Mensajes recientes
#1
Dudas y pedidos generales / Re:beneficios
Último mensaje por The Cid James - Hoy a las 01:29:34 PMPor actividad, cada tanto suelen dar el rango de underc0de pro con algunas cosas más que no voy a aclarar por obvias razones. No está relacionado en si al nivel pero si a la participación
#2
Noticias Informáticas / Dron en miniatura que parece u...
Último mensaje por AXCESS - Hoy a las 12:44:11 PM
La Universidad Nacional de Tecnología de Defensa de China (NUDT) ha estado trabajando en un microdron que se asemeja a un mosquito. El dron está diseñado principalmente para operaciones militares.
Lo que hace especial al dron es su tamaño extremadamente pequeño, lo que facilita su ocultación.
El dispositivo incluye dos alas transparentes que se asemejan a las de un insecto y cuatro patas delgadas que podrían usarse para aterrizar.
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Uno de los principales usos de estos drones es la observación militar o las misiones especiales. Esto es posible gracias a que el dron incorpora sistemas de energía avanzados, electrónica de control y sensores en un cuerpo diminuto, informa Interesting Engineering.
Estos dispositivos son valiosos debido a su pequeño tamaño, ya que son difíciles de detectar en operaciones encubiertas o de espionaje.
Además de su uso militar, los minidrones también podrían ser valiosos en industrias como la médica, donde podrían emplearse en cirugía o diagnóstico, así como en la monitorización ambiental para detectar niveles de contaminación o responder a desastres.
A pesar de sus ventajas, estos drones son difíciles de construir debido a su minúsculo diseño, ya que el dispositivo incluye componentes como baterías y sensores.
Los microdrones y microrrobots se están volviendo populares gracias a su pequeño tamaño y sus amplias capacidades.
Recientemente, ingenieros crearon un robot volador que se asemeja a un abejorro. Los mismos ingenieros de la Universidad de California en Berkeley también desarrollaron un robot "cucaracha" que puede sobrevivir después de ser pisado.
Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#3
Noticias Informáticas / Bug de WinRAR abre la puerta a...
Último mensaje por AXCESS - Hoy a las 12:42:27 PMNo tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
Una vulnerabilidad recientemente descubierta en WinRAR de RARLAB, la herramienta de compresión de larga trayectoria para Windows, ha expuesto a millones de usuarios a una grave falla Path Traversal que podría provocar la ejecución remota de código (RCE).
Identificada como CVE-2025-6218 y con una calificación CVSS de 7.8, esta vulnerabilidad podría permitir a un atacante ejecutar código arbitrario en el equipo de la víctima simplemente al obligarla a abrir un archivo comprimido especialmente diseñado.
"Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de WinRAR de RARLAB", advierte el aviso de ZeroDayInitiative.
La raíz del problema reside en cómo WinRAR procesa las rutas dentro de los archivos comprimidos. La falla reside en una validación insuficiente al extraer las entradas del archivo, concretamente en la imposibilidad de depurar correctamente los valores de las rutas creadas.
Al incluir secuencias de recorrido de directorio (como ../) en la ruta de un archivo, un atacante puede provocar que WinRAR extraiga archivos a ubicaciones inesperadas en el sistema de la víctima.
"La falla específica se encuentra en el manejo de las rutas de archivo dentro de los archivos comprimidos. Una ruta de archivo manipulada puede provocar que el proceso acceda a directorios no deseados", explica el aviso.
Una vez que el atacante escribe con éxito un archivo en un directorio sensible, como una carpeta de inicio o una ruta ejecutable del sistema, puede desencadenar la ejecución de código arbitrario cuando la víctima abre o reinicia el sistema.
Esta vulnerabilidad requiere una pequeña pero peligrosa interacción del usuario. Para explotarla, los atacantes deben convencer a la víctima de que abra un archivo comprimido malicioso, un escenario que se logra fácilmente mediante phishing, malvertising o descargas no autorizadas.
La carga maliciosa suele camuflarse como un archivo comprimido legítimo, ocultando el exploit dentro de contenido aparentemente inofensivo.
