OpenSSL RCE, Foxit 0-Days, fuga de copiloto, fallas de contraseña de IA y más de 20 historias

Google anunció la primera interpretación beta de Android 17, con dos mejoras de privacidad y seguridad: la desactivación del Cleartext Traffic Attribute y la compatibilidad con la criptografía híbrida HPKE para permitir una comunicación segura mediante una combinación de secreto pública y oculto simétrico (AEAD). “Si su aplicación apunta a (Android 17) o superior y se friso en usesCleartextTraffic=’true’ sin una configuración de seguridad de red correspondiente, de forma predeterminada no permitirá el tráfico de texto sin reducir”, dijo Google. “Se le recomienda portar a archivos de configuración de seguridad de red para un control granular”.

Un nuevo estudio del ransomware LockBit 5.0 ha revelado que la interpretación de Windows incluye varias técnicas de entretenimiento de defensa y antianálisis, incluido el empaquetado, desconexión de DLL, vaciado de procesos, parcheo de funciones de seguimiento de eventos para Windows (ETW) y borrado de registros. “Lo que es importante entre el soporte de múltiples sistemas es su proclamada capacidad de ‘funcionar en todas las versiones de Proxmox'”, dijo Acronis. “Proxmox es una plataforma de virtualización de código despejado y las empresas la están adoptando como alternativa a los hipervisores comerciales, lo que la convierte en otro objetivo principal de los ataques de ransomware”. La última interpretación además presenta compilaciones dedicadas adaptadas a entornos empresariales, destacando la desarrollo continua de las operaciones de ransomware como servicio (RaaS).

Los investigadores de ciberseguridad han detallado una nueva desarrollo de la táctica de ingeniería social ClickFix dirigida a los usuarios de macOS. “Apodada Matryoshka conveniente a sus capas de ofuscación anidadas, esta variación utiliza un flujo de instalación/reparación espurio para engañar a las víctimas para que ejecuten un comando de Terminal ladino”, dijo Intego. “Si aceptablemente la táctica ClickFix no es nueva, esta campaña introduce técnicas de entretenimiento más sólidas, incluida una superficie comprimida en memoria y comunicaciones de red controladas por API, diseñadas para obstaculizar el estudio quieto y las zonas de pruebas automatizadas”. La campaña se dirige principalmente a usuarios que intentan pasarse sitios de revisión de software, aprovechando errores tipográficos en el nombre de la URL para redirigirlos a sitios falsos y activar la cautiverio de infección.

Se observó que otra nueva campaña de ClickFix detectada en febrero de 2026 entregaba un cargador de malware como servicio (MaaS) conocido como Matanbuchus 3.0. Huntress, que analizó la cautiverio de ataque, dijo que el objetivo final de la intrusión era implementar ransomware o exfiltrar datos basándose en el hecho de que el actor de la amenaza progresó rápidamente desde el camino original al movimiento fronterizo a los controladores de dominio a través de PsExec, la creación de cuentas no autorizadas y la puesta en número de pega de Microsoft Defender. El ataque además condujo a la implementación de un implante personalizado denominado AstarionRAT que admite 24 comandos para favorecer el robo de credenciales, proxy SOCKS5, escaneo de puertos, carga de código reflectante y ejecución de shell. Según datos de la empresa de ciberseguridad, ClickFix impulsó el 53% de toda la actividad de cargadores de malware en 2025.

