Posted on

Redis CVE-2025-49844 – Vulnerabilitat crítica permet execució remota de codi (RediShell)

Introducció

L’equip de seguretat de Redis ha publicat pegats per a una vulnerabilitat crítica que podria permetre als atacants obtindre execució remota de codi (RCE) en milers d’instàncies vulnerables del popular sistema de base de dades en memòria.
Identificada com CVE-2025-49844 i amb una puntuació CVSS de 10.0 (Crítica), la falla, coneguda com RediShell, s’origina en una debilitat de tipus use-after-free present des de fa 13 anys en el codi font de Redis. La fallada pot ser explotat per actors autenticats mitjançant l’ús d’un script Lua especialment dissenyat, aprofitant que esta funcionalitat està habilitada per defecte.

Anàlisi

L’explotació exitosa d’esta vulnerabilitat permet a un atacant escapar del sandbox de Lua, executar codi arbitrari, establir una reveure’s shell per a obtindre accés persistent i, en conseqüència, prendre control complet del host Redis compromés.
Una vegada dins, els atacants poden robar credencials, implantar malware o criptominers, exfiltrar informació sensible, o moure’s lateralment dins de l’entorn de la víctima.

La vulnerabilitat va ser reportada per investigadors de Wiz durant l’esdeveniment Pwn2Own Berlín 2025. Encara que l’explotació requerix accés autenticat, s’estima que existixen al voltant de 330.000 instàncies Redis exposades en línia, de les quals unes 60.000 no requerixen autenticació, augmentant el risc d’atacs massius.

Recomanacions

Redis ha corregit la vulnerabilitat en les versions:

    • 7.22.2-12 i superiors
    • 7.8.6-207 i superiors
    • 7.4.6-272 i superiors
    • 7.2.4-138 i superiors
    • 6.4.2-131 i superiors

Es recomana actualitzar immediatament a una versió corregida, especialment en instàncies exposades a Internet.
Addicionalment, s’aconsella:

    • Habilitar autenticació i restringir l’accés sol a xarxes autoritzades.
    • Deshabilitar l’execució de scripts Lua i comandos innecessaris.
    • Executar Redis amb un usuari sense privilegis root.
    • Activar el registre i monitoratge d’activitat.
    • Aplicar controls d’accés a nivell de xarxa mitjançant firewalls o VPCs.

La combinació de l’alta criticitat, la gran quantitat d’instàncies exposades i les configuracions insegures per defecte convertixen a RediShell (CVE-2025-49844) en una amenaça greu que requerix remediació immediata.

 

Referències

https://www.bleepingcomputer.com/news/security/redis-warns-of-max-severity-flaw-impacting-thousands-of-instances/

Posted on

Ruth Merino destaca que la Generalitat realiza 584 actuaciones en entidades locales como parte del Plan de Choque de Ciberseguridad

La consellera de Hacienda y Economía, Ruth Merino, ha subrayado que la Generalitat ha realizado un total de 584 actuaciones en entidades locales como parte del Plan de Choque de Ciberseguridad, una iniciativa “que ha permitido ofrecer soluciones gratuitas de ciberseguridad y vigilancia para protegerse frente a los ciberataques”.

Ruth Merino ha señalado que según los datos del Centro de Ciberseguridad de la Comunitat Valenciana (CSIRT-CV), durante 2024 se registraron 36.400 millones de alertas de seguridad, lo que equivale a más de 100 millones diarias (1.150 por segundo), de las cuales solo 3.512 requirieron intervención más allá del cribado automático.

“Estas cifras muestran que el CSIRT-CV desempeña un papel decisivo porque es la primera línea de defensa frente a las amenazas digitales y es el garante de una respuesta rápida, coordinada y eficaz ante cualquier incidente”, ha resaltado la consellera durante su intervención en la clausura de las jornadas de la revista digital Socinfo ‘Retos/apuesta de la Transformación Digital en las AAPP de la Comunidad Valenciana: gobierno del dato, IA y ciberseguridad’.

