Explotación de clonación de voz por IA, desconexión Wi-Fi, vulnerabilidades de PLC y 14 historias más

Se ha revelado una error de seguridad de adhesión agravación en Redis (CVE-2025-62507, puntuación CVSS: 8,8) que podría conducir a la ejecución remota de código mediante un desbordamiento del búfer de pila. Se solucionó en la traducción 8.3.2. El examen de la error realizado por JFrog ha revelado que la vulnerabilidad se activa cuando se utiliza el nuevo comando XACKDEL ​​de Redis 8.2, que se introdujo para simplificar y optimizar la ablución de la transmisión. Específicamente, reside en la implementación de xackdelCommand(), una función responsable de analizar y procesar la directorio de ID de flujo proporcionada por el afortunado. “El problema central es que el código no verifica que la cantidad de identificaciones proporcionadas por el cliente se ajusten a los límites de esta matriz asignada por pila”, dijo la compañía. “Como resultado, cuando se proporcionan más ID de los que la matriz puede contener, la función continúa escribiendo más allá del final del búfer. Esto da como resultado un desbordamiento del búfer clásico basado en pila”. La vulnerabilidad se puede activar de forma remota en la configuración predeterminada de Redis simplemente enviando un único comando XACKDEL ​​que contenga una cantidad suficientemente holgado de ID de mensajes. “Todavía es importante tener en cuenta que, de forma predeterminada, Redis no exige ninguna autenticación, lo que la convierte en una ejecución remota de código no autenticado”, añadió JFrog. Al momento de escribir este artículo, hay 2.924 servidores susceptibles a la error.

BaoLoader, las campañas ClickFix y Maverick surgieron como las tres principales amenazas entre el 1 de septiembre y el 30 de noviembre de 2025, según ReliaQuest. A diferencia del malware distintivo que roba certificados, se sabe que los operadores de BaoLoader registran empresas legítimas en Panamá y Malasia específicamente para comprar certificados de firma de código válidos de las principales autoridades certificadoras para firmar sus cargas bártulos. “Con estos certificados, su malware parece digno de confianza tanto para los usuarios como para las herramientas de seguridad, lo que les permite tratar en gran medida sin ser detectados y ser descartados simplemente como programas potencialmente no deseados (PUP)”, dijo ReliaQuest. El malware, una vez valiente, abusa de “node.exe” para ejecutar JavaScript pillo para agradecimiento, ejecución de comandos en memoria y llegada por puerta trasera. Todavía dirige el tráfico de comando y control (C2) a través de servicios legítimos en la aglomeración, ocultando el tráfico saliente como una actividad comercial común y socavando el obstrucción basado en la reputación.

Los correos electrónicos de phishing disfrazados de invitaciones a fiestas, facturas vencidas, avisos de impuestos, solicitudes de reunión de Teleobjetivo o notificaciones de firma de documentos se utilizan para ofrecer herramientas de administración y supervisión remotas (RMM) como LogMeIn Resolve, Naverisk y ScreenConnect en campañas de ataque de varias etapas. En algunos casos, ScreenConnect se utiliza para ofrecer herramientas secundarias, incluidos otros programas de llegada remoto, anejo con HideMouse y WebBrowserPassView. Si acertadamente la organización exacta detrás de la instalación de herramientas de llegada remoto duplicadas no está clara, se cree que los actores de la amenaza pueden estar usando licencias de prueba, lo que los obliga a cambiarlas para evitar que caduquen. En otro incidente analizado por CyberProof, los atacantes pasaron de apuntar a la cuenta personal de PayPal de un empleado a establecer un punto de apoyo corporativo a través de una organización RMM de múltiples capas que involucraba el uso de LogMeIn Rescue y AnyDesk engañando a las víctimas para que instalaran el software por teléfono haciéndose ocurrir por personal de soporte. El correo electrónico está diseñado para crear emergencia haciéndose ocurrir por alertas de PayPal.