En otra campaña más de ClickFix, los actores de amenazas confían en el “truco confiable” para encajar instrucciones maliciosas en sitios web falsos disfrazados de Homebrew (“homabrews(.)org”) para engañar a los usuarios para que las peguen en la aplicación Terminal con el pretexto de instalar el administrador de paquetes de macOS. En la cautiverio de ataque documentada por Hunt.io, los comandos en el dominio Homebrew con errores tipográficos se utilizan para entregar un cargador de cosecha de credenciales y un bandido de información de macOS de segunda etapa denominado Cuckoo Stealer. “El instalador inyectado solicitaba contraseñas usando ‘dscl. -authonly’, asegurando que el atacante obtuviera credenciales de trabajo ayer de implementar la segunda etapa”, dijo Hunt.io. “Cuckoo Stealer es un robo de información y RAT de macOS con todas las funciones: establece la persistencia de LaunchAgent, elimina atributos de cuarentena y mantiene comunicaciones de comando y control HTTPS cifradas. Recopila credenciales del navegador, tokens de sesión, datos de llaveros de macOS, notas de Apple, sesiones de correo, configuraciones de VPN y FTP, y más de 20 aplicaciones de billetera de criptomonedas”. El uso de “dscl . -authonly” se ha observado anteriormente en ataques que implementan Atomic Stealer.

Las autoridades de la Oficina Central de Lucha contra el Cibercrimen (CBZC) de Polonia han detenido a un hombre de 47 primaveras por presuntos vínculos con el orden de ransomware Phobos. Se enfrenta a una posible pena de prisión de hasta cinco primaveras. La CBZC dijo que “el hombre de 47 primaveras usó mensajes cifrados para contactar al orden criminal Phobos, conocido por realizar ataques de ransomware”, y agregó que los dispositivos del sospechoso contenían inicios de sesión, contraseñas, números de tarjetas de crédito y direcciones IP de servidores que podrían haberse utilizado para editar “varios ataques, incluido ransomware”. El arresto es parte de la Operación Aether de Europol, que tiene como objetivo el orden de ransomware 8Base, que se cree que está vinculado a Phobos. Ha pasado casi exactamente un año desde que la policía internacional desmanteló la tripulación de 8Base. Más de 1.000 organizaciones en todo el mundo han sido objeto de ataques de ransomware Phobos y se cree que los ciberdelincuentes obtuvieron más de 16 millones de dólares en pagos de rescate.

Ha habido un cachas aumento en el número de grupos de ransomware dirigidos a organizaciones industriales a medida que los ciberdelincuentes continúan explotando vulnerabilidades en la tecnología operativa (OT) y los sistemas de control industrial (ICS), advirtió Dragos. Durante 2025 se rastrearon un total de 119 grupos de ransomware dirigidos a organizaciones industriales, un aumento del 49 % con respecto a los 80 rastreados en 2024. En 2025, 3300 organizaciones industriales en todo el mundo fueron afectadas por ransomware, en comparación con 1693 en 2024. El sector más afectado fue la manufactura, seguido del transporte. Por otra parte, se ha observado a un orden de piratas informáticos rastreado como Pyroxene realizando “ataques aprovechados en la cautiverio de suministro dirigidos a sectores de defensa, infraestructura crítica e industrial, con operaciones expandiéndose desde el Medio Oriente alrededor de América del Meta y Europa Occidental”. A menudo aprovecha el camino original proporcionado por PARISITE para permitir el movimiento desde las redes de TI a las de OT. El piroxeno se superpone con la actividad atribuida a Imperial Kitten (además conocido como APT35), un actor de amenazas afiliado al ayuda cibernético del Cuerpo de la Atención Revolucionaria Islámica (IRGC).

Microsoft confirmó un error (CW1226324) que permitía a Microsoft 365 Copilot resumir correos electrónicos confidenciales de las carpetas Medios enviados y Borradores desde el 21 de enero de 2026, sin el permiso de los usuarios, omitiendo las políticas de prevención de pérdida de datos (DLP) implementadas para proteger los datos confidenciales. La empresa implementó una alternativa el 3 de febrero de 2026. Sin incautación, la empresa no reveló cuántos usuarios u organizaciones se vieron afectados. “Los mensajes de correo electrónico de los usuarios con una ritual confidencial aplicada están siendo procesados ​​incorrectamente por el chat de Microsoft 365 Copilot”, dijo Microsoft. “La” pestaña de trabajo “Chat de Microsoft 365 Copilot resume los mensajes de correo electrónico a pesar de que estos mensajes de correo electrónico tienen una ritual de confidencialidad aplicada y una política DLP configurada. Un problema de código permite que Copilot recoja los principios de los principios enviados y las carpetas de borradores a pesar de que las etiquetas confidenciales están establecidas”.

