Investigadores de ciberseguridad han identificado tres vulnerabilidades en Rack Ruby, una interfaz popular para servidores web en aplicaciones Ruby, que podrían permitir acceso no autorizado, inyección de datos maliciosos y manipulación de registros. Las fallas, descubiertas por OPSWAT, representan riesgos serios para entornos que utilicen este middleware ampliamente adoptado.

Detalles de las vulnerabilidades en Rack Ruby

Las tres vulnerabilidades, registradas con identificadores CVE y puntuaciones CVSS, son las siguientes:

• CVE-2025-27610 (CVSS 7.5): Vulnerabilidad de path traversal que permite el acceso a cualquier archivo dentro del directorio raíz especificado. Si un atacante identifica las rutas adecuadas, puede acceder a archivos confidenciales.
• CVE-2025-27111 (CVSS 6.9): Vulnerabilidad de neutralización incorrecta de secuencias CRLF que puede usarse para distorsionar archivos de registro, manipulando entradas con fines maliciosos.
• CVE-2025-25184 (CVSS 5.7): Similar a la anterior, permite la inyección de datos maliciosos en archivos de registro mediante explotación de secuencias CRLF mal gestionadas.

Según el informe de OPSWAT, la más crítica es CVE-2025-27610, ya que puede ser aprovechada por actores no autenticados para extraer información sensible como configuraciones, credenciales y otros datos críticos, aumentando el riesgo de violaciones de datos.

¿Cómo se explotan estas vulnerabilidades?

La causa raíz de CVE-2025-27610 se encuentra en el middleware Rack::Static, que no sanitiza correctamente las rutas proporcionadas por el usuario al servir archivos estáticos como imágenes o JavaScript. Esto permite que un atacante use una ruta manipulada para escapar del directorio estático y acceder a otros archivos del sistema.

OPSWAT explica que si el parámetro :root no está configurado explícitamente, Rack asigna por defecto el directorio de trabajo actual (Dir.pwd) como raíz del sitio. En este contexto, una mala configuración entre :root y :urls abre la puerta a ataques de recorrido de directorios para acceder a rutas no autorizadas.

Medidas de mitigación recomendadas

Para reducir el riesgo asociado a estas vulnerabilidades en Rack Ruby, OPSWAT sugiere:

• Actualizar Rack a la última versión disponible.
• Si no es posible aplicar el parche inmediatamente, eliminar el uso de Rack::Static o garantizar que root: apunte a un directorio con archivos públicos únicamente.
• Revisar las configuraciones actuales de rutas y estructuras de archivos en aplicaciones Ruby basadas en Rack.

CVE-2025-43928: Vulnerabilidad crítica sin parche en Infodraw Media Relay Service

En paralelo, se ha descubierto una vulnerabilidad grave en Infodraw Media Relay Service (MRS), utilizada para la retransmisión de medios en soluciones de videovigilancia móvil. Esta falla, identificada como CVE-2025-43928 y con una puntuación CVSS de 9.8, permite tanto la lectura como la eliminación de archivos arbitrarios desde la página de inicio de sesión del sistema.

¿Qué es Infodraw MRS y por qué es relevante?

Infodraw es una empresa israelí que desarrolla tecnología para transmisión de video, audio y GPS utilizada por agencias gubernamentales, fuerzas del orden y empresas de transporte. Sus productos operan sobre redes móviles y están presentes en múltiples países.

Detalles técnicos del fallo de seguridad

El investigador Tim Philipp Schäfers descubrió que es posible iniciar sesión en el sistema utilizando un nombre de usuario malicioso como "../../../../" para explotar un path traversal trivial. Esto permite a atacantes no autenticados acceder y eliminar cualquier archivo en sistemas afectados, tanto en versiones para Windows como Linux.

Aún más preocupante, no existe un parche oficial, lo que deja a los sistemas expuestos a posibles ataques inminentes. Algunas instancias comprometidas en Bélgica y Luxemburgo han sido desconectadas tras la divulgación responsable.