Merino ha puesto en valor que gracias al trabajo del CSIRT-CV y a la colaboración de los ayuntamientos y las diputaciones, “la Comunitat Valenciana se ha convertido en un modelo de referencia en ciberseguridad pública”, y ha añadido que este proyecto pionero “demuestra que cuando las administraciones trabajamos unidas, los resultados llegan”.

El Plan de Choque de Ciberseguridad ha permitido ofrecer soluciones gratuitas de ciberseguridad y vigilancia digital a los ayuntamientos y entidades locales adheridas, que ha incluido infraestructuras, sistemas de detección de amenazas, soporte técnico y formación especializada, que les ha permitido alcanzar niveles de protección equiparables a los de la Administración autonómica.

La titular de Hacienda ha destacado que, gracias a este esfuerzo colectivo, la Generalitat ha sido reconocida por el CCN-CERT como la primera autonomía en integrar sus entidades locales en la Red Nacional de SOC, y ha recibido otros importantes galardones como el Premio INNOVAICS en la categoría de Administración Pública Cibersegura y el reconocimiento en la pasada Noche de las Telecomunicaciones.

Asimismo, Merino ha recordado que la Generalitat está avanzando hacia una transformación digital “sólida, segura y con visión de futuro”, y ha remarcado que los principales avances de la Administración autonómica se centran en el “despliegue de nueva herramientas y sistemas de protección frente a los retos del trabajo remoto, los servicios en la nube, los nuevos modelos de red, así como la incorporación de la atomatización de procesos, la inteligencia artificial o la conectividad masiva de los dispositivos IoT”.

En este sentido ha detallado algunos de los proyectos más significativos de la Generalitat como la nueva Carpeta Ciudadana, el Registro de Algoritmos GVA Confía y el sistema NEFIS de gestión económico-financiera.

“Llevamos el rumbo correcto: dato bien gobernado, inteligencia artificial confiable y ciberseguridad por diseño. Ahora toca escalar lo que funciona, medir mejor el impacto y contar con transparencia nuestras acciones”, ha concluido la consellera.

Desafíos de la inteligencia artificial y el gobierno del dato

La revista digital Sociedad de la Información Digital está especializada en reportajes de aprovechamiento de la informática y las telecomunicaciones en los servicios al ciudadano, e internamente, por parte de las administraciones públicas.

Durante el seminario se han celebrado diversas ponencias en las que responsables TIC del sector público y privado han abordado aspectos relacionados con los desafíos que engloba la inteligencia artificial, el gobierno de la información o la ciberseguridad.

Así, el director general de TIC, Javier Balfagón, ha destacado que “el dato es la infraestructura invisible del servicio público, por lo que construir su gobernanza resulta imprescindible”. La Generalitat ha apostado por definir un modelo, una plataforma corporativa y casos de uso para gestionar todo el ciclo de vida del dato. Es lo que llamamos proyecto Ànima y que nos servirá para personalizar nuestra relación con la ciudadanía”.

Además, Balfagón se ha referido a la estrategia de IA de la Generalitat, resaltando la necesidad de que la inteligencia artificial sea confiable y explicable: “por eso hemos creado GVA ConfIA, nuestro registro de algoritmos, para que la ciudadanía sepa qué sistemas usamos, para qué, con qué datos y con qué salvaguardas”.

Por su parte, la subdirectora general de Ciberseguridad de la Generalitat, Carmen Serrano ha puesto en valor la ciberseguridad como elemento fundamental de la transformación digital y ha destacado el papel que desempeña el Centro de Seguridad TIC de la Comunitat (CSIRT-CV) como centro al servicio de todos los valencianos.

Serrano ha hecho hincapié en que la Generalitat ha actualizado el marco normativo de ciberseguridad y ha consolidado la capacidad operativa de prevención, detección y respuesta ante las ciberamenazas, con CSIRT-CV como pieza clave, en un momento de riesgo creciente “porque la seguridad ya no se circunscribe a un perímetro, es una cultura y un compromiso que empieza en el diseño de cada proyecto y llega hasta el último proveedor”.

