Nueva falla de Linux, explotación de PAN-OS, ataques impulsados ​​por IA, phishing de OAuth y más

El lunes fue como un trabajo cron con problemas de ira.

Una ruta de autenticación rota por aquí, una faceplant del lado del repositorio por allá, algo “parcheado” que ya está siendo masticado en la naturaleza, y luego la ronda de bonificación habitual: herramientas de desarrollo envenenadas, charlas incompletas en el foro, kits de phishing que pretenden ser productividad y una IA que baja el listón para las personas que ya pensaban ‘curl | Ella tenía personalidad.

El ambiente es simple: viejos errores, nuevos envoltorios, abuso más rápido. Primero parchea la basura obvia. Luego lee el resto.

⚡ Amenaza de la semana

Omisión de autenticación de PAN-OS GlobalProtect bajo explotación – Palo Alto Networks advirtió que una falla de seguridad de gravedad media revelada recientemente que afecta a PAN-OS y Prisma Access ha sido objeto de explotación activa en la naturaleza. La vulnerabilidad, identificada como CVE-2026-0257 (puntuación CVSS: 7,8), se refiere a un caso de omisión de autenticación que podría ser aprovechado por delincuentes para configurar conexiones VPN. El problema afecta específicamente a los firewalls con el portal o puerta de enlace GlobalProtect configurado cuando las cookies de anulación de autenticación están habilitadas y existe una configuración de certificado específica, dijo la compañía de seguridad de red.