Las autoridades holandesas dijeron que arrestaron a un hombre de 33 primaveras en Schiphol por su presunta décimo en la operación de AVCheck, un servicio anti-antivirus (CAV) que fue desmantelado por una operación policial multinacional en mayo de 2025. “El servicio ofrecido por el sospechoso permitió a los ciberdelincuentes perfeccionar el ocultamiento de archivos maliciosos cada vez”, dijeron funcionarios holandeses. “Para los ciberdelincuentes es muy importante que el último número posible de programas antivirus puedan detectar la actividad maliciosa, para maximizar sus posibilidades de éxito en la búsqueda de víctimas. De esta guisa, el hombre permitió a los delincuentes utilizar el malware que habían desarrollado para exigir el veterano número posible de víctimas”.

Apple y Google han confirmado que la próxima traducción de Siri utilizará Gemini y su tecnología en la aglomeración en una colaboración de varios primaveras entre los dos gigantes tecnológicos. “Apple y Google han iniciado una colaboración de varios primaveras en virtud de la cual la próxima reproducción de modelos de la Fundación Apple se basará en los modelos Gemini de Google y la tecnología de aglomeración”, dijo Google. “Estos modelos ayudarán a potenciar las futuras funciones de Apple Intelligence, incluido un Siri más personalizado que llegará este año”. Google enfatizó que Apple Intelligence continuará ejecutándose en dispositivos Apple y Private Cloud Compute, manteniendo al mismo tiempo los estándares de privacidad líderes en la industria de Apple. “Esto parece una concentración de poder irrazonable para Google, legado que asimismo tienen Android y Chrome”, dijo el director ejecutor de Tesla y X, Elon Musk.

China ha pedido a las empresas nacionales que dejen de utilizar software de ciberseguridad fabricado por aproximadamente una docena de empresas de Estados Unidos e Israel conveniente a preocupaciones de seguridad doméstico, informó Reuters, citando a “dos personas informadas sobre el asunto”. Esto incluye VMware, Palo Detención Networks, Fortinet y Check Point. Según se informa, las autoridades han expresado su preocupación de que el software pueda compendiar y transmitir información confidencial al extranjero.

Se han revelado fallas de seguridad en bibliotecas Python de código despejado de inteligencia fabricado/formación forzoso (AI/ML) publicadas por Apple (FlexTok), NVIDIA (NeMo) y Salesforce (Uni2TS) que permiten la ejecución remota de código (RCE) cuando se carga un archivo maniquí con metadatos maliciosos. “Las vulnerabilidades provienen de bibliotecas que utilizan metadatos para configurar modelos y canalizaciones complejos, donde una biblioteca compartida de terceros crea instancias de clases utilizando estos metadatos”, dijo la Mecanismo 42 de Palo Detención Networks. “Las versiones vulnerables de estas bibliotecas simplemente ejecutan los datos proporcionados como código. Esto permite a un atacante engastar código parcial en los metadatos del maniquí, que se ejecutaría automáticamente cuando las bibliotecas vulnerables carguen estos modelos modificados”. La biblioteca de terceros en cuestión es Hydra de Meta, específicamente una función convocatoria “hydra.utils.instantiate()” que hace posible ejecutar código usando funciones de Python como os.system(), buildins.eval() y buildins.exec(). Las vulnerabilidades, rastreadas como CVE-2025-23304 (NVIDIA) y CVE-2026-22584 (Salesforce), han sido abordadas desde entonces por las respectivas empresas. Hydra asimismo actualizó su documentación para indicar que RCE es posible cuando se usa instantiate() y que ha implementado una directorio predeterminada de módulos bloqueados para mitigar el aventura. “Para evitarlo, configure la var de entorno HYDRA_INSTANTIATE_ALLOWLIST_OVERRIDE con una directorio de módulos separados por dos puntos en la directorio de permitidos”, decía.

Un agrupación de académicos ha ideado una técnica convocatoria VocalBridge que puede utilizarse para eludir las defensas de seguridad existentes y ejecutar ataques de clonación de voz. “La mayoría de los métodos de purificación existentes están diseñados para contrarrestar el ruido desfavorable en sistemas de agradecimiento forzoso de voz (ASR) en puesto de procesos de comprobación de presentador o clonación de voz”, dijo el equipo de la Universidad de Texas en San Antonio. “Como resultado, no logran suprimir las señales acústicas detalladas que definen la identidad del hablante y, a menudo, son ineficaces contra los ataques de comprobación del hablante (SVA). Para enfrentarse estas limitaciones, proponemos Diffusion-Bridge (VocalBridge), un ámbito de purificación que aprende un mapeo escondido desde el deje perturbada hasta la limpia en el espacio escondido de EnCodec. Utilizando una U-Net 1D condicionada en el tiempo con un software de ruido coseno, el maniquí permite una purificación eficaz y sin transcripciones al mismo tiempo que preserva estructura discriminativa del hablante”.

