Threat Advisories

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) ha añadido una vulnerabilidad recientemente revelada de VMware Aria Operations, rastreada como CVE-2026-22719a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) después de confirmar la explotación activa en la naturaleza. Se trata de una vulnerabilidad de inyección de comandos que permite la ejecución remota de código (RCE) sin autenticación en determinadas condiciones. VMware (Broadcom) publicó parches el 24 de febrero de 2026, pero los informes indican que los atacantes están aprovechando ahora el problema contra sistemas no parcheados. Se ha ordenado a los organismos civiles federales que corrijan la vulnerabilidad antes del 24 de marzo de 2026.

El panorama geopolítico y de ciberseguridad mundial ha cambiado drásticamente tras el lanzamiento el 28 de febrero de 2026 de la Operación "Furia Épica" por parte de Estados Unidos y la campaña paralela israelí Operación "León Rugiente" contra Irán. Los ataques militares coordinados eliminaron con éxito a los principales dirigentes iraníes, incluido el líder supremo, el ayatolá Alí Jamenei, y degradaron considerablemente la infraestructura militar y nuclear convencional de Irán.

Las plataformas Cisco Catalyst SD-WAN están ampliamente desplegadas en empresas, gobiernos y proveedores de servicios, y a menudo sirven como infraestructura central que enlaza oficinas remotas, centros de datos y entornos en la nube. Debido a que estos controladores son a menudo accesibles desde redes externas para apoyar las operaciones distribuidas, representan un objetivo muy visible y atractivo para los actores de amenazas.

CVE-2026-2329 es una vulnerabilidad crítica de desbordamiento de búfer basada en pila que afecta a la serie Grandstream GXP1600 de teléfonos VoIP de sobremesa. El fallo se encuentra en el punto final de la API basada en web del dispositivo y puede ser explotado de forma remota sin ningún tipo de autenticación. Si se explota con éxito, un atacante puede obtener la ejecución remota completa de código con privilegios de root en el teléfono.

Resumen

CVE-2026-2649 es una vulnerabilidad de desbordamiento de enteros de alta gravedad en el motor JavaScript V8 utilizado por Google Chrome. El problema afecta a las versiones de Chrome anteriores a la 145.0.7632.109. Si un usuario abre una página HTML especialmente diseñada, el fallo puede provocar la corrupción de la pila dentro del navegador.
Dado que V8 gestiona la ejecución de JavaScript, los puntos débiles de este componente pueden tener un amplio impacto en la navegación normal y en los procesos aislados.

El popular editor txt de código abierto Notepad++ ha sido blanco de un sofisticado ataque a la cadena de suministro por parte de un presunto agente de amenazas patrocinado por el Estado.

Ivanti ha revelado y parcheado dos vulnerabilidades de seguridad críticas que afectan a Ivanti Endpoint Manager Mobile (EPMM) y que han sido explotadas activamente en ataques de día cero. Los fallos, rastreados como CVE-2026-1281 y CVE-2026-1340, permiten la ejecución remota de código sin autenticación y tienen una puntuación CVSS de 9,8, lo que los sitúa entre las clases de vulnerabilidades más graves. Una de las vulnerabilidades se ha añadido al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA, lo que aumenta significativamente la urgencia de su corrección, especialmente en los entornos federales de Estados Unidos.

Microsoft ha publicado un parche de emergencia que soluciona una vulnerabilidad de día cero de Microsoft Office, rastreada como CVE202621509. Se trata de un fallo de seguridad que permite a los atacantes eludir las mitigaciones basadas en COM/OLE en Microsoft 365 y Microsoft Office.

Se ha descubierto una vulnerabilidad crítica de evasión de autenticación remota (CVE-2026-24061, CVSS 9.8) en el servicio telnetd de GNU InetUtils, que afecta a todas las versiones desde la 1.9.3 hasta la 2.7. El fallo permite a atacantes no autentificados obtener instantáneamente acceso root en los sistemas afectados aprovechando un manejo inadecuado de la variable de entorno USER. El problema no se detectó durante casi 11 años y ahora está siendo investigado activamente por agentes malintencionados.

CrashFix es una campaña de malware activa y altamente engañosa basada en navegadores que abusa de una extensión maliciosa de Google Chrome para bloquear deliberadamente los navegadores de los usuarios y someterlos a ingeniería social para que ejecuten comandos proporcionados por el atacante. En última instancia, la campaña distribuye un troyano de acceso remoto a Windows no documentado previamente, conocido como ModeloRAT. La actividad se ha atribuido a una operación de distribución de tráfico y corretaje de acceso rastreada como KongTuke, también conocida por alias como TAG-124 y 404 TDS. Esta campaña, documentada públicamente en enero de 2026 por Huntress, representa una evolución de los ataques del tipo ClickFix, que aprovechan la frustración de los usuarios y su confianza en plataformas legítimas para ejecutar ataques en sistemas corporativos.