🔔 Noticias destacadas

• Defecto crítico sin parchear en Gogs – El popular servicio Git autohospedado de código abierto, Gogs, se ve afectado por una vulnerabilidad de día cero de gravedad crítica que expone los servidores a la ejecución remota de código (RCE), según Rapid7. La falla de inyección puede ser explotada por atacantes autenticados mediante solicitudes de extracción con nombres de sucursales maliciosos. “Dado que Gogs viene con el registro abierto habilitado de forma predeterminada y sin límite en la creación de repositorios, un atacante no autenticado puede simplemente crear una cuenta y un repositorio en cualquier instancia configurada por defecto”, dice la firma de ciberseguridad. Cualquier propietario de repositorio puede habilitar la fusión de bases de datos con un solo cambio en la configuración, y toda la cadena de exploits se puede operar sin la interacción de ningún otro usuario. Los atacantes con acceso de escritura a los repositorios que tienen habilitada la rebase pueden explotar la falla directamente. “El resultado es la ejecución de comandos arbitrarios mientras el servidor Gogs procesa al usuario, lo que le da al atacante la capacidad de comprometer el servidor, leer cada repositorio en la instancia (incluidos los repositorios privados de otros usuarios), volcar credenciales (hashes de contraseña, tokens API, claves SSH, secretos 2FA), pasar a otros sistemas accesibles en la red y modificar el código de cualquier repositorio alojado”, dijo Rapid7. Los servidores Gogs en Windows, Linux y macOS que ejecutan configuraciones predeterminadas se ven afectados. No se ha lanzado ningún parche al momento de la publicación.
• GlassWorm C2 derribado – CrowdStrike, Google y Shadowserver Foundation desmantelaron la operación de malware GlassWorm eliminando los cuatro canales de comando y control (C2) de GlassWorm simultáneamente el 26 de mayo de 2026 a las 2 p. m. UTC. GlassWorm, desde su aparición el año pasado, ha llevado a cabo una “campaña de múltiples frentes” utilizando extensiones troyanizadas de VS Code publicadas tanto en Microsoft VS Code Marketplace como en Open VSX. También se sabe que la campaña introdujo código malicioso a través de paquetes npm y Python comprometidos. Al eliminar los cuatro canales al mismo tiempo, la acción cortó el acceso de los operadores a los hosts infectados y su capacidad de entregar nuevos comandos. La evidencia sugiere que los operadores de GlassWorm son de origen ruso: el malware verifica la ubicación del sistema y evita infectar máquinas en los países de la CEI, y su código contiene comentarios en ruso. Además de derribar la infraestructura GlassWorm, CrowdStrike ha ordenado a los puntos finales infectados que se dirijan a la dirección IP benigna 164.92.88(.)210. Se recomienda a las organizaciones que verifiquen las conexiones a esta dirección IP para identificar posibles infecciones. A pesar de estos esfuerzos, la economía más amplia del abuso de repositorios sigue siendo un problema constante. Los ecosistemas de código abierto continúan ofreciendo a los atacantes canales de distribución de bajo costo con un alcance masivo en comparación con el software tradicional. Esto también significa que los operadores detrás de dichas campañas pueden resurgir con nuevas cuentas, dominios o nombres de paquetes. En otras palabras, se trata sólo de una interrupción temporal, no de una erradicación.
• CERT-In insta a las organizaciones a reparar las fallas explotadas en 12 horas – Se ha instado a las organizaciones de la India a reparar las vulnerabilidades explotadas activamente que afectan a los sistemas conectados a Internet o “joya de la corona” en un plazo de 12 horas, cuando sea posible, para responder mejor a la velocidad que la inteligencia artificial (IA) aporta ahora a los ciberataques. CERT-In no llegó a enmarcar los cronogramas como vinculantes, describiéndolos como expectativas indicativas que se aplicarán de acuerdo con la criticidad operativa y la exposición a amenazas. La agencia también advirtió que los ataques asistidos por IA están comprimiendo drásticamente el tiempo entre la divulgación y la explotación de la vulnerabilidad. El marco también recomienda un día de remediación para vulnerabilidades críticas expuestas externamente, tres días para vulnerabilidades internas críticas que afectan sistemas de alto valor y cinco días para fallas de alta gravedad según la priorización de riesgos.
• GREYVIBE se apoya en la IA para los ataques en Ucrania – Se ha descubierto que un grupo ruso previamente indocumentado con nombre en código GREYVIBE hace un uso extensivo de modelos de lenguaje grande (LLM) en sus ataques contra organizaciones privadas, gubernamentales y militares en Ucrania. El objetivo final es recopilar inteligencia para la guerra en curso. “Si bien las actividades se alinean con los intereses del Estado ruso, varios indicadores observados sugieren que el grupo tiene vínculos con el ecosistema de cibercrimen más amplio, y que el grupo potencialmente involucra a actores cibercriminales actuales o anteriores”, dijo WithSecure. Se cree que el actor de amenazas ha estado activo desde agosto de 2025. Lo que es notable es hasta qué punto la IA parece estar involucrada durante toda la operación. Se cree que el uso de la IA por parte del grupo es “operacionalmente integrado en lugar de aislado o experimental”.
• Las recomendaciones de AI Chatbot redirigen a los usuarios a malware de criptojacking – Una nueva campaña utiliza búsquedas de herramientas populares en chatbots de IA para redirigir a los usuarios a sitios dudosos que engañan a los usuarios para que descarguen ejecutables con trampas explosivas que colocan un minero de criptomonedas en hosts comprometidos. Los objetivos de la campaña no tienen una motivación meramente financiera. También se ha descubierto que los actores de amenazas establecen acceso remoto persistente a hosts comprometidos a través de implementaciones de ScreenConnect, que luego podrían aprovecharse para actividades posteriores, como robo de datos, movimiento lateral o ransomware.

🔥 CVE de tendencia

Los errores disminuyen semanalmente y la brecha entre un parche y un exploit se reduce rápidamente. Estos son los pesos pesados ​​de la semana: los de alta gravedad, los que se utilizan ampliamente o los que ya se están explorando en la naturaleza.