RARLAB respondió rápidamente al descubrimiento y la falla se ha solucionado en WinRAR 7.12 Beta 1. Se recomienda encarecidamente a los usuarios que actualicen su sistema inmediatamente para garantizar la protección contra esta y otras vulnerabilidades potencialmente no reveladas.
Fuente:
ZeroDayInitiative
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Vía:
SecurityOnline
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Una vulnerabilidad recientemente descubierta en WinRAR de RARLAB, la herramienta de compresión de larga trayectoria para Windows, ha expuesto a millones de usuarios a una grave falla Path Traversal que podría provocar la ejecución remota de código (RCE).
Identificada como CVE-2025-6218 y con una calificación CVSS de 7.8, esta vulnerabilidad podría permitir a un atacante ejecutar código arbitrario en el equipo de la víctima simplemente al obligarla a abrir un archivo comprimido especialmente diseñado.
"Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de WinRAR de RARLAB", advierte el aviso de ZeroDayInitiative.
La raíz del problema reside en cómo WinRAR procesa las rutas dentro de los archivos comprimidos. La falla reside en una validación insuficiente al extraer las entradas del archivo, concretamente en la imposibilidad de depurar correctamente los valores de las rutas creadas.
Al incluir secuencias de recorrido de directorio (como ../) en la ruta de un archivo, un atacante puede provocar que WinRAR extraiga archivos a ubicaciones inesperadas en el sistema de la víctima.
"La falla específica se encuentra en el manejo de las rutas de archivo dentro de los archivos comprimidos. Una ruta de archivo manipulada puede provocar que el proceso acceda a directorios no deseados", explica el aviso.
Una vez que el atacante escribe con éxito un archivo en un directorio sensible, como una carpeta de inicio o una ruta ejecutable del sistema, puede desencadenar la ejecución de código arbitrario cuando la víctima abre o reinicia el sistema.
Esta vulnerabilidad requiere una pequeña pero peligrosa interacción del usuario. Para explotarla, los atacantes deben convencer a la víctima de que abra un archivo comprimido malicioso, un escenario que se logra fácilmente mediante phishing, malvertising o descargas no autorizadas.
La carga maliciosa suele camuflarse como un archivo comprimido legítimo, ocultando el exploit dentro de contenido aparentemente inofensivo.
RARLAB respondió rápidamente al descubrimiento y la falla se ha solucionado en WinRAR 7.12 Beta 1. Se recomienda encarecidamente a los usuarios que actualicen su sistema inmediatamente para garantizar la protección contra esta y otras vulnerabilidades potencialmente no reveladas.
Fuente:
ZeroDayInitiative
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Vía:
SecurityOnline
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#4
Noticias Informáticas / Malware en Google Play y la Ap...
Último mensaje por AXCESS - Hoy a las 12:39:54 PMNo tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
Un nuevo malware móvil que roba criptomonedas, llamado SparkKitty, se encontró en aplicaciones de Google Play y la App Store de Apple, y está dirigido a dispositivos Android e iOS.
Este malware es una posible evolución de SparkCat, descubierto por Kaspersky en enero. SparkCat utilizaba reconocimiento óptico de caracteres (OCR) para robar frases de recuperación de monederos de criptomonedas de imágenes guardadas en dispositivos infectados.
Al instalar monederos de criptomonedas, el proceso indica a los usuarios que anoten la frase de recuperación y la guarden en un lugar seguro y sin conexión.
El acceso a esta frase semilla puede utilizarse para restaurar un monedero de criptomonedas y sus activos almacenados en otro dispositivo, lo que los convierte en un objetivo valioso para los cibercriminales.
Aunque tomar una captura de pantalla de la frase semilla nunca es buena idea, algunas personas lo hacen por comodidad.
Un informe de Kaspersky afirma que el nuevo malware SparkKitty roba indiscriminadamente todas las imágenes de la galería de fotos de un dispositivo infectado.
Si bien Kaspersky cree que el malware apunta a las frases semilla de billeteras criptográficas, los datos robados también podrían usarse para otros fines maliciosos, como la extorsión, si las imágenes contienen contenido confidencial.
