Posted on

Vulnerabilitat explotada de Qualcomm en Android

Google ha revelat que una vulnerabilitat d’alta severitat que afecta un component de codi obert de Qualcomm utilitzat en dispositius Android ha sigut explotada activament en entorns reals.

Anàlisi
 

La vulnerabilitat identificada com a CVE-2026-21385 (CVSS: 7.8) correspon a un buffer over-read en el component de Gràfics. Segons Qualcomm, el problema implica corrupció de memòria en agregar dades subministrades per l’usuari sense verificar l’espai disponible en el búfer, que descriu com un cas de desbordament de nombres enters (integer overflow).

La fallada va ser reportada a Qualcomm per l’equip de seguretat d’Android de Google el 18 de desembre de 2025, i els clients han sigut notificats el 2 de febrer de 2026.

Google ha indicat en el seu butlletí de seguretat mensual que hi ha indicis que CVE-2026-21385 podria estar sent explotada de manera limitada i dirigida. No s’han divulgat detalls tècnics sobre els mètodes d’explotació observats.

L’actualització de seguretat de març de 2026 d’Android corregix un total de 129 vulnerabilitats, incloent-hi una crítica en el component System (CVE-2026-0006), que podria permetre execució remota de codi sense interacció de l’usuari ni privilegis addicionals.

A més, es van corregir:
 
    •  Una vulnerabilitat d’escalament de privilegis en Framework (CVE-2026-0047).
    •  Una vulnerabilitat de denegació de servici (Dos) en System (CVE-2025-48631).
    •  Set fallades d’escalament de privilegis en el Kernel (CVE-2024-43859, CVE-2026-0037, CVE-2026-0038, CVE-2026-0027, CVE-2026-0028, CVE-2026-0030 i CVE-2026-0031).
Vulnerabilitats Identificades
 
La vulnerabilitat CVE-2026-21385 es produïx quan el sistema agrega dades proporcionades per l’usuari sense validar adequadament la grandària del búfer disponible. Això genera un desbordament sencer que pot provocar:
 
    • Lectura fora de límits de memòria.
    • Corrupció de memòria.
    • Possible filtració d’informació sensible.
    • Inestabilitat del sistema.
Encara que es classifica com a over-read, este tipus d’error pot facilitar etapes posteriors d’explotació, depenent del context d’execució i els privilegis del procés afectat.
 
Recursos afectats
 
    • Dispositius Android que integren joc de xips (chipsets) Qualcomm vulnerables.
    • Components gràfics que utilitzen la versió afectada del mòdul codi font obert (open-source).
    • Equips que no hagen aplicat els pedaços de març de 2026 (nivell 2026-03-01 o 2026-03-05).
    • Fabricants OEM que encara no hagen distribuït actualitzacions de seguretat.
Recomanacions
 
Per a usuaris finals
    • Verificar que el dispositiu tinga instal·lat el pedaç de seguretat Android de març de 2026.
    • Aplicar immediatament qualsevol actualització disponible.
    • Activar Google Play Protect i mantindre’l habilitat.
    • Evitar instal·lar aplicacions de fonts no de confiança.
Per a fabricants 
    • Implementar els pedaços inclosos en els nivells 2026-03-01 i 2026-03-05.
    • Fer proves de validació posteriors a l’actualització
    • Revisar diaris (logs) i telemetria a la recerca de comportaments anòmals relacionats amb components gràfics.
    • Aplicar controls addicionals de validació de memòria en desenrotllaments propis.
    • Mantindre monitoratge continu davant de possibles indicadors de compromís (IoC).
Referències

Finalment, t’invitem a compartir este butlletí amb les teues persones pròximes per a fomentar i difondre una cultura de la ciberseguretat i les bones pràctiques en l’ús de les noves tecnologies.

Si tens alguna inquietud sobre ciberseguretat o necessites formació en esta àrea, visita les nostres webs. Hi trobaràs consells, cursos en línia, informes i molt més contingut: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ i seguix-nos en les nostres xarxes socials: Facebook (CSIRT-CV), X (@CSIRTCV) ) i YouTube (@csirt-cv6271)

Posted on

Vulnerabilitats crítiques en Cisco Catalyst SD-WAN

S’han publicat noves vulnerabilitats de seguretat de severitat alta i crítica que afecten components clau de la plataforma Cisco Catalyst SD-WAN (anteriorment, SD-WAN vSmart i vManage), incloses fallades que han sigut explotades activament en el món real des de 2023. Estes vulnerabilitats, descrites en múltiples fonts tècniques i consells de seguretat d’agències com CISA, representen un risc significatiu per a entorns d’SD-WAN mal apedaçats o exposats.
 
Anàlisi
La principal vulnerabilitat, CVE-2026-20127, es classifica com a crítica (CVSS 10.0) i permet a un atacant ometre mecanismes d’autenticació remota en els controladors Cisco Catalyst SD-WAN Controller i Manager enviant sol·licituds especialment crafted.

L’explotació d’esta fallada permet iniciar sessió com un usuari amb privilegis elevats i manipular configuracions de xarxa a través de NETCONF, la qual cosa pot conduir al control total de la infraestructura d’SD-WAN. Seguiment d’intel·ligència indica que esta fallada ha sigut explotada activament almenys des de 2023 per un actor sofisticat sobrenomenat UAT-8616, que a més ha utilitzat tècniques avançades com downgrade de microprogramari per a obtindre accés root persistent.
 