Los actores de amenazas están abusando de la confianza y la reputación asociadas con Atlassian Jira Cloud y su sistema de correo electrónico conectado para ejecutar campañas automatizadas de spam y eludir la seguridad tradicional del correo electrónico. Para obtener esto, los operadores crearon cuentas de prueba de Atlassian Cloud utilizando convenciones de nomenclatura aleatorias, lo que les permitió difundir instancias desechables de Jira Cloud a escalera. “Los correos electrónicos se diseñaron para dirigirse a grupos lingüísticos específicos, dirigidos a hablantes de inglés, francés, teutón, italiano, portugués y ruso, incluidos profesionales rusos en gran medida calificados que viven en el extranjero”, dijo Trend Micro. “Estas campañas no sólo distribuyeron spam genérico, sino que además se dirigieron específicamente a sectores como el gobierno y las entidades corporativas”. Los ataques, activos desde finales de diciembre de 2025 hasta finales de enero de 2026, se dirigieron principalmente a organizaciones que utilizan Atlassian Jira. El objetivo era obtener que los destinatarios abrieran los correos electrónicos y hicieran clic en enlaces maliciosos, lo que iniciaría una cautiverio de redireccionamiento impulsada por el Sistema de Distribución de Tráfico de Keitaro (TDS) y luego finalmente los llevaría a páginas que venden estafas de inversión y sitios de aterrizaje de casinos en dirección, lo que sugiere que la provecho financiera era probablemente el objetivo principal.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), el 18 de febrero de 2026, agregó CVE-2021-22175 a su catálogo de vulnerabilidades explotadas conocidas (KEV), lo que exige que las agencias del Poder Ejecutante Civil Federal (FCEB) apliquen el parche ayer del 11 de marzo de 2026. “GitLab contiene una vulnerabilidad de falsificación de solicitudes del costado del servidor (SSRF) cuando las solicitudes a la red interna de webhooks son cobrador”, dijo CISA. En marzo de 2025, GreyNoise reveló que un orden de aproximadamente 400 direcciones IP estaba explotando activamente múltiples vulnerabilidades SSRF, incluida CVE-2021-22175, para atacar instancias susceptibles en EE. UU., Alemania, Singapur, India, Lituania y Japón.

Un actor de amenazas esquivo y motivado financieramente llamado GS7 ha estado apuntando a empresas Fortune 500 en una nueva campaña de phishing que aprovecha la marca confiable de la empresa con sitios web similares destinados a cosechar credenciales a través de bots de Telegram. La campaña, cuyo nombre en código es Operación DoppelBrand, está dirigida a las principales instituciones financieras, incluidas Wells Fargo, USAA, Navy Federal Credit Union, Fidelity Investments y Citibank, así como a empresas de tecnología, atención médica y telecomunicaciones de todo el mundo. Las víctimas son atraídas a través de correos electrónicos de phishing y redirigidas a páginas falsificadas donde se recopilan las credenciales y se transmiten a los robots de Telegram controlados por el atacante. Sin incautación, según SOCRadar, el orden en sí tiene una historia que se remonta a 2022. Se dice que el actor de amenazas registró más de 150 dominios maliciosos en los últimos meses utilizando registradores como NameCheap y OwnRegistrar, y enrutando el tráfico a través de Cloudflare para escamotear la detección. Los objetivos finales de GS7 incluyen no solo la sumario de credenciales, sino además la descarga de herramientas de sucursal y monitoreo remotos (RMM) como LogMeIn Resolve en los sistemas de las víctimas para permitir el camino remoto o la implementación de malware. Esto ha planteado la posibilidad de que el orden incluso actúe como intermediario de camino original (IAB), vendiendo el camino a grupos de ransomware u otros afiliados.