El malware SparkKitty
La campaña SparkKitty lleva activa al menos desde febrero de 2024, propagándose tanto en las tiendas de aplicaciones oficiales de Google y Apple como en plataformas no oficiales.
SparkKitty en Apple App Store
Las aplicaciones maliciosas identificadas por Kaspersky son 币coin, disponible en la App Store de Apple, y SOEX, disponible en Google Play. Ambas habían sido eliminadas al momento de escribir este artículo.
SOEX es una aplicación de mensajería con funciones de intercambio de criptomonedas, con más de 10 000 descargas a través de la tienda oficial de aplicaciones de Android.
The malware app en Google Play
Kaspersky también descubrió clones modificados de TikTok que incorporan tiendas de criptomonedas en línea falsas, aplicaciones de juegos de azar, juegos con temática para adultos y aplicaciones de casino que contienen SparkKitty, distribuidas a través de canales no oficiales.
Aplicación clon de TikTok instalada a través de un perfil de iOS
En iOS, SparkKitty se integra como frameworks falsos (AFNetworking.framework, libswiftDarwin.dylib) y, en ocasiones, se distribuye a través de perfiles de aprovisionamiento empresarial.
En Android, el malware se integra en aplicaciones Java/Kotlin, algunas de las cuales utilizan módulos maliciosos Xposed/LSPosed.
El framework malicioso utiliza el método Objective-C '+load' para ejecutar automáticamente su código al iniciar la aplicación en iOS. Se realiza una comprobación de configuración leyendo las claves del archivo Info.plist de la aplicación; la ejecución solo se realiza si los valores coinciden con las cadenas esperadas.
En Android, el malware se activa al iniciar la aplicación o al realizar acciones específicas del usuario, como abrir un tipo de pantalla específico. Tras la activación, recupera y descifra un archivo de configuración remoto mediante AES-256 (modo ECB) para obtener las URL C2.
En iOS, el malware solicita acceso a la galería de fotos, mientras que, en Android, la aplicación maliciosa solicita al usuario permisos de almacenamiento para acceder a las imágenes.
Si se concede permiso en iOS, el malware monitorea la galería para detectar cambios y extrae cualquier imagen nueva o no cargada previamente.
Código de exfiltración de imágenes en la variante iOS
En Android, el malware sube imágenes de la galería, junto con identificadores de dispositivo y metadatos. Kaspersky encontró algunas versiones de SparkKitty que utilizan el OCR de Google ML Kit para detectar y subir únicamente imágenes con texto.
Exfiltración de imágenes en Android
SparkKitty es otro ejemplo de malware que se infiltra en las tiendas de aplicaciones oficiales, lo que pone de manifiesto una vez más que los usuarios no deben confiar ciegamente en el software que se distribuye en canales de distribución verificados.
Todas las aplicaciones deben ser examinadas minuciosamente para detectar indicios de fraude, como reseñas falsas, editores con antecedentes o historiales dudosos, bajas descargas combinadas con un alto número de reseñas positivas, etc.
Durante la instalación, las solicitudes de almacenamiento de acceso a la galería deben considerarse sospechosas y denegarse si no están relacionadas con la funcionalidad principal de la aplicación.
En iOS, evite instalar perfiles de configuración o certificados a menos que provengan de una fuente confiable. En Android, active Google Play Protect en la configuración y realice análisis completos del dispositivo con regularidad.
En definitiva, quienes poseen criptomonedas no deben guardar imágenes de las frases semilla de su monedero en sus dispositivos móviles, ya que ahora son blanco activo del malware. En su lugar, guárdelas sin conexión en un lugar seguro.
BleepingComputer se ha puesto en contacto con Apple y Google para solicitar comentarios sobre cómo estas aplicaciones se introdujeron en sus tiendas de aplicaciones.
"La aplicación denunciada ha sido eliminada de Google Play y su desarrollador ha sido baneado", informó Google a BleepingComputer.
"Los usuarios de Android están protegidos automáticamente contra esta aplicación, independientemente de la fuente de descarga, gracias a Google Play Protect, que está activado por defecto en los dispositivos Android con los Servicios de Google Play".
Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Un nuevo malware móvil que roba criptomonedas, llamado SparkKitty, se encontró en aplicaciones de Google Play y la App Store de Apple, y está dirigido a dispositivos Android e iOS.