Consulte la lista, parchee lo que tiene y presione primero los marcados como urgentes: CVE-2026-8732 (complemento WP Maps Pro), CVE-2026-0257 (Palo Alto Networks PAN-OS y Prisma Access), CVE-2026-27771 (Gitea), CVE-2026-45659 (Microsoft SharePoint), desde CVE-2026-9090 hasta CVE-2026-9098 (Casdoor), CVE-2026-48800, CVE-2026-48778, CVE-2026-48770 (Notepad++), CVE-2026-40933 (Flowise), desde CVE-2026-9872 hasta CVE-2026-9893 (Google Chrome), CVE-2026-32996, CVE-2026-32997 (Veeam Backup & Replication), CVE-2026-44962 (Plesk), CVE-2026-4868, CVE-2026-1402, CVE-2026-6713 (GitLab), CVE-2026-46840, CVE-2026-46775, CVE-2026-46839, CVE-2026-2332 (Oracle), CVE-2026-4480 (Samba), CVE-2025-59199 también conocido como Click Or Trick (Microsoft Windows 11), CVE-2026-9560 (OpenVPN Connect para macOS), CVE-2026-9312 (servidor GitHub Enterprise), CVE-2026-3593, CVE-2026-5946, CVE-2026-5947 (BIND 9), CVE-2026-47783 (Memcached), CVE-2026-44930 (Apache CXF), CVE-2026-9089 (ConnectWise Automate), CVE-2026-4115 (PuTTY), CVE-2026-48095 (7-Zip), una vulnerabilidad de inyección de argumentos en Gogs, una vulnerabilidad de ejecución remota de código en la extensión Microsoft Visual Studio Code Remote-SSH y múltiples vulnerabilidades en Roundcube Webmail.

🎥 Seminarios web sobre ciberseguridad

• Más allá del día cero: cómo ven realmente los atacantes su red → Los días cero son inevitables. La verdadera batalla es lo que ven los atacantes una vez que están dentro. Únase a HD Moore (creador de Metasploit) en este seminario web mientras revela cómo mapear su red como un atacante, exponiendo activos ocultos, puentes olvidados y conexiones peligrosas de TI/IoT/OT que la mayoría de los equipos pasan por alto.
• Por qué el pentesting automatizado se queda corto y cómo solucionarlo → Las herramientas de pentesting automatizado prometieron una validación de seguridad integral, pero en realidad, solo arañan la superficie. Después de algunas pruebas, los nuevos hallazgos disminuyen drásticamente, dejando puntos ciegos críticos en la eficacia de la detección, la respuesta y el control. Únase a Autumn Stambaugh y Can Yüceel de Picus Security mientras explican por qué el pentesting automatizado por sí solo no es suficiente y cómo crear un programa de validación completo que realmente cierre las brechas.