Se están utilizando correos electrónicos de phishing disfrazados de facturas, ofertas de trabajo o avisos gubernamentales para distribuir una nueva variación de Remcos RAT para favorecer la vigilancia y el control integrales de los sistemas infectados. “Se ha observado que la última variación de Remcos muestra un cambio significativo de comportamiento en comparación con las versiones anteriores”, dijo Point Wild. “En área de robar y juntar datos localmente en el sistema infectado, esta variación establece una comunicación directa de comando y control (C2) en dirección, lo que permite el camino y control en tiempo positivo. En particular, aprovecha la cámara web para capturar secuencias de video en vivo, lo que permite a los atacantes monitorear objetivos de forma remota. Este cambio de la exfiltración de datos restringido a la vigilancia en vivo en dirección representa una desarrollo en las capacidades de Remcos, aumentando el peligro de espionaje inmediato y monitoreo persistente”.

El Ocupación de Defensa de Polonia ha prohibido que los automóviles chinos y otros vehículos motorizados equipados con tecnología para registrar posiciones, imágenes o sonido entren en instalaciones militares protegidas conveniente a preocupaciones de seguridad doméstico y para “condicionar el peligro de camino a datos confidenciales”. La prohibición además se extiende a la conexión de teléfonos del trabajo a sistemas de información y entretenimiento en vehículos de motor fabricados en China. La prohibición no es permanente: el Ocupación de Defensa ha pedido el crecimiento de un proceso de investigación para permitir que los fabricantes de automóviles se sometan a una evaluación de seguridad que, si se aprueba, puede permitir que sus vehículos ingresen a instalaciones protegidas. “Los vehículos modernos equipados con sistemas de comunicación y sensores avanzados pueden compilar y transmitir datos, por lo que su presencia en zonas protegidas requiere normas de seguridad adecuadas”, dijo el ejército polaco. Las medidas introducidas son preventivas y cumplen con las prácticas de los países de la OTAN y otros aliados para asegurar los más altos estándares de protección de las infraestructuras de defensa. Forman parte de un proceso más amplio de acondicionamiento de los procedimientos de seguridad al entorno tecnológico cambiante y a los requisitos actuales para la protección de infraestructuras críticas”.

Los malos actores están abusando de facturas legítimas y notificaciones de disputas de proveedores confiables, como PayPal, Apple, DocuSign y Dropbox Sign (anteriormente HelloSign), para eludir los controles de seguridad del correo electrónico. “Estas plataformas a menudo permiten a los usuarios ingresar un ‘nombre de comerciante’ o añadir una nota personalizada al crear una cargo o notificación”, dijo INKY, propiedad de Casey. “Los atacantes abusan de esta funcionalidad insertando instrucciones de estafa y un número de teléfono en esos campos controlados por el agraciado. Luego envían la cargo resultante o el aviso de disputa a una dirección de correo electrónico que controlan, asegurándose de que el contenido ladino esté incrustado en un mensaje seguro generado por el proveedor”. Correcto a que estos correos electrónicos provienen de una empresa legítima, pasan por stop controles como la autenticación, informes y conformidad de mensajes basados ​​en dominio (DMARC). Tan pronto como se recibe el correo electrónico seguro, el atacante procede a reenviarlo a los objetivos previstos, permitiendo que el mensaje “auténtico” llegue a las bandejas de entrada de las víctimas. El ataque se conoce como ataque de repetición DKIM.

