En la última semana, del 20 al 26 de enero de 2025, se han identificado y corregido diversas vulnerabilidades críticas que afectan a productos de fabricantes destacados como Oracle, Microsoft, y dispositivos IoT. Además, han surgido nuevas campañas de ciberataques dirigidos a usuarios y redes corporativas. A continuación, un resumen detallado:

Oracle parchea más de 300 vulnerabilidades en su actualización crítica de enero

El 23 de enero de 2025, Oracle lanzó su Critical Patch Update Advisory, solucionando 318 vulnerabilidades de seguridad. Entre las actualizaciones más destacadas se encuentran:

• CVE-2025-21556: Afecta a Oracle Agile Product Lifecycle Management (PLM) Framework. Clasificada con un CVSSv3 de 9.9, es una vulnerabilidad fácilmente explotable a través de HTTP, que permite el control total del software.
• CVE-2025-21524 y CVE-2023-3961: Afectan a JD Edwards EnterpriseOne Tools y tienen un CVSSv3 de 9.8. Ambas permiten la ejecución remota de código.

Oracle insta a los usuarios a actualizar sus productos para mitigar los riesgos.

Nuevas campañas de phishing haciéndose pasar por soporte de Microsoft

Investigadores de Sophos detectaron campañas de phishing atribuidas a los actores STAC5143 y STAC5777 (con conexiones al grupo FIN7). Los atacantes se hacen pasar por soporte técnico de Microsoft Teams para engañar a los empleados, robar datos y desplegar ransomware.

Cómo funciona el ataque:

1. Se envían correos de phishing diseñados para parecer legítimos.
2. A través de una llamada externa en Teams, los atacantes convencen a la víctima para establecer una sesión remota.
3. Se utiliza un archivo Java y un script Python (RPivot backdoor) para cargar una DLL maliciosa junto con un ejecutable legítimo de ProtonVPN.

Este método crea un canal de comando y control cifrado, otorgando acceso remoto a los dispositivos infectados.

Murdoc Botnet ataca dispositivos IoT con vulnerabilidades conocidas

La botnet Murdoc, una variante de Mirai, ha comprometido más de 1,370 dispositivos IoT en una campaña activa desde julio de 2024. Según investigadores de Qualys, los ataques se dirigen a:

• Routers Huawei HG532 (CVE-2017-17215)
• Cámaras IP AVTECH (CVE-2024-7029)

La botnet integra estos dispositivos para lanzar ataques DDoS masivos. Se recomienda actualizar los dispositivos afectados para evitar compromisos.

QNAP: Exploit PoC para la vulnerabilidad CVE-2024-53691

El 23 de enero de 2025, se publicó un exploit PoC para la vulnerabilidad CVE-2024-53691 que afecta a sistemas operativos QTS y QuTS Hero de QNAP. Con un CVSSv4 de 8.7, este fallo permite a atacantes remotos ejecutar código arbitrario en dispositivos afectados.

Solución: Asegúrese de haber aplicado los parches emitidos en septiembre de 2024.

Ataques dirigidos con ValleyRAT a regiones de habla china

Investigadores de Intezer Labs han reportado una campaña del malware ValleyRAT dirigida a usuarios en China, Taiwán y Hong Kong. Este troyano de acceso remoto se distribuye mediante páginas de phishing que descargan un archivo malicioso MSI, con un cargador denominado PNGPlug.

• Método: Se emplea la función CustomAction para extraer componentes maliciosos.
• Objetivo: Establecer persistencia y otorgar control a los atacantes, asociados con el grupo Silver Fox.