Este malware es una posible evolución de SparkCat, descubierto por Kaspersky en enero. SparkCat utilizaba reconocimiento óptico de caracteres (OCR) para robar frases de recuperación de monederos de criptomonedas de imágenes guardadas en dispositivos infectados.
Al instalar monederos de criptomonedas, el proceso indica a los usuarios que anoten la frase de recuperación y la guarden en un lugar seguro y sin conexión.
El acceso a esta frase semilla puede utilizarse para restaurar un monedero de criptomonedas y sus activos almacenados en otro dispositivo, lo que los convierte en un objetivo valioso para los cibercriminales.
Aunque tomar una captura de pantalla de la frase semilla nunca es buena idea, algunas personas lo hacen por comodidad.
Un informe de Kaspersky afirma que el nuevo malware SparkKitty roba indiscriminadamente todas las imágenes de la galería de fotos de un dispositivo infectado.
Si bien Kaspersky cree que el malware apunta a las frases semilla de billeteras criptográficas, los datos robados también podrían usarse para otros fines maliciosos, como la extorsión, si las imágenes contienen contenido confidencial.
El malware SparkKitty
La campaña SparkKitty lleva activa al menos desde febrero de 2024, propagándose tanto en las tiendas de aplicaciones oficiales de Google y Apple como en plataformas no oficiales.
SparkKitty en Apple App Store
Las aplicaciones maliciosas identificadas por Kaspersky son 币coin, disponible en la App Store de Apple, y SOEX, disponible en Google Play. Ambas habían sido eliminadas al momento de escribir este artículo.
SOEX es una aplicación de mensajería con funciones de intercambio de criptomonedas, con más de 10 000 descargas a través de la tienda oficial de aplicaciones de Android.
The malware app en Google Play
Kaspersky también descubrió clones modificados de TikTok que incorporan tiendas de criptomonedas en línea falsas, aplicaciones de juegos de azar, juegos con temática para adultos y aplicaciones de casino que contienen SparkKitty, distribuidas a través de canales no oficiales.
Aplicación clon de TikTok instalada a través de un perfil de iOS
En iOS, SparkKitty se integra como frameworks falsos (AFNetworking.framework, libswiftDarwin.dylib) y, en ocasiones, se distribuye a través de perfiles de aprovisionamiento empresarial.
En Android, el malware se integra en aplicaciones Java/Kotlin, algunas de las cuales utilizan módulos maliciosos Xposed/LSPosed.
El framework malicioso utiliza el método Objective-C '+load' para ejecutar automáticamente su código al iniciar la aplicación en iOS. Se realiza una comprobación de configuración leyendo las claves del archivo Info.plist de la aplicación; la ejecución solo se realiza si los valores coinciden con las cadenas esperadas.
En Android, el malware se activa al iniciar la aplicación o al realizar acciones específicas del usuario, como abrir un tipo de pantalla específico. Tras la activación, recupera y descifra un archivo de configuración remoto mediante AES-256 (modo ECB) para obtener las URL C2.
En iOS, el malware solicita acceso a la galería de fotos, mientras que, en Android, la aplicación maliciosa solicita al usuario permisos de almacenamiento para acceder a las imágenes.
Si se concede permiso en iOS, el malware monitorea la galería para detectar cambios y extrae cualquier imagen nueva o no cargada previamente.
Código de exfiltración de imágenes en la variante iOS
En Android, el malware sube imágenes de la galería, junto con identificadores de dispositivo y metadatos. Kaspersky encontró algunas versiones de SparkKitty que utilizan el OCR de Google ML Kit para detectar y subir únicamente imágenes con texto.
Exfiltración de imágenes en Android
SparkKitty es otro ejemplo de malware que se infiltra en las tiendas de aplicaciones oficiales, lo que pone de manifiesto una vez más que los usuarios no deben confiar ciegamente en el software que se distribuye en canales de distribución verificados.
Todas las aplicaciones deben ser examinadas minuciosamente para detectar indicios de fraude, como reseñas falsas, editores con antecedentes o historiales dudosos, bajas descargas combinadas con un alto número de reseñas positivas, etc.