El organismo de control de las telecomunicaciones de Rusia, Roskomnadzor, ha denunciado a 33 operadores de telecomunicaciones por no instalar equipos de inspección de tráfico y filtrado de contenidos. En total se detectaron 35 casos de violaciones en las redes de los operadores. “Ya se han curia cuatro casos y se han impuesto multas a los infractores. Se han enviado al tribunal materiales sobre seis hechos. Los operadores restantes fueron citados para redactar protocolos”, informó Roskomnadzor. A raíz de la invasión rusa de Ucrania en 2022, la agencia ordenó que todos los operadores de telecomunicaciones instalen equipos que inspeccionen el tráfico de usuarios y bloqueen el llegada a sitios “no deseados”.

Un nuevo examen de un malware de Turla conocido como Kazuar ha revelado las diversas técnicas que emplea la puerta trasera para sortear las soluciones de seguridad y aumentar el tiempo de examen. Esto incluye el uso del maniquí de objetos componentes (COM), seguimiento de eventos sin parches para Windows (ETW), omisión de interfaz de escaneo antimalware (AMSI) y un truco de redirección de flujo de control para sufrir a lengua las rutinas maliciosas primarias durante la segunda ejecución de una función convocatoria “Qtupnngh”, que luego venablo tres cargas bártulos de Kazuar .NET (KERNEL, WORKER y BRIDGE) usando una sujeción de infección de varias etapas. “La dialéctica central reside en el núcleo, que actúa como orquestador principal. Maneja el procesamiento de tareas, el registro de teclas, el manejo de datos de configuración, etc.”, dijo el investigador Dominik Reichel. “El trabajador gestiona la vigilancia operativa monitoreando el entorno del host infectado y la postura de seguridad, entre sus otras responsabilidades. Finalmente, el puente funciona como capa de comunicaciones, facilitando la transferencia de datos y la exfiltración del directorio de datos regional a través de una serie de rutas de complementos de WordPress comprometidos”.

Los investigadores de ciberseguridad han revelado detalles de múltiples vulnerabilidades de seguridad críticas que afectan al compensador sensato programable (PLC) DVP-12SE11T de Delta Electronics y que plantean riesgos graves que van desde el llegada no acreditado hasta la interrupción operativa en entornos de tecnología operativa (OT). Las vulnerabilidades incluyen: CVE-2025-15102 (puntuación CVSS: 9,8), una omisión de protección con contraseña, CVE-2025-15103 (puntuación CVSS: 9,8), una omisión de autenticación mediante divulgación parcial de contraseña, CVE-2025-15358 (puntuación CVSS: 7,5): una denegación de servicio y CVE-2025-15359 (Puntuación CVSS: 9,8), una escritura de memoria fuera de los límites. Los problemas se solucionaron mediante actualizaciones de firmware a finales de diciembre de 2025. “Las debilidades en la autenticación de PLC y el manejo de la memoria pueden aumentar significativamente el aventura activo en entornos OT, particularmente donde están presentes sistemas heredados o una segmentación de red limitada”, dijo la Mecanismo 515 de OPSWAT, que descubrió las fallas durante una evaluación de seguridad en agosto de 2025.

Mandiant ha valiente una utensilio de código despejado para ayudar a los administradores de Salesforce a auditar configuraciones erróneas que podrían exponer datos confidenciales. Llamado AuraInspector, ha sido descrito como una cortaplumas suiza de las pruebas de Salesforce Experience Cloud. “Facilita el descubrimiento de aplicaciones Salesforce Experience Cloud mal configuradas y automatiza gran parte del proceso de prueba”, dijo Google. Esto incluye el descubrimiento de registros accesibles desde contextos de Invitado y Autenticado, la capacidad de obtener el número total de registros de objetos utilizando el método GraphQL Aura no documentado, comprobaciones de capacidades de autorregistro y descubrimiento de “URL de inicio”, que podrían permitir el llegada no acreditado a funciones administrativas confidenciales.