📰 Alrededor del mundo cibernético

• Nueva falla de Windows bajo ataque – El Centro de Ciberseguridad (CCB) de Bélgica advirtió que una falla de Windows recientemente reparada, CVE-2026-41089, ha sido explotada activamente en la naturaleza. La vulnerabilidad es un desbordamiento del búfer basado en pila en Windows Netlogon que permite a un atacante no autorizado ejecutar código a través de una red. Actualmente no hay detalles sobre cómo se está explotando la vulnerabilidad. Microsoft abordó la vulnerabilidad como parte de su actualización del martes de parches de mayo de 2026.
• Anthropic confirma el lanzamiento de Mythos – Anthropic ha confirmado que tiene la intención de llevar modelos de clase Mythos a “todos nuestros clientes en las próximas semanas” y dijo que está “haciendo progresos rápidos” en el desarrollo de salvaguardias cibernéticas más sólidas antes de su lanzamiento.
• Se descubre una nueva falla de Linux en CIFSwitch – Se ha descubierto que una vulnerabilidad de escalada de privilegios locales (LPE) de Linux recientemente revelada, denominada CIFSwitch, permite a los usuarios con pocos privilegios obtener acceso raíz abusando de una falla lógica entre el cliente del Sistema de archivos de Internet común (CIFS) del kernel de Linux y el paquete de ayuda del espacio de usuario, cifs-utils. Según el ingeniero de seguridad de SpaceX, Asim Viladi Oglu Manizada, el error del lado del kernel existe desde 2007. Se envió un parche para la falla a la línea principal de Linux a partir del 19 de mayo de 2026.
• Dashlane advierte sobre un ataque de fuerza bruta – Dashlane dijo: “las cuentas de usuario fueron objeto de un ataque de fuerza bruta por parte de un tercero, lo que resultó en la suspensión de esas cuentas como parte de las medidas de seguridad integradas de Dashlane”. Desde entonces, las cuentas afectadas han sido reactivadas. La empresa de gestión de contraseñas también señaló que está tomando medidas para solucionar el problema y agregó que no hay evidencia de que los sistemas de Dashlane estén comprometidos. No se sabe quién está detrás del ataque.
• La operación global de smishing afecta a 19 países – Hunt.io dijo que identificó una operación coordinada de smishing que abarca 19 países de Europa, América y el Cáucaso. “La misma infraestructura que afecta a los contribuyentes rumanos también estaba dirigida a clientes de entrega DPD en el Reino Unido e Irlanda, portales de la policía de carreteras en Bulgaria y Armenia, autoridades fiscales en Grecia y usuarios de T-Mobile en Estados Unidos”, dijo la compañía. “1.628 URL maliciosas confirmadas activas en 19 países y múltiples sectores”. Las campañas están diseñadas para invocar una falsa sensación de emergencia mediante multas inventadas y engañar a los usuarios para que realicen pagos e ingresen su información personal.
• Se abusa de Microsoft Teams y Google Drive para entregar Java RAT – Una intrusión dirigida a un cliente en la industria legal implicó el uso de phishing de voz de Microsoft Teams para engañar a la víctima y otorgarle acceso remoto a través de Quick Assist. A esto le siguió la implementación de un troyano de acceso remoto (RAT) basado en Java llamado Nimbus RAT. “Nimbus RAT es un implante autónomo que utiliza Google Drive y Google Sheets para comando y control (C2), lo que ayuda a que el tráfico de su red parezca benigno”, dijo eSentire. “Desde el contacto inicial con Teams hasta la ejecución de RAT, el ataque duró menos de 20 minutos”. La actividad se superpone con ataques similares de ingeniería social basados ​​en Teams llevados a cabo por afiliados de BlackSuit.
• Seguimiento de visitantes del sitio a través de FROST – Una nueva investigación ha demostrado que los sitios web maliciosos pueden rastrear a los visitantes midiendo pequeños cambios en los tiempos de acceso a las SSD como canal lateral, convirtiendo la actividad normal del navegador en una fuga de privacidad. El ataque, llamado FROST (abreviatura de Fingerprinting Remotely usando OPFS-based SSD Timing), es un “ataque de canal lateral de JavaScript que explota OPFS (Origin Private File System) para filtrar información confidencial del navegador sin requerir ninguna interacción del usuario tanto en Linux como en macOS”. El ataque “utiliza medidas de contención de SSD desde el navegador para tomar huellas dactilares de la actividad del usuario en un sistema”, dijo un grupo de académicos de la Universidad Tecnológica de Graz y Liebherr-Transportation Systems GmbH. “Después de engañar a la víctima para que haga clic en un enlace malicioso, un atacante puede monitorear la actividad de la víctima en el sistema host, como las visitas al sitio web y el uso de aplicaciones, sin mayor interacción del usuario”. El impacto del ataque va más allá del seguimiento de sitios web. El estudio también demostró que es posible tomar huellas digitales del uso de aplicaciones, lo que permite a los atacantes inferir potencialmente dónde se abrieron aplicaciones específicas.
• El exploit de Instagram supuestamente permitió la apropiación de cuentas – Según Dark Web Informer y ZachXBT, se dice que Instagram sufrió un exploit que hizo posible usar Meta AI para restablecer contraseñas de cuentas sin autenticación multifactor (MFA) habilitada. Desde entonces, el exploit ha sido parcheado.
• EvilTokens abusa del flujo OAuth y emerge el kit RatPressto – La plataforma de phishing como servicio (PhaaS) conocida como EvilTokens se utiliza para llevar a cabo ataques de phishing de código de dispositivo a escala. “Estas campañas se destacan por abusar del flujo de autorización de dispositivos OAuth 2.0, automatizar este sofisticado phishing a escala y utilizar IA para producir una infraestructura de ataque realista y de rápida implementación”, dijo Netcraft. La compañía dijo que ha visto miles de ataques utilizando el kit de phishing EvilTokens. El desarrollo coincide con la aparición de un nuevo conjunto de herramientas de phishing denominado RatPressto que se está utilizando en una campaña activa. El kit, alojado en sitios de WordPress legítimos pero comprometidos, se utiliza para servir a ScreenConnect para establecer un acceso remoto persistente. “Se ha observado que RatPressto apunta a organizaciones financieras, buscando exfiltrar silenciosamente credenciales, secretos y datos confidenciales que podrían usarse para ayudar a lograr mayores compromisos”, dijo Fortra.
• Actor de amenazas en solitario de habla rusa vinculado a la campaña Patriot Bait – Un actor de amenazas de habla rusa en solitario rastreado como “bandcampro” dirigió un canal de Telegram con temática MAGA de 5 años (@americanpatriotus, aproximadamente 17.000 suscriptores) y giró hacia el contenido, el fraude y el robo de credenciales automatizados por IA a partir de septiembre de 2025. “Un Google Gemini con jailbreak sirvió como compañero de trabajo del actor, generando publicaciones de estilo Q, implementando infraestructura, rotando claves API robadas, modelando contraseñas de víctimas y ejecutando un chatbot estilo QAnon (Terminal QFS 2.0)”, afirmó Trend Micro. “Las salvaguardias se eludieron mediante jailbreak y mensajes en idiomas diferentes al inglés, permitiendo que se procesen mensajes explícitos de bombeo y volcado e instrucciones para mutar las contraseñas de las víctimas, lo que muestra cómo los controles de seguridad de la IA fronteriza se pueden eludir a través de jailbreak y mensajes en idiomas distintos del inglés”. La campaña destaca una vez más cómo la IA ha reducido significativamente los recursos necesarios para ejecutar operaciones de influencia.
• Se registra el pico de escaneo de SonicWall – GreyNoise dijo que observó un “nuevo aumento significativo en el escaneo de las interfaces de administración de SonicWall SonicOS” entre el 9 y el 18 de mayo de 2026. “Aproximadamente el 56% de las sesiones se originan en redes anunciadas en los Países Bajos y el 44% en Ucrania; en conjunto, más del 99% del volumen total”, dijo. “Un único ASN (AS211736) transporta aproximadamente la mitad del volumen total de la sesión”.
• Surge una nueva carga útil de ransomware – Los investigadores de ciberseguridad han analizado familias de ransomware como NightSpire y Payload, y este último ya ha acumulado 50 víctimas en su sitio de filtración desde que apareció en febrero de 2026. “Aunque el grupo inicialmente solo reclamó un número limitado de víctimas, sus operaciones rápidamente mostraron una huella global, con objetivos en Egipto, México y Polonia”, dijo Dark Atlas.