Durante la instalación, las solicitudes de almacenamiento de acceso a la galería deben considerarse sospechosas y denegarse si no están relacionadas con la funcionalidad principal de la aplicación.
En iOS, evite instalar perfiles de configuración o certificados a menos que provengan de una fuente confiable. En Android, active Google Play Protect en la configuración y realice análisis completos del dispositivo con regularidad.
En definitiva, quienes poseen criptomonedas no deben guardar imágenes de las frases semilla de su monedero en sus dispositivos móviles, ya que ahora son blanco activo del malware. En su lugar, guárdelas sin conexión en un lugar seguro.
BleepingComputer se ha puesto en contacto con Apple y Google para solicitar comentarios sobre cómo estas aplicaciones se introdujeron en sus tiendas de aplicaciones.
"La aplicación denunciada ha sido eliminada de Google Play y su desarrollador ha sido baneado", informó Google a BleepingComputer.
"Los usuarios de Android están protegidos automáticamente contra esta aplicación, independientemente de la fuente de descarga, gracias a Google Play Protect, que está activado por defecto en los dispositivos Android con los Servicios de Google Play".
Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#5
Noticias Informáticas / Putin autoriza app de mensajer...
Último mensaje por AXCESS - Hoy a las 12:35:58 PMNo tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
MOSCÚ, 24 de junio (Reuters) - El presidente ruso, Vladimir Putin, firmó el martes una ley que autoriza el desarrollo de una aplicación de mensajería estatal integrada con los servicios gubernamentales, en un esfuerzo por reducir la dependencia de plataformas como WhatsApp y Telegram. Rusia lleva mucho tiempo buscando establecer lo que denomina soberanía digital mediante la promoción de servicios locales. Su afán por reemplazar las plataformas tecnológicas extranjeras se agudizó tras la retirada de algunas empresas occidentales del mercado ruso tras la invasión de Ucrania por parte de Moscú en febrero de 2022.
Los legisladores rusos afirman que la aplicación estatal tendrá funciones que plataformas como Telegram y WhatsApp no tienen. Los críticos afirman que el hecho de que Rusia ejerza control estatal sobre ella supone riesgos para la privacidad y las libertades personales.
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Mikhail Klimarev, director de la Sociedad de Protección de Internet, un grupo ruso de derechos digitales, declaró a principios de este mes que esperaba que Rusia redujera la velocidad de WhatsApp y Telegram para animar a los usuarios a cambiarse a la nueva aplicación.
Fuente:
Reuters
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
MOSCÚ, 24 de junio (Reuters) - El presidente ruso, Vladimir Putin, firmó el martes una ley que autoriza el desarrollo de una aplicación de mensajería estatal integrada con los servicios gubernamentales, en un esfuerzo por reducir la dependencia de plataformas como WhatsApp y Telegram. Rusia lleva mucho tiempo buscando establecer lo que denomina soberanía digital mediante la promoción de servicios locales. Su afán por reemplazar las plataformas tecnológicas extranjeras se agudizó tras la retirada de algunas empresas occidentales del mercado ruso tras la invasión de Ucrania por parte de Moscú en febrero de 2022.
Los legisladores rusos afirman que la aplicación estatal tendrá funciones que plataformas como Telegram y WhatsApp no tienen. Los críticos afirman que el hecho de que Rusia ejerza control estatal sobre ella supone riesgos para la privacidad y las libertades personales.
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Mikhail Klimarev, director de la Sociedad de Protección de Internet, un grupo ruso de derechos digitales, declaró a principios de este mes que esperaba que Rusia redujera la velocidad de WhatsApp y Telegram para animar a los usuarios a cambiarse a la nueva aplicación.
Fuente:
Reuters
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#6
Noticias Informáticas / WhatsApp está prohibido en los...
Último mensaje por AXCESS - Hoy a las 12:35:06 PMNo tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
WASHINGTON, 23 de junio (Reuters) - El servicio de mensajería WhatsApp de Meta Platforms ha sido prohibido en todos los dispositivos de la Cámara de Representantes de EE. UU., según un memorando enviado a todo el personal de la Cámara el lunes.
El aviso indica que la Oficina de Ciberseguridad ha considerado que WhatsApp representa un alto riesgo para los usuarios debido a la falta de transparencia en la protección de sus datos, la ausencia de cifrado de datos almacenados y los posibles riesgos de seguridad que conlleva su uso.
El memorando, emitido por el director administrativo, recomendaba el uso de otras aplicaciones de mensajería, como la plataforma Teams de Microsoft Corp, Wickr de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, Signal, y iMessage y FaceTime de Apple.
Meta expresó su total desacuerdo con la medida, según declaró un portavoz de la compañía, señalando que la plataforma ofrece un mayor nivel de seguridad que las demás aplicaciones aprobadas.
En enero, un funcionario de WhatsApp afirmó que la empresa israelí de software espía Paragon Solutions había atacado a decenas de sus usuarios, incluidos periodistas y miembros de la sociedad civil.
La Cámara de Representantes ha prohibido otras aplicaciones en los dispositivos del personal en el pasado, incluyendo la aplicación de vídeos cortos TikTok en 2022, debido a problemas de seguridad.
Fuente:
Reuters
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
WASHINGTON, 23 de junio (Reuters) - El servicio de mensajería WhatsApp de Meta Platforms ha sido prohibido en todos los dispositivos de la Cámara de Representantes de EE. UU., según un memorando enviado a todo el personal de la Cámara el lunes.
El aviso indica que la Oficina de Ciberseguridad ha considerado que WhatsApp representa un alto riesgo para los usuarios debido a la falta de transparencia en la protección de sus datos, la ausencia de cifrado de datos almacenados y los posibles riesgos de seguridad que conlleva su uso.
El memorando, emitido por el director administrativo, recomendaba el uso de otras aplicaciones de mensajería, como la plataforma Teams de Microsoft Corp, Wickr de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, Signal, y iMessage y FaceTime de Apple.
Meta expresó su total desacuerdo con la medida, según declaró un portavoz de la compañía, señalando que la plataforma ofrece un mayor nivel de seguridad que las demás aplicaciones aprobadas.
En enero, un funcionario de WhatsApp afirmó que la empresa israelí de software espía Paragon Solutions había atacado a decenas de sus usuarios, incluidos periodistas y miembros de la sociedad civil.
La Cámara de Representantes ha prohibido otras aplicaciones en los dispositivos del personal en el pasado, incluyendo la aplicación de vídeos cortos TikTok en 2022, debido a problemas de seguridad.
Fuente:
Reuters
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#7
Dudas y pedidos generales / beneficios
Último mensaje por Luis José Inocente - Hoy a las 02:39:03 AMBuenas ví que hay beneficios estoy tratando de subir el porcentaje, que son esos beneficios?
#8
Softwares e ISOs / Re:Photoshop CC Version 18.0 (...
Último mensaje por jansito - Junio 23, 2025, 07:04:31 PMthanks
#9
Noticias Informáticas / Cloudflare bloquea ataque DDoS...
Último mensaje por Dragora - Junio 22, 2025, 06:07:43 PM
En mayo de 2025, Cloudflare logró mitigar con éxito un ataque de denegación de servicio distribuido (DDoS) sin precedentes que alcanzó un pico de 7,3 terabits por segundo (Tbps). Este evento supera en un 12% al récord anterior y se ha convertido en el ataque DDoS más grande jamás registrado, dirigido a un proveedor global de alojamiento protegido por el servicio Magic Transit de Cloudflare.
¿Qué es un ataque DDoS y por qué este es tan significativo?
Un ataque DDoS tiene como objetivo colapsar la infraestructura de red de una víctima enviando volúmenes masivos de tráfico malicioso, generando interrupciones, caídas del servicio e impacto financiero. En este caso, el ataque entregó un volumen impresionante de 37,4 terabytes de datos en tan solo 45 segundos, equivalente a más de 7.500 horas de streaming en HD o más de 12 millones de imágenes JPEG transmitidas al mismo tiempo.
Cloudflare, una empresa líder en servicios de infraestructura web y ciberseguridad, logró detener el ataque sin intervención manual, demostrando la capacidad de su red global distribuida.
Origen y táctica del ataque DDoS masivo
El ataque se originó desde 122.145 direcciones IP distribuidas en 161 países, siendo los principales focos Brasil, Vietnam, Taiwán, China, Indonesia y Ucrania. Esta dispersión geográfica permitió que el tráfico malicioso burlara sistemas de defensa convencionales y saturara los recursos de red de la víctima.
Una de las tácticas clave fue el uso de múltiples puertos de destino, con un promedio de 21.925 puertos por segundo y un pico de 34.517 puertos por segundo, lo cual tiene como objetivo evadir firewalls e IDS (sistemas de detección de intrusos) mediante tráfico disperso y altamente fragmentado.
Mitigación automatizada con Magic Transit y red anycast global
La red anycast de Cloudflare dispersó el tráfico de ataque entre 477 centros de datos distribuidos en 293 ubicaciones globales, neutralizando la amenaza sin intervención humana. Esta capacidad se logró mediante tecnologías avanzadas como:
- Huella digital en tiempo real
- Compartición de inteligencia dentro del centro de datos
- Reglas de mitigación automatizadas
- Rutas dinámicas de red
Estas funciones permiten a Cloudflare responder de forma inmediata y eficaz a ataques masivos, reduciendo el impacto para sus clientes y la infraestructura afectada.
Principales vectores del ataque: UDP, amplificación y servicios mal configurados
Aunque el 99,996% del tráfico malicioso fue generado por inundaciones UDP, también se utilizaron múltiples vectores para aumentar la complejidad y efectividad del ataque. Entre ellos se encuentran:
Reflexión QOTD (Quote of the Day)
- Reflexión de eco (Echo Reflection)
- Amplificación NTP (Network Time Protocol)
- Inundación UDP con botnet Mirai
- Flooding por mapeo de puertos
- Amplificación mediante RIPv1
Estos vectores se aprovecharon de servicios heredados y mal configurados que aún están expuestos en muchas redes, lo cual refuerza la importancia de aplicar configuraciones seguras y cerrar servicios obsoletos.
Prevención y aprendizaje: Feed de amenazas de Cloudflare
Como parte de su compromiso con la comunidad, Cloudflare incluyó los indicadores de compromiso (IoC) de este ataque en su DDoS Botnet Threat Feed, un servicio gratuito que permite a las organizaciones:
- Bloquear IPs maliciosas antes de que alcancen sus sistemas
- Mejorar la inteligencia de amenazas
- Anticiparse a campañas DDoS similares
Actualmente, más de 600 organizaciones utilizan este feed, y Cloudflare alienta a empresas de todos los tamaños a suscribirse como medida proactiva de protección contra ataques DDoS a gran escala.
Un llamado urgente a la protección contra DDoS
El ataque de 7,3 Tbps representa una nueva era en la escala y sofisticación de los ataques DDoS. Con ciberdelincuentes aprovechando botnets masivas, servicios abiertos y configuraciones incorrectas, la mitigación automatizada, el monitoreo en tiempo real y el uso de redes distribuidas como la de Cloudflare se vuelven esenciales.
Para las organizaciones que dependen de su presencia digital, adoptar soluciones como Magic Transit, mantener configuraciones seguras y participar en programas de inteligencia de amenazas es fundamental para evitar interrupciones críticas en 2025.
Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#10
Noticias Informáticas / CVE-2025-4322: Grave vulnerabi...
Último mensaje por Dragora - Junio 22, 2025, 06:03:33 PM
Una vulnerabilidad crítica de escalada de privilegios está siendo explotada activamente por ciberdelincuentes en el popular tema de WordPress Motors, desarrollado por StylemixThemes, permitiendo a los atacantes tomar el control total del sitio web al secuestrar cuentas de administrador.
¿Qué es CVE-2025-4322 y cómo afecta a los sitios con el tema Motors?
La falla, rastreada como CVE-2025-4322, fue detectada por el equipo de seguridad de Wordfence, que alertó sobre su gravedad a principios de mayo de 2025. La vulnerabilidad afecta a todas las versiones de Motors anteriores a la 5.6.67 e involucra una validación inadecuada de identidad del usuario durante el proceso de restablecimiento de contraseña.
Este error permite a actores no autenticados manipular el sistema de recuperación de contraseñas y cambiar la contraseña de cuentas de administrador, sin necesidad de credenciales previas. Wordfence recomendó aplicar de inmediato la versión corregida 5.6.68, lanzada por StylemixThemes el 14 de mayo de 2025, pero muchos usuarios no actualizaron sus sitios a tiempo.
Explotación activa y escala de los ataques
El 20 de mayo de 2025, un día después de que Wordfence hiciera pública la falla, se comenzaron a observar ataques en entornos reales. Para el 7 de junio, la actividad maliciosa había escalado drásticamente, con más de 23.100 intentos de explotación bloqueados por Wordfence en sitios protegidos.
El tema Motors es ampliamente utilizado por sitios relacionados con el sector automotriz y cuenta con más de 22,000 instalaciones activas adquiridas a través de EnvatoMarket. Su popularidad lo convierte en un objetivo especialmente atractivo para campañas de ataques automatizados y dirigidos.
Detalles técnicos del ataque y cómo se ejecuta
La vulnerabilidad reside en el widget "Registro de inicio de sesión" del tema, específicamente en su funcionalidad de recuperación de contraseña. El proceso de ataque incluye los siguientes pasos:
- Descubrimiento de URL: El atacante localiza rutas comunes donde se encuentra el widget, como /login-register, /account, /reset-password, y /signin.
- Envía una solicitud POST manipulada: Utiliza un valor hash_check con caracteres UTF-8 inválidos, lo que fuerza un error de comparación en la lógica de validación.
- Cambio de contraseña de administrador: Inserta un campo stm_new_password con una nueva contraseña para un ID de usuario que corresponde al rol de administrador.
- Acceso total y persistencia: Una vez dentro del panel de WordPress, el atacante crea nuevas cuentas de administrador y bloquea a los usuarios legítimos al cambiar sus credenciales.
Entre las contraseñas maliciosas utilizadas se han identificado ejemplos como:
- ¡Prueba123! No tienes permitido ver enlaces. Registrate o Entra a tu cuenta#
- rzkkd$SP3znjrn
- KurdNo tienes permitido ver enlaces. Registrate o Entra a tu cuentaKurd12123
- owm9cpXHAZTk
- db250WJUNEiG
Estos valores son indicativos de accesos no autorizados y pueden ayudar a identificar si un sitio ha sido comprometido.
Señales de que tu sitio puede estar comprometido
Si utilizas el tema Motors en una versión vulnerable, debes estar alerta ante los siguientes signos de explotación de CVE-2025-4322:
- Aparición de cuentas de administrador desconocidas.
- Imposibilidad de iniciar sesión con cuentas legítimas (contraseñas modificadas).
- Cambios no autorizados en la configuración del sitio.
- Creación de publicaciones o enlaces externos no solicitados.
Wordfence también ha publicado un listado de direcciones IP involucradas en los ataques, recomendando su inclusión inmediata en las listas de bloqueo de firewalls y sistemas de seguridad web.
Recomendaciones urgentes para administradores de WordPress
- Actualiza el tema Motors a la versión 5.6.68 o superior sin demora.
- Revisa todos los registros de acceso recientes y cuentas de usuario con privilegios elevados.
- Implementa un firewall de aplicaciones web (WAF) para bloquear ataques automatizados.
- Cambia las contraseñas de administrador y fuerza el restablecimiento para todos los usuarios críticos.
- Utiliza plugins de seguridad como Wordfence o iThemes Security para monitoreo continuo.
Una advertencia más sobre la importancia de las actualizaciones
El caso de CVE-2025-4322 demuestra una vez más la necesidad de aplicar actualizaciones de seguridad de forma inmediata, especialmente en temas y plugins populares de WordPress. Las fallas de escalada de privilegios pueden comprometer completamente la integridad del sitio y la seguridad de los datos de los usuarios.
Mantener una política de actualización proactiva, monitoreo constante y defensa en profundidad es esencial para proteger cualquier presencia digital en 2025 y más allá.
Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
