones en las que un modelo de lenguaje contribuye directamente a la identificación de una vulnerabilidad de seguridad crítica en software de código abierto.

Aunque la inteligencia artificial no sustituye la experiencia humana, sí demuestra ser una herramienta valiosa para mejorar la eficiencia y precisión en los procesos de auditoría de código y detección de fallos. Por ello, se recomienda a los administradores de sistemas Linux aplicar las actualizaciones de seguridad disponibles lo antes posible para mitigar cualquier riesgo.

El incidente subraya la creciente necesidad de integrar herramientas de inteligencia artificial en la ciberseguridad, no solo como ayuda reactiva, sino como un recurso proactivo para anticiparse a futuras amenazas.

Referencias

• https://www.bankinfosecurity.com/linux-zero-day-vulnerability-discovered-using-frontier-ai-a-28559
• https://sean.heelan.io/2025/05/22/how-i-used-o3-to-find-cve-2025-37899-a-remote-zeroday-vulnerability-in-the-linux-kernels-smb-implementation/
• https://thecyberexpress.com/cve-2025-37899-zero-day-in-linux-smb-kernel/

El 28 de mayo de 2025, Google y Mozilla anunciaron nuevas actualizaciones de seguridad para sus navegadores Chrome y Firefox. Estas actualizaciones, correspondientes a Chrome 137 y Firefox 139, corrigen un total de 21 vulnerabilidades, tres de ellas clasificadas como de alta gravedad. Aunque no se ha informado de que estas fallas estén siendo explotadas activamente, se recomienda aplicar las actualizaciones de forma inmediata.

Análisis

Las actualizaciones publicadas por Google y Mozilla abordan varias vulnerabilidades críticas que podrían permitir a un atacante ejecutar código arbitrario, causar bloqueos o comprometer la seguridad del sistema si se combinan con otras fallas.

En Chrome 137, se corrigen 11 fallos de seguridad, de los cuales ocho fueron reportados por investigadores externos. Dos de ellos son considerados de alta severidad:

• • CVE-2025-5063: fallo use-after-free en Compositing.
  • CVE-2025-5280: escritura fuera de límites en el motor JavaScript V8.

Estas fallas pueden derivar en la ejecución de código arbitrario o una fuga del sandbox si se explotan junto con otros errores del sistema. Además, se solucionaron cinco fallos de severidad media en componentes como Background Fetch API, FileSystemAccess API, Messages, BFCache y libvpx, y uno de baja severidad en Tab Strip.

En Firefox 139, se solucionaron 10 vulnerabilidades, incluyendo un error double-free de alta severidad en la biblioteca libvpx, que podría generar corrupción de memoria y un fallo explotable. También se resolvieron seis fallas de severidad media relacionadas con ataques de fuga entre orígenes (cross-origin), ejecución de código local, XS-Leaks y corrupción de memoria.

Mozilla también publicó actualizaciones para las versiones de soporte extendido (ESR) y Thunderbird:

• • Firefox ESR 128.11: corrige ocho de estas vulnerabilidades.
  • Firefox ESR 115.24: corrige cuatro fallas.
  • Thunderbird 139: incluye parches para las diez vulnerabilidades.
  • Thunderbird 128.11: soluciona ocho de ellas.

 

Recursos afectados

• • Google Chrome, versiones inferiores a 137.0.7151.55/56 (Windows/macOS) y 137.0.7151.55 (Linux)
  • Mozilla Firefox, versiones inferiores a 139
  • Mozilla Thunderbird, versiones inferiores a 139

Recomendaciones

Actualizar Chrome a la versión 137.0.7151.55/56.
Actualizar Firefox a la versión 139 o a las versiones ESR correspondientes.
Actualizar Mozilla Thunderbird a la última versión disponible.

Referencias

https://www.securityweek.com/chrome-137-firefox-139-patch-high-severity-vulnerabilities

https://www.securityweek.com/chrome-136-update-patches-vulnerability-with-exploit-in-the-wild/

https://www.securityweek.com/chrome-136-firefox-138-patch-high-severity-vulnerabilities

https://www.securityweek.com/chrome-135-firefox-137-updates-patch-severe-vulnerabilities/

 

Una vulnerabilidad recientemente descubierta en el protocolo Transparent Network Substrate (TNS) de Oracle permite a atacantes sin autenticar acceder a fragmentos de memoria del sistema. Aunque Oracle ya ha publicado un parche correctivo, varios servidores siguen expuestos a posibles ataques, lo que representa un riesgo de filtración de datos sensibles.

Análisis

La vulnerabilidad afecta al protocolo TNS cuando el listener de Oracle está configurado para aceptar conexiones TCPS y la opción LOCAL_OS_AUTHENTICATION está desactivada. En esta configuración, una simple petición de versión puede devolver memoria no inicializada que contiene variables del entorno del sistema como USERNAME, USERDOMAIN o la variable Path.

CVE-2025-30733: Esta vulnerabilidad representa un riesgo significativo, ya que afecta directamente al protocolo Oracle TNS y permite que una solicitud especialmente diseñada provoque una fuga de memoria del sistema. Bajo ciertas configuraciones, un atacante sin autenticar puede obtener datos sensibles como nombres de usuario, rutas de instalación o variables de entorno, lo que facilita movimientos laterales o ataques dirigidos dentro de la infraestructura afectada.

Para que el ataque tenga éxito, deben cumplirse las siguientes condiciones:

• • Acceso de red al listener TNS (puerto 1521 por defecto)
  • Configuración que permita conexiones remotas no predeterminadas
  • Interacción indirecta de un usuario legítimo (según vector UI:R)

Recursos afectados

Esta vulnerabilidad afecta a las siguientes versiones de Oracle Database:

• • 19c: de la versión 19.3 hasta 19.26
  • 21c: de la versión 21.3 hasta 21.17
  • 23c: de la versión 23.4 hasta 23.7

Recomendaciones

Instalar el Critical Patch Update de abril de 2025 o versiones posteriores disponibles en el sitio oficial de Oracle.

Referencias

https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbns04859en_us&docLocale=en_US

https://www.oracle.com/security-alerts/cpuapr2025.html