Recursos afectats
      • Cisco Catalyst SD-WAN Controller (abans vSmart) – interfícies d’autenticació i peering.
      • Cisco Catalyst SD-WAN Manager (abans vManage) – API de gestió, accés a configuració i servicis de xarxa.
      • Desplegaments on-premise i en entorns Cisco Hosted SD-WAN Cloud, incloses instal·lacions amb FedRAMP.
Recomanacions
      • Actualitzar immediatament totes les instàncies de Cisco Catalyst SD-WAN Controller i Manager a les versions apedaçades indicades en els avisos de seguretat.
      • Revisar inventari d’SD-WAN i assegurar que no existixen interfícies d’administració exposades directament a Internet.
      • Aplicar guies d’enduriment (hardening) publicades per Cisco i agències de ciberseguretat (inclosa CISA).
      • Analitzar logs i esdeveniments històrics a la recerca d’indicadors de compromís, especialment activitats inusuals de peering, comptes nous o accessos no autoritzats.
      • Aïllar o desconnectar dispositius sospitosos fins a comprovar-ne la integritat i absència de compromisos.
      • Implementar recopilació externa de logs per a evitar-ne la manipulació interna.
Referències
      • https://www.bleepingcomputer.com/news/security/critical-cisco-sd-wan-bug-exploited-in-zero-day-attacks-since-2023/
      • https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk
      • https://blog.talosintelligence.com/uat-8616-sd-wan/
      • https://www.cisa.gov/news-events/alerts/2026/02/25/cisa-and-partners-release-guidance-ongoing-global-exploitation-cisco-sd-wan-systems
      • https://cyberscoop.com/cisco-zero-days-cisa-emergency-directive-five-eyes/
      • https://www.helpnetsecurity.com/2026/02/25/cisco-sd-wan-zero-day-cve-2026-20127/
      • https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-authbp-qwCX8D4v

Finalment, et convidem a compartir este butlletí amb els teus afins per a fomentar i difondre una Cultura de la ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.


Si tens cap inquietud sobre ciberseguretat o necessitat de formació en esta àrea, visita les nostres webs. Trobaràs consells, cursos en línia, informes i molt més contingut: https://www.csirtcv.gva.es/ i https://concienciat.gva.es/ i seguix-nos en les nostres xarxes socials: Facebook (CSIRT-CV), X (@csirtcv) i YouTube (@csirt-cv6271)

Posted on

Múltiples vulnerabilitats crítiques en VMware Tanzu

El centre de resposta a incidents de ciberseguretat espanyol INCIBE-CERT ha publicat un avís d’importància crítica per la detecció de diverses vulnerabilitats en VMWare Tanzu, plataforma per a crear, administrar i executar aplicacions modernes basades en contenidors i Kubernetes en entorns empresarials.
 
Anàlisi
Broadcom ha publicat 5 avisos de seguretat que, en conjunt, corregixen 65 vulnerabilitats en diversos productes de VMware Tanzu. Entre estes, 2 són de severitat crítica, i la resta es distribuïxen entre nivells alts, mitjans i baixos. L’explotació exitosa d’estes deficiències podria permetre, entre altres accions, l’accés no autoritzat a servicis, execució remota de codi i explotació d’errors de maneig de memòria que comprometen la plataforma afectada.
 
Recursos afectats
      • VMware Tanzu Data Intelligence
      • VMware Tanzu Data Services
      • VMware Tanzu Data Services Pack
      • VMware Tanzu Data Services Solutions
      • VMware Tanzu Data Suite
      • VMware Tanzu for MySQL en Kubernetes
      • VMware Tanzu Platform
      • VMware Tanzu Platform SM
      • VMware Tanzu SQL
      • VMware Tanzu para Valkey
      • VMware Tanzu para Valkey en Kubernetes
      • VMware Tanzu Gemfire
      • VMware Tanzu Gemfire en Kubernetes

Estos components formen part de la suite de servicis i ferramentes de Tanzu que possibiliten la gestió d’aplicacions contenitzades i càrregues de treball en Kubernetes.

Recomanacions
      • Actualitzar tots els productes afectats de VMware Tanzu a les versions apedaçades més recents facilitades pel fabricant en els avisos de seguretat.
      • Revisar la configuració d’entorns de producció i assegurar-se que no s’utilitzen versions anteriors a les recomanades.
      • Verificar els mecanismes de seguretat de xarxa, incloses polítiques de firewall i segmentació, per a limitar l’exposició de servicis Tanzu a xarxes externes.
      • Enfortir els controls d’accés i revisar registres d’activitat per a detectar comportaments anòmals o intents d’explotació.
      • Mantindre un inventari actualitzat dels productes VMware Tanzu desplegats i el seu estat d’apedaçament.
Referències
      • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-vmware-tanzu-2
      • https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36997
      • https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36998
      • https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36999
      • https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/37000
      • https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/37001

Finalment, et convidem a compartir este butlletí amb les persones que t’envolten per a fomentar i difondre una cultura de la ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.

Si tens alguna inquietud sobre ciberseguretat o necessitat de formació en esta àrea, visita els nostres webs. Trobaràs consells, cursos en línia, informes i molt més contingut: https://www.csirtcv.gva.es/ i https://concienciat.gva.es/ i seguix-nos en les nostres xarxes socials: Facebook (CSIRT-CV), X (@csirtcv) i ) i YouTube (@csirt-cv6271)

Posted on

Publicació butlletí mensual

Hoy hemos emitido un nuevo boletín mensual con muchos consejos sobre ciberseguridad.

Todos los suscriptores del boletín mensual del CSIRT-CV han recibido el último ejemplar en sus correos.

Si quieres ser de los primeros en recibir nuestra publicación, puedes suscribirte aquí o, si prefieres leerlo en nuestra página accede a este  enlace.