Posted on

Butlletí mensual de Microsoft

Introducció

Microsoft ha corregit 114 vulnerabilitats en el seu butlletí de seguretat de gener de 2026, incloses 3 vulnerabilitats zero-day, una de les quals està sent explotada activament. Estes vulnerabilitats inclouen des de divulgació d’informació sensible i elevació de privilegis fins a bypass de característiques de seguretat i errors que podrien permetre l’execució de codi remota. Les fallades afecten múltiples components de Windows i programari associat, i diverses categories de risc estan representades, amb una gran proporció de vulnerabilitats d’elevació de privilegis i execució remota de codi.

Anàlisi 

Destaquen les 3 vulnerabilitats zero-day:

CVE-2026-20805: Desktop Window Manager Information Disclosure Vulnerability

Una vulnerabilitat de divulgació d’informació en el Desktop Window Manager (DWM), activament explotada. Un atacant amb accés autoritzat local podria aprofitar esta fallada per a llegir adreces de memòria del procés associat al port ALPC remot, la qual cosa pot revelar informació interna útil per a posteriors vectors d’atac.

CVE-2026-21265: Secure Boot Certificate Expiration Security Feature Bypass Vulnerability

Esta vulnerabilitat ha sigut públicament divulgada, i està relacionada amb la caducitat d’uns certs certificats d’arrancada segura (Secure Boot). Els certificats emesos en 2011 eren pròxims a la seua data d’expiració, la qual cosa podria permetre a un atacant eludir les proteccions de Secure Boot en sistemes no actualitzats. El pedaç renova estos certificats per a restaurar la cadena de confiança i mantindre la verificació de components d’arrancada.

CVE-2023-31096: Windows Agere Soft Modem Driver Elevation of Privilege Vulnerability

Esta vulnerabilitat afecta el controlador de tercers Agere Soft Modem. Explotacions prèvies permetien l’escalada de privilegis administratius (SYSTEM). En l’actualització d’este mes, Microsoft ha eliminat completament els controladors vulnerables (agrsm64.sys i agrsm.sys) dels sistemes compatibles per a mitigar el risc.

Recomanacions:

Aplicar les actualitzacions de Microsoft quan estiguen disponibles

Referències: 

Posted on

Vulnerabilitats crítiques en Veeam Backup & Replication

Introducció

      S’han identificat múltiples vulnerabilitats crítiques en Veeam Backup & Replication, un programari àmpliament usat per a còpies de seguretat empresarials. Algunes d’estes vulnerabilitats són de tipus execució remota de codi (RCE). Veeam ha publicat pegats i actualitzacions de seguretat, però els sistemes encara sense actualitzar poden romandre exposats a atacs persistents, incloent-hi l’eliminació de còpies de seguretat i el desplegament de programari maliciós (malware) en infraestructures crítiques. 

Anàlisi 

Destaca la vulnerabilitat crítica CVE-2025-59470:

Per a explotar la vulnerabilitat cal estar autenticat amb un rol privilegiat, com Backup Operator o Tape Operator. Estos rols tenen permisos elevats dins de Veeam Backup & Replication, cosa que permet que un atacant autenticat puga enviar paràmetres maliciosos i executar codi com l’usuari Postgres.

A més, es publiquen altres vulnerabilitats:

    • CVE-2025-55125: permet a un operador de còpia de seguretat o cinta executar un codi remot com a arrel (root) mitjançant un arxiu de configuració maliciós. Té severitat alta i un CVSS v3.1: 7.2.

    • CVE-2025-59468: permet a un administrador de còpia de seguretat executar un codi remot com l’usuari Postgres enviant un paràmetre de contrasenya maliciós. Té severitat mitjana i un CVSS v3.1: 6.7

    • CVE-2025-59469: permet que un operador de còpia de seguretat o cinta puga escriure arxius com a arrel. Té severitat alta i un CVSS v3.1: 7.2.

Recursos afectats:

    • Veeam Backup & Replication 13.0.1.180 i totes les versions anteriors dins de la branca 13.x sense aplicar pegats.

Solució: actualitzar a 13.0.1.1071 o posterior.

Referències: 

Posted on

Reactivación de ataques contra CVE-2020-12812 en Fortinet

Més de 10.000 firewalls de Fortinet exposats a una omissió de 2FA explotada activament

 

Introducció

       S’ha detectat activitat maliciosa explotant una vulnerabilitat crítica en dispositius Fortinet FortiGate que permet ometre el segon factor d’autenticació (2FA). Esta vulnerabilitat, identificada com CVE-2020-12812 i corregida en 2020, continua afectant més de 10.000 firewalls exposats públicament que no han aplicat el pedaç corresponent.

