Threat Advisories

El popular editor txt de código abierto Notepad++ ha sido blanco de un sofisticado ataque a la cadena de suministro por parte de un presunto agente de amenazas patrocinado por el Estado.

Ivanti ha revelado y parcheado dos vulnerabilidades de seguridad críticas que afectan a Ivanti Endpoint Manager Mobile (EPMM) y que han sido explotadas activamente en ataques de día cero. Los fallos, rastreados como CVE-2026-1281 y CVE-2026-1340, permiten la ejecución remota de código sin autenticación y tienen una puntuación CVSS de 9,8, lo que los sitúa entre las clases de vulnerabilidades más graves. Una de las vulnerabilidades se ha añadido al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA, lo que aumenta significativamente la urgencia de su corrección, especialmente en los entornos federales de Estados Unidos.

Microsoft ha publicado un parche de emergencia que soluciona una vulnerabilidad de día cero de Microsoft Office, rastreada como CVE202621509. Se trata de un fallo de seguridad que permite a los atacantes eludir las mitigaciones basadas en COM/OLE en Microsoft 365 y Microsoft Office.

Se ha descubierto una vulnerabilidad crítica de evasión de autenticación remota (CVE-2026-24061, CVSS 9.8) en el servicio telnetd de GNU InetUtils, que afecta a todas las versiones desde la 1.9.3 hasta la 2.7. El fallo permite a atacantes no autentificados obtener instantáneamente acceso root en los sistemas afectados aprovechando un manejo inadecuado de la variable de entorno USER. El problema no se detectó durante casi 11 años y ahora está siendo investigado activamente por agentes malintencionados.

CrashFix es una campaña de malware activa y altamente engañosa basada en navegadores que abusa de una extensión maliciosa de Google Chrome para bloquear deliberadamente los navegadores de los usuarios y someterlos a ingeniería social para que ejecuten comandos proporcionados por el atacante. En última instancia, la campaña distribuye un troyano de acceso remoto a Windows no documentado previamente, conocido como ModeloRAT. La actividad se ha atribuido a una operación de distribución de tráfico y corretaje de acceso rastreada como KongTuke, también conocida por alias como TAG-124 y 404 TDS. Esta campaña, documentada públicamente en enero de 2026 por Huntress, representa una evolución de los ataques del tipo ClickFix, que aprovechan la frustración de los usuarios y su confianza en plataformas legítimas para ejecutar ataques en sistemas corporativos.

Se ha identificado recientemente un grave fallo de seguridad (CVE-2025-25256) que afecta a varias versiones de Fortinet FortiSIEM. Debido a la disponibilidad de un Proof of Concept (PoC) público, el riesgo de explotación se ha incrementado significativamente, lo que hace imprescindible prestar atención inmediata y aplicar medidas correctivas urgentes.

Contexto

Durante el fin de semana, varios clientes se han puesto en contacto con Integrity360 sobre una vulnerabilidad crítica reciente (CVE-2025-53770) que afecta a las instancias locales de Microsoft SharePoint mediante un fallo de deserialización. Este zero-day ha sido ampliamente explotado desde mediados de julio, representando un riesgo serio para cualquier entorno de SharePoint local no parcheado (Subscription, Server 2016 y Server 2019). Integrity360 desea tranquilizar a sus clientes indicando que esta vulnerabilidad no afecta a las instancias en la nube de SharePoint Online, utilizadas por la mayoría de las organizaciones. Muchas empresas están migrando a Microsoft 365 debido al próximo fin del soporte para SharePoint on-premise.

Antecedentes:

El 8 de julio de 2025, Microsoft publicó su actualización mensual de Patch Tuesday, abordando más de 130 vulnerabilidades en su cartera de productos. Este ciclo incluye 10 vulnerabilidades críticas, incluyendo una vulnerabilidad zero-day divulgada públicamente que afecta a Microsoft SQL Server.