🔧 Herramientas de ciberseguridad

• EvidenceForge → Es una herramienta de código abierto de Cisco Talos que genera registros de seguridad sintéticos realistas y multiformato (incluidos eventos de Windows, Sysmon, Zeek y más) con una sólida coherencia y relaciones causales. Es particularmente útil para la capacitación en búsqueda de amenazas, pruebas de detección e investigaciones donde se necesitan datos sintéticos no obvios y de alta calidad.
• MCPGuard-Dynamic → Es un proyecto de código abierto de Facebook que proporciona espacio aislado a nivel de kernel para llamadas a herramientas del agente LLM utilizando el Protocolo de contexto modelo (MCP). Combina la aplicación de políticas, la validación de argumentos y protecciones de llamadas del sistema basadas en eBPF para restringir lo que pueden hacer los servidores MCP potencialmente no confiables, lo que ayuda a prevenir el acceso a archivos, la filtración de redes y los intentos de escalada de privilegios.

Descargo de responsabilidad: esto es estrictamente para investigación y aprendizaje. No ha pasado por una auditoría de seguridad formal, así que no lo dejes caer ciegamente en producción. Lea el código, primero divídalo en una zona de pruebas y asegúrese de que todo lo que esté haciendo se ajuste al lado correcto de la ley.

Conclusión

Así es la semana: demasiada velocidad, demasiadas fallas y no hay suficientes personas que traten la basura expuesta “menor” como si pudiera convertirse en el informe de incidentes de mañana. El patrón es aburrido hasta que llega a tu caja: los atacantes siguen encontrando primero los caminos baratos, porque lo barato todavía funciona.

Parchea las cosas ruidosas, audita las cosas raras y no ignores las cosas aburridas. Generalmente ahí es donde comienza el fuego.