Recomendaciones urgentes de seguridad

Dada la criticidad del defecto, Schäfers recomienda:

• Desconectar inmediatamente los sistemas MRS vulnerables.
• Si no es viable, reforzar la seguridad mediante:
• Uso exclusivo de VPN.
• Aplicación de filtros IP para acceso controlado.
• Auditoría de accesos y archivos sensibles.

Actualizaciones críticas y configuraciones seguras

Tanto las vulnerabilidades en Rack Ruby como la falla crítica en Infodraw MRS ponen de relieve la necesidad de una gestión proactiva de seguridad en servidores web y sistemas conectados a internet. Las organizaciones deben aplicar parches, revisar configuraciones y emplear controles de acceso estrictos para proteger sus activos frente a ataques sofisticados y vulnerabilidades explotables.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los actores de amenazas vinculados a Corea del Norte han intensificado sus tácticas de ciberespionaje y distribución de malware con la campaña "Contagious Interview", utilizando empresas fachada en la industria de criptomonedas para lanzar ataques durante procesos de contratación falsos. Esta operación de ingeniería social ha sido documentada por la firma de ciberseguridad Silent Push, que alerta sobre la propagación de tres familias de malware mediante sitios web fraudulentos y perfiles falsos en redes sociales.

Empresas fachada utilizadas por Corea del Norte

Las compañías utilizadas como fachada en esta campaña son:

• BlockNovas LLC (blocknovas[.]com)
• Agencia Angeloper (angeloper[.]com)
• SoftGlide LLC (softglide[.]com)

Estas empresas simulan operar en el ámbito de la consultoría en criptomonedas, pero en realidad sirven como plataforma para ejecutar campañas de infección mediante archivos maliciosos disfrazados de señuelos para entrevistas laborales.

Malware distribuido en las entrevistas falsas

La campaña "Contagious Interview" ha sido usada para propagar tres familias de malware identificadas como:

• BeaverTail: ladrón y cargador basado en JavaScript.
• InvisibleFerret: backdoor desarrollado en Python con capacidades multiplataforma (Windows, macOS y Linux).
• OtterCookie: software malicioso adicional entregado junto a BeaverTail.

Los ataques comienzan cuando el objetivo ejecuta una supuesta prueba técnica o evaluación de vídeo, momento en el que el malware se activa bajo el pretexto de requerir acceso a la cámara o al navegador.

Técnicas avanzadas de evasión y persistencia

BeaverTail establece conexión con un servidor de comando y control (C2) en lianxinxiao[.]com, desde donde recibe instrucciones y descarga InvisibleFerret como carga útil secundaria. Entre sus funciones destacan:

• Recolección de información del sistema.
• Ejecución de shells inversos.
• Robo de datos del navegador y archivos locales.
• Instalación de software de acceso remoto como AnyDesk.

Además, se ha identificado que el subdominio mail.blocknovas[.]com alberga Hashtopolis, una herramienta de gestión de descifrado de contraseñas, lo que refuerza la intención de obtener credenciales sensibles.

Presencia activa en redes sociales y plataformas de desarrollo

Los ciberatacantes norcoreanos han creado perfiles falsos en redes como Facebook, LinkedIn, GitHub, GitLab, Medium, Pinterest y X (Twitter), con el fin de establecer contacto inicial con sus víctimas. Utilizan herramientas de inteligencia artificial, como Remaker, para generar imágenes de perfil creíbles y aumentar la legitimidad de los perfiles fraudulentos.

Ataques vinculados a criptomonedas

También se ha detectado un dominio sospechoso, attisscmo[.]com, utilizado para alojar una herramienta denominada Kryptoneer, diseñada para interactuar con carteras de criptomonedas como Suiet Wallet, Ethos Wallet y Sui Wallet. Esto sugiere un interés particular en comprometer plataformas basadas en la cadena de bloques Sui.