 

Anàlisi 

La vulnerabilitat CVE-2020-12812 afecta FortiOS SSL VPN quan l’autenticació es realitza mitjançant LDAP. Permet a un atacant eludir la verificació del segon factor (FortiToken) si el nom d’usuari és manipulat (per exemple, canviant majúscules/minúscules).

Fortinet va publicar actualitzacions de seguretat al juliol de 2020 per a corregir la fallada i va instar a desactivar la distinció entre majúscules i minúscules com a mitigació temporal.

En les últimes setmanes, Fortinet ha confirmat que esta vulnerabilitat continua sent activament explotada en escenaris reals. El grup hadowserver detecta actualment més de 10.000 dispositius vulnerables en línia, amb especial concentració als Estats Units.

Esta vulnerabilitat ja va ser assenyalada en 2021 per la CISA i l’FBI com a part de campanyes de grups APT patrocinats per estats, i es va afegir en el seu moment al catàleg de vulnerabilitats explotades conegudes.

 

Vector d’atac

  • Aprofita la distorsió en el nom d’usuari en autenticar-se via SSL VPN.
  • Si LDAP està activat i el sistema és vulnerable, l’atacant aconseguix accés sense necessitat d’introduir el segon factor.

 

Impacte potencial

  • Accés no autoritzat a la xarxa corporativa.
  • Segrest de sessions administratives.
  • Persistència dins de l’entorn compromés.
  • Risc de desplegament de malware, ransomware o exfiltració de dades.

Classificació CVSS: 9.8 – Crítica

 

Recursos afectats:

Dispositius FortiGate amb FortiOS en les versions següents (sense posar pedaços):

  • FortiOS 6.0.0 a 6.0.9 (corregit en 6.0.10)
  • FortiOS 6.2.0 a 6.2.3 (corregit en 6.2.4)
  • FortiOS 6.4.0 (corregit en 6.4.1)

 

 

Recomanacions:

  • Aplicar immediatament les actualitzacions de seguretat publicades per Fortinet.
  • Verificar si LDAP està habilitat en les configuracions SSL VPN i revisar que no hi haja distorsió en el tractament del nom d’usuari.
  • Revisar registres d’accés i indicadors de compromís.
  • Desactivar temporalment l’autenticació per SSL VPN si no és imprescindible.

 

Referències: 

Logo de LangChain
Logo LangChain
Posted on

Vulnerabilitat crítica en LangChain Core permet injecció d’objectes i exfiltración de secrets

Investigadors de seguretat han detectat una vulnerabilitat greu a LangChain Core, una llibreria àmpliament utilitzada per desenvolupar aplicacions d’intel·ligència artificial basades en models lingüístics (LLM).

La vulnerabilitat permet que dades manipulades per tercers es processin com si fossin fiables, la qual cosa podria provocar un accés no autoritzat a informació sensible com ara contrasenyes, claus de servei i dades internes de l’empresa. També hi ha el risc que els atacants alterin maliciosament el comportament dels agents d’IA.

Les versions afectades inclouen les darreres versions de LangChain:

    • Python: versions de l’1.0.0 a l’1.2.4 i versions anteriors a la 0.3.81
    • JavaScript: versions de @langchain/core anteriors a l’1.1.8 i la 0.3.80

Els desenvolupadors ja han publicat actualitzacions segures que corregeixen la vulnerabilitat:

    • Python: actualitzeu a la 1.2.5 o superior, o a la 0.3.81 o superior
    • JavaScript: actualitzeu a la versió 1.1.8 o superior, o a la 0.3.80 o superior

Es recomana a totes les organitzacions i desenvolupadors que revisin les seves aplicacions que utilitzen LangChain i les actualitzin immediatament a les versions parchejades. A més, és essencial tractar sempre la informació generada pels models d’IA com a poc fiable fins que no es validï, per tal de minimitzar els riscos.

Aquesta vulnerabilitat destaca la importància de la seguretat en les aplicacions d’intel·ligència artificial, especialment en entorns on els models interactuen directament amb dades i sistemes crítics.

Referències:

    • https://thehackernews.com/2025/12/critical-langchain-core-vulnerability.html
Logo de LangChain
Logo LangChain