Posted on

Vulnerabilitat crítica en Oracle

Introducció

CVE-2025-61882 està sent aprofitada per actors maliciosos en campanyes de robatori de dades i extorsió. En particular, s’ha reportat el seu ús pel grup Clop en atacs contra instal·lacions de Oracle EBS. En els atacs observats s’han usat indicadors de compromís (IOCs) publicats per Oracle per a ajudar en la detecció i mitigació dels sistemes compromesos.

Anàlisi

CVE-2025-61882 és una vulnerabilitat en Oracle E-Business Suite, concretament en el component “Concurrent Processing / BI Publisher Integration”. És remotament explotable sense necessitat d’autenticació, és a dir, un atacant pot enviar peticions malicioses directament des de xarxa cap al sistema vulnerable sense credencials.

Si s’explota amb èxit, permet execució de codi remot (RCE), la qual cosa pot portar a la presa completa del component de Concurrent Processing, comprometent confidencialitat, integritat i disponibilitat del sistema. L’explotació exitosa d’esta vulnerabilitat pot donar control complet del component afectat, la qual cosa podria permetre escalar privilegis o comprometre altres subsistemes dependents.

Recomanacions

Afecta a les versions de Oracle EBS 12.2.3 fins a 12.2.14.

Oracle ha publicat un Security Alert amb el pegat corresponent per a esta vulnerabilitat. Com a requisit, el Critical Patch Update d’octubre de 2023 ha d’estar aplicat abans de poder instal·lar este pegat d’emergència.

Referències

https://www.oracle.com/security-alerts/alert-cve-2025-61882.html
https://www.bleepingcomputer.com/news/security/oracle-patches-ebs-zero-day-exploited-in-clop-data-theft-attacks/
https://www.securityweek.com/oracle-says-known-vulnerabilities-possibly-exploited-in-recent-extortion-attacks/

Posted on

La Generalitat recibe el premio INNOVAICS por su proyecto de ciberseguridad autonómica y para las entidades locales

La Generalitat ha sido galardonada con el premio INNOVAICS, en la categoría de Administración Pública Cibersegura, por su proyecto de ciberseguridad autonómica y para las entidades locales.

El director general de Tecnologías de la Información y las Comunicaciones, Javier Balfagón, ha explicado que este galardón “es el reconocimiento a la innovación, el esfuerzo y la excelencia que estamos aplicando a nuestra estrategia de ciberseguridad para el ecosistema de la Comunitat Valenciana, frente a una nueva realidad que ha vivido una transformación digital que multiplica las oportunidades pero también los riesgos”.

La Dirección General de TIC, de la Conselleria de Hacienda y Economía, ha recogido el premio en la gala celebrada anoche en el marco de la primera edición de AICS (Artificial Intelligence and Cybersecurity Summit), la conferencia de alto nivel que organiza la Región de Murcia y que ha reunido durante dos días a un millar de asistentes en torno a especialistas en inteligencia artificial y ciberseguridad para debatir sobre estas tecnologías de última generación.

La Comunitat Valenciana fue pionera en integrar a sus entidades locales en la Red Nacional de SOC, que coordina los centros de operaciones de seguridad. Con ello, la Generalitat y CSIRT-CV, su centro especializado en ciberseguridad, establecieron un modelo de colaboración y de excelencia que ha servido de ejemplo para otras comunidades y que se conoce como el modelo valenciano de ciberseguridad.

“Nuestro proyecto ha demostrado que, cuando unimos fuerzas, somos capaces de garantizar la seguridad digital incluso a los municipios más pequeños, acercando recursos que de otro modo serían inalcanzables”, ha recordado Balfagón.

Según el director general de TIC, “este premio es el reconocimiento a un modelo que está en constante adaptación a las amenazas que van surgiendo y a las necesidades de la ciudadanía, el tejido empresarial y nuestras administraciones locales. Este galardón nos compromete aún más a seguir trabajando con visión de futuro, convencidos de que la seguridad digital es la base para una sociedad más confiable, innovadora y próspera”.

Además, el responsable de la ciberseguridad en la Generalitat ha asegurado que se va a seguir trabajando para reforzar las capacidades de CSIRT-CV para “incorporar la innovación como seña de identidad y poner la ciberseguridad al servicio de lo que más importa: proteger los datos y los derechos de las personas, administraciones y empresas”.