Explotación geográfica e infraestructura

Los actores de amenazas han ocultado su infraestructura maliciosa mediante servicios como Astrill VPN y proxies residenciales, y han operado a través de rangos de IP asociados con Rusia. En concreto, se identificaron direcciones IP asignadas a empresas ubicadas en Khasan y Khabarovsk, regiones con fuertes lazos económicos con Corea del Norte.

Según los investigadores Feike Hacquebord y Stephen Hilt, esta infraestructura apunta a una posible colaboración entre Corea del Norte y entidades rusas, aunque se estima con un nivel de confianza entre bajo y medio.

Campaña paralela: Wagemole

A la par de "Contagious Interview", Corea del Norte también opera la táctica conocida como Wagemole, que implica la creación de identidades falsas para insertar trabajadores de TI norcoreanos como empleados remotos en grandes empresas internacionales. Estas identidades son generadas con IA, y los sueldos obtenidos se redirigen parcialmente a la República Popular Democrática de Corea (RPDC).

La empresa Okta advierte que se están usando herramientas de IA generativa (GenAI) para automatizar procesos de solicitud de empleo, desde la programación de entrevistas hasta la traducción y resumen de conversaciones, con el objetivo de mejorar la eficacia de estas operaciones encubiertas.

Acción legal y desmantelamiento parcial

El FBI incautó el dominio No tienes permitido ver enlaces. Registrate o Entra a tu cuenta el 23 de abril de 2025, en una operación conjunta para detener la distribución de malware norcoreano mediante ofertas laborales fraudulentas. A pesar de esta acción, muchas de las infraestructuras asociadas siguen activas.

En conclusión, la campaña "Contagious Interview" representa una amenaza avanzada y persistente que combina ingeniería social, malware multiplataforma, criptografía y redes de anonimato para robar datos y financiar al régimen norcoreano. Las empresas deben estar alertas frente a cualquier proceso de contratación sospechoso, especialmente en sectores tecnológicos y de criptomonedas, y adoptar medidas proactivas de ciberseguridad.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Craft CMS, uno de los sistemas de gestión de contenido más utilizados, ha sido el objetivo de ataques activos de día cero que explotan dos vulnerabilidades críticas para comprometer servidores y extraer información sensible, según un informe de CERT Orange Cyberdefense.

Las fallas fueron detectadas por el CSIRT de Orange Cyberdefense durante una investigación forense a raíz de un servidor comprometido. En su análisis, descubrieron una cadena de explotación que combina dos vulnerabilidades:

• CVE-2025-32432: una vulnerabilidad crítica de ejecución remota de código (RCE) directamente en Craft CMS.
• CVE-2024-58136: una falla de validación de entrada en el framework Yii, utilizado por Craft CMS.

¿Cómo funciona el ataque?

De acuerdo con un informe técnico de SensePost, el equipo de hacking ético de Orange, los atacantes encadenaron ambas fallas para lograr un compromiso completo del servidor.

Etapa 1: Explotación de CVE-2025-32432

El ataque inicia con el uso de CVE-2025-32432, que permite a los atacantes enviar una solicitud HTTP especialmente diseñada con una URL de retorno como parámetro. Esta URL se almacena en un archivo de sesión PHP en el servidor, y el nombre de la sesión es devuelto al cliente como parte de la respuesta.

Esta técnica permite preparar el entorno para la siguiente etapa del ataque.

Etapa 2: Explotación de CVE-2024-58136

La segunda fase explota CVE-2024-58136, presente en versiones vulnerables del framework Yii (versión 2.0.51). El atacante envía una carga maliciosa en formato JSON, que provoca la ejecución del código PHP previamente almacenado en el archivo de sesión.

Esto permite la instalación de un administrador de archivos PHP directamente en el servidor, brindando acceso completo y persistencia al atacante.