Una error de adhesión agravación (puntuación CVSS: 8,4) en el software del chipset Wi-Fi de Broadcom puede permitir que un atacante no autenticado internamente del zona de influencia de la radiodifusión desconecte completamente las redes inalámbricas enviando una única trama maliciosa, independientemente del nivel de seguridad de la red configurado, lo que obliga a los enrutadores a reiniciarse manualmente antiguamente de que se pueda restaurar la conectividad. La error afecta a las redes inalámbricas de 5 GHz y provoca que todos los clientes conectados, incluidas las redes de invitados, se desconecten simultáneamente. Las conexiones Ethernet y la red de 2,4 GHz no se ven afectadas. “Esta vulnerabilidad permite a un atacante hacer que el punto de llegada no responda a todos los clientes y finalizar cualquier conexión de cliente en curso”, dijo Black Duck. “Si la transmisión de datos a sistemas posteriores continúa, los datos pueden corromperse o, como minúsculo, la transmisión se interrumpirá”. El ataque elude las protecciones WPA2 y WPA3 y puede repetirse indefinidamente para provocar interrupciones prolongadas en la red. Broadcom ha valiente un parche para solucionar el problema informado. Se han ocultado detalles adicionales conveniente al aventura potencial que representa para numerosos sistemas que utilizan el chipset.

Actores de amenazas desconocidos han robado Ether por valía de 26 millones de dólares de la plataforma de criptomonedas Truebit explotando una vulnerabilidad en el pacto inteligente de cinco primaveras de la compañía. “El atacante aprovechó una vulnerabilidad matemática en el precio del pacto inteligente del token TRU, que fijó su valía muy cerca de cero”, dijo Halborn. “Con llegada a una fuente de tokens TRU de bajo costo, el atacante pudo drenar el valía del pacto vendiéndolos nuevamente al pacto al precio completo. El atacante realizó una serie de solicitudes de acuñación de parada valía que le proporcionaron una gran cantidad de tokens TRU a un costo insignificante”.

Se ha descubierto que una nueva ola de ataques aprovecha señuelos con temas de facturas en correos electrónicos de phishing para engañar a los destinatarios para que abran un archivo PDF adjunto que muestra un mensaje de error, indicándoles que descarguen el archivo haciendo clic en un brote. Algunos de los enlaces redirigen a una página disfrazada de Google Drive que imita archivos de vídeo MP4, pero, en existencia, eliminan herramientas RMM como Syncro, SuperOps, NinjaOne y ScreenConnect para un llegada remoto persistente. “Como no se alcahuetería de malware como puertas traseras o troyanos de llegada remoto (RAT), los actores de amenazas los aprovechan cada vez más”, afirmó AhnLab. “Esto se debe a que estas herramientas han sido diseñadas para sortear la detección por parte de productos de seguridad como firewalls y soluciones antimalware, que se limitan simplemente a detectar y encerrar cepas de malware conocidas”.

Una cepa de ransomware denominada CrazyHunter ha comprometido al menos seis empresas en Taiwán, la mayoría de ellas hospitales. Un ransomware basado en Go y una ramal del ransomware Prince, emplea métodos avanzados de encriptación y entrega dirigidos a máquinas basadas en Windows, según Trellix. Todavía mantiene un sitio de fuga de datos para imprimir información de las víctimas. “El compromiso auténtico a menudo implica explotar las debilidades en la infraestructura de Active Directory (AD) de una ordenamiento, frecuentemente aprovechando contraseñas débiles en cuentas de dominio”, dijo la compañía. Se ha descubierto que los actores de amenazas utilizan SharpGPOAbuse para distribuir la carga útil del ransomware a través de objetos de política de agrupación (GPO) y propagarla por la red. Se utiliza un compensador antimalware Zemana modificado para elevar sus privilegios y eliminar procesos de seguridad como parte de un ataque Bring Your Own Inerme Driver (BYOVD). Se estima que CrazyHunter está activo desde al menos principios de 2025, y las autoridades taiwanesas lo describen como un agrupación de piratas informáticos chinos compuesto por dos personas, Luo y Xu, que vendieron los datos robados a grupos de traficantes tanto en China como en Taiwán. Dos sospechosos taiwaneses presuntamente involucrados en tráfico de datos fueron arrestados y seguidamente puestos en facilidad bajo fianza en agosto pasado.