Un nuevo crónica de Huntress ha revelado que el despotismo del software de gobierno y supervisión remota (RMM) aumentó un 277 % año tras año, lo que representa el 24 % de todos los incidentes observados. Los actores de amenazas han comenzado a hacer el bien cada vez más estas herramientas porque son omnipresentes en entornos empresariales y la naturaleza confiable del software RMM permite que la actividad maliciosa se mezcle con el uso seguro, lo que dificulta la detección para los defensores. Incluso ofrecen decano sigilo, persistencia y eficiencia operativa. “A medida que los ciberdelincuentes construyeron manuales completos en torno a estas herramientas legítimas y confiables para eliminar malware, robar credenciales y ejecutar comandos, el uso de herramientas de piratería tradicionales se desplomó en un 53%, mientras que los troyanos de camino remoto y los scripts maliciosos disminuyeron en un 20% y un 11,7%, respectivamente”, dijo la compañía.

El fiscal común de Texas, Ken Paxton, ha demandado a TP-Link por “comercializar engañosamente sus dispositivos de red y permitir que el Partido Comunista Chino (‘PCC’) acceda a los dispositivos de los consumidores estadounidenses en sus hogares”. La demanda de Paxton alega que los productos de TP Link han sido utilizados por grupos de hackers chinos para editar ataques cibernéticos contra Estados Unidos y que la compañía está sujeta a las leyes de datos chinas, que, según dijo, exigen que las empresas que operan en el país apoyen sus servicios de inteligencia “divulgando datos de los estadounidenses”. En una segunda demanda, Paxton además acusó a Anzu Robotics de engañar a los consumidores de Texas sobre el “origen, las prácticas de datos y los riesgos de seguridad de sus drones”. La oficina de Paxton describió los productos de la empresa como “un heroína de Troya del siglo XXI vinculado al PCC”.

La campaña vinculada a Corea del Meta conocida como Contagious Interview está diseñada para apuntar a profesionales de TI que trabajan en los sectores de criptomonedas, Web3 e inteligencia industrial para robar datos confidenciales e información financiera utilizando malware como BeaverTail e InvisibleFerret. Sin incautación, las iteraciones recientes de la campaña han ampliado sus capacidades de robo de datos al alterar la extensión de billetera MetaMask (si está instalada) a través de una puerta trasera liviana de JavaScript que comparte la misma funcionalidad que InvisibleFerret, según el investigador de seguridad Seongsu Park. “A través de la puerta trasera, los atacantes indican al sistema infectado que descargue e instale una interpretación falsa de la popular extensión de billetera de criptomonedas MetaMask, completa con un archivo de configuración generado dinámicamente que la hace parecer legítima”, dijo Park. “Una vez instalada, la extensión MetaMask comprometida captura silenciosamente la contraseña de desbloqueo de la billetera de la víctima y la transmite al servidor de comando y control de los atacantes, dándoles camino completo a los fondos en criptomonedas”.

Bridewell ha preparado sobre un resurgimiento de actividades maliciosas dirigidas al sector hotelero y minorista. “La motivación principal que impulsa este incidente es el fraude financiero, dirigido a dos víctimas: empresas hoteleras y clientes de hoteles, en orden secuencial”, dijo el investigador de seguridad Joshua Penny. “Los actores de amenazas utilizan la suplantación de la plataforma Booking.com a través de dos kits de phishing distintos dedicados a compilar credenciales e información bancaria de cada víctima, respectivamente”. Vale la pena señalar que los porcentajes de actividad se superponen con una ola de actividad preparatorio revelada por Sekoia en noviembre de 2025, aunque el uso de un kit de phishing dedicado es un enfoque nuevo por parte de los mismos operadores o de nuevos operadores.

Los fallos de seguridad recientemente revelados en Ivanti Endpoint Manager Mobile (EPMM) han sido aprovechados por malos actores para establecer un shell inverso, entregar shells web JSP, realizar reconocimientos y descargar malware, incluido Nezha, mineros de criptomonedas y puertas traseras para camino remoto. Las dos vulnerabilidades críticas, CVE-2026-1281 y CVE-2026-1340, permiten a atacantes no autenticados ejecutar de forma remota código gratuito en servidores de destino, otorgándoles control total sobre la infraestructura de sucursal de dispositivos móviles (MDM) sin requerir interacción o credenciales del agraciado. Según la Dispositivo 42 de Palo Stop Networks, la campaña ha afectado a los sectores de gobierno estatal y restringido, atención médica, manufactura, servicios profesionales y legales y ingreso tecnología en Estados Unidos, Alemania, Australia y Canadá. “Los actores de amenazas están acelerando las operaciones, pasando del agradecimiento original al despliegue de puertas traseras inactivas diseñadas para apoyar el camino a liberal plazo incluso posteriormente de que las organizaciones apliquen parches”, dijo la compañía de ciberseguridad. En un acontecimiento relacionado, la Oficina Federal de Seguridad de la Información (BSI) de Alemania ha informado evidencia de explotación desde el verano de 2025 y ha instado a las organizaciones a auditar sus sistemas en sondeo de indicadores de compromiso (IoC) que se remontan a julio de 2025.

Una nueva investigación realizada por Irregular ha descubierto que las contraseñas generadas directamente por un maniquí de habla amplio (LLM) pueden parecer fuertes pero son fundamentalmente inseguras, ya que “los LLM están diseñados para predecir tokens, lo opuesto al muestreo seguro y uniforme de caracteres aleatorios”. La empresa de seguridad de inteligencia industrial (IA) dijo que detectó contraseñas generadas por LLM en el mundo positivo como parte de las tareas de crecimiento de código en área de servir de los métodos tradicionales de engendramiento de contraseñas seguras. “Las personas y los agentes de codificación no deberían dejarlo en Dios en los LLM para difundir contraseñas”, dijo la compañía. “Los LLM están optimizados para producir resultados predecibles y plausibles, lo cual es incompatible con la engendramiento segura de contraseñas. Se debe indicar a los agentes de codificación de IA que utilicen métodos seguros de engendramiento de contraseñas en área de servir de las contraseñas de salida de LLM. Los desarrolladores que utilizan asistentes de codificación de IA deben revisar el código generado para obtener credenciales codificadas y comprobar de que los agentes utilicen métodos criptográficamente seguros o administradores de contraseñas establecidos”.

Los investigadores de ciberseguridad han descubierto más de una docena de vulnerabilidades (CVE-2025-70401, CVE-2025-70402 y CVE-2025-66500) en plataformas PDF populares de Foxit y Apryse, lo que podría permitir a los atacantes explotarlas para apropiación de cuentas, secuestro de sesiones, exfiltración de datos y ejecución arbitraria de JavaScript. “En área de errores aislados, los problemas se agrupan en torno a fallas arquitectónicas recurrentes en cómo las plataformas PDF manejan entradas no confiables en todas las capas”, dijeron los investigadores de Novee Security Lidor Ben Shitrit, Elad Meged y Avishai Fradlis. “Varias vulnerabilidades eran explotables con una sola solicitud y afectaban dominios confiables comúnmente integrados interiormente de las aplicaciones empresariales”. Apryse y Foxit han solucionado los problemas mediante actualizaciones de productos.

Se ha descubierto un problema de seguridad “generalizado” donde los proveedores de seguridad exponen inadvertidamente aplicaciones de capacitación deliberadamente vulnerables, como OWASP Juice Shop, DVWA, bWAPP y Hackazon, a la Internet pública. Esto puede exponer a las organizaciones a graves riesgos de seguridad cuando se ejecutan desde una cuenta de montón privilegiada. “Implementadas principalmente para pruebas internas, demostraciones de productos y capacitación en seguridad, estas aplicaciones con frecuencia quedaban accesibles en sus estados predeterminados o mal configurados”, dijo Pentera Labs. “Estas fallas críticas no solo permitieron a los atacantes un control total sobre el motor informático comprometido, sino que además proporcionaron vías para el movimiento fronterizo alrededor de sistemas internos sensibles. Las violaciones del principio de privilegio leve y las medidas inadecuadas de aislamiento facilitaron aún más la ascensión de privilegios, poniendo en peligro la infraestructura crítica y los datos organizacionales sensibles”. Un estudio más detallado ha determinado que los actores de amenazas están explotando este punto ciego para instalar shells web, mineros de criptomonedas y mecanismos de persistencia en sistemas comprometidos.

El cargador de malware conocido como Oyster (además conocido como Broomstick o CleanUpLoader) continuó evolucionando hasta principios de 2026, ajustando su infraestructura C2 y sus métodos de ofuscación, según los hallazgos de Sekoia. El malware se distribuye principalmente a través de sitios web falsos que distribuyen instaladores de software seguro como Microsoft Teams, y la carga principal a menudo se implementa como una DLL para una ejecución persistente. “La etapa original aprovecha la excesiva martilleo seguro de llamadas API y simples trampas anti-depuración para frustrar el estudio quieto”, dijo la compañía. “La carga útil principal se entrega de una modo en gran medida ofuscada. La etapa final implementa un protocolo de comunicación C2 robusto que presenta una infraestructura de servidor de doble capa y codificación de datos en gran medida personalizada”.

Noodlophile es el nombre que se le da a un malware de robo de información que se ha distribuido a través de herramientas de inteligencia industrial falsas promocionadas en Facebook. Se consideró obra de un actor de amenazas con sede en Vietnam y Morphisec lo documentó por primera vez en mayo de 2025. Desde entonces, ha habido otros informes que detallan varias campañas, como UNC6229 y PXA Stealer, orquestadas por ciberdelincuentes vietnamitas. El final estudio de Noodlophile realizado por Morphisec ha revelado que el actor de amenazas “rellenó el malware con millones de repeticiones de una colorida frase vietnamita que se traduce como ‘vete a la mierda, Morphisec'”, lo que sugiere que los operadores no estaban entusiasmados con permanecer expuestos. “No sólo para desahogar la frustración por las campañas interrumpidas, sino además para inflar el archivo y cortar las herramientas de estudio basadas en IA que se basan en la biblioteca de desensamblaje de Python – dis.dis(obj)”, dijo el investigador de seguridad Michael Gorelik.

El esquema OpenSSL ha solucionado un resolución de desbordamiento del búfer de pila que puede provocar ataques de ejecución remota de código en determinadas condiciones. La vulnerabilidad, identificada como CVE-2025-15467, reside en cómo la biblioteca procesa los datos de sintaxis de mensajes criptográficos. Los actores de amenazas pueden utilizar paquetes CMS con parámetros AEAD creados con fines malintencionados para cortar OpenSSL y ejecutar código ladino. CVE-2025-15467 es uno de los 12 problemas que AISLE reveló a fines del mes pasado. Otra vulnerabilidad de ingreso solemnidad es CVE-2025-11187, que podría desencadenar un desbordamiento del búfer basado en pila conveniente a una brío faltante.

Una nueva investigación de Silverfort ha aclarado una “suposición popular” de que la delegación de Kerberos, que permite a un servicio solicitar posibles o realizar acciones en nombre de un agraciado, se aplica no sólo a usuarios humanos, sino además a cuentas de máquinas. En otras palabras, se puede delegar una cuenta de computadora en nombre de identidades de máquina en gran medida privilegiadas, como controladores de dominio. “Eso significa que un servicio confiable para la delegación puede representar no sólo en nombre de otros usuarios, sino además en nombre de cuentas de máquina, las identidades no humanas (NHI) más críticas en cualquier dominio”, dijo el investigador de Silverfort, Dor Segal. “El peligro es obvio. Si un adversario puede servirse la delegación, puede representar en nombre de cuentas de máquinas sensibles, que en muchos entornos tienen privilegios equivalentes a los de Administrador de dominio”. Para contrarrestar el peligro, se recomienda ejecutar “Set-ADAccountControl -Identity “HOST01$” -AccountNotDelegated $true” para cada cuenta de máquina confidencial.