Actividad posterior a la explotación

Según declaraciones de Orange a BleepingComputer, también se han observado acciones posteriores al compromiso, como:

• Carga de múltiples puertas traseras adicionales.
• Exfiltración de datos sensibles desde los servidores comprometidos.
• Persistencia prolongada mediante archivos ocultos en el sistema.

Un análisis más detallado de esta actividad está programado para ser publicado próximamente por SensePost.

Correcciones y versiones afectadas

Yii Framework

La falla CVE-2024-58136 fue corregida por los desarrolladores del framework Yii en la versión 2.0.52, publicada el 9 de abril de 2025.

Craft CMS

Craft CMS abordó la vulnerabilidad CVE-2025-32432 en las siguientes versiones:

• Craft CMS 3.9.15
• Craft CMS 4.14.15
• Craft CMS 5.6.17

A pesar de que Yii no fue actualizado completamente en Craft, Orange Cyberdefense confirmó que la cadena de ataque ha sido mitigada con la corrección aplicada en Craft CMS.

Citar"Aunque Yii 2.0.51 sigue presente por defecto, la solución implementada para CVE-2025-32432 impide que la vulnerabilidad de Yii sea explotada", explicó Orange.

Recomendaciones de seguridad para administradores de Craft CMS

Si sospecha que su sitio podría haber sido comprometido, Craft CMS recomienda tomar las siguientes acciones de inmediato:

1. Actualizar la clave de seguridad mediante el comando:



Luego, actualice la variable de entorno CRAFT_SECURITY_KEY en todos los entornos de producción.

2. Rotar claves privadas almacenadas en variables de entorno, como las de Amazon S3 o Stripe.

3. Cambiar las credenciales de la base de datos para evitar acceso no autorizado.

4. Forzar el restablecimiento de contraseñas de los usuarios como medida preventiva. Use el siguiente comando:



5. Consultar el apéndice del informe de SensePost, que contiene indicadores de compromiso (IOC) como direcciones IP maliciosas y nombres de archivos utilizados por los atacantes.

Antecedentes de explotación en Craft CMS

Cabe recordar que en febrero de 2025, la CISA (Agencia de Ciberseguridad e Infraestructura de EE. UU.) ya había advertido sobre otra vulnerabilidad de ejecución remota (RCE), CVE-2025-23209, también presente en Craft CMS versiones 4 y 5, la cual fue explotada activamente en entornos reales.

Mantenga su CMS actualizado

Los recientes ataques demuestran que Craft CMS continúa siendo un objetivo de alto valor para actores de amenazas que aprovechan vulnerabilidades de día cero. Las organizaciones que utilizan este CMS deben:

• Actualizar a las versiones corregidas de Craft CMS y Yii sin demora.
• Monitorear continuamente sus servidores en busca de comportamientos sospechosos.
• Implementar políticas de respuesta ante incidentes y aplicar prácticas de hardening.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

SAP ha emitido una actualización de seguridad de emergencia fuera de banda para abordar una vulnerabilidad crítica de ejecución remota de código (RCE) en SAP NetWeaver, identificada como CVE-2025-31324. Esta vulnerabilidad está siendo explotada activamente por ciberdelincuentes para secuestrar servidores empresariales, comprometer sistemas y desplegar cargas maliciosas.

¿Qué es CVE-2025-31324?

La falla, catalogada con una puntuación CVSS v3 de 10.0, afecta al componente Metadata Uploader de SAP NetWeaver Visual Composer Framework versión 7.50. Se trata de una vulnerabilidad de carga de archivos no autenticada, lo que significa que los atacantes pueden cargar archivos maliciosos sin necesidad de iniciar sesión.

Una vez cargados, estos archivos pueden ejecutarse de forma remota, permitiendo a los atacantes tomar control total del sistema afectado.

Explotación activa y hallazgos de seguridad

Aunque SAP aún no ha publicado el boletín completo, ReliaQuest fue la primera firma en alertar sobre la explotación activa de esta falla, indicando que se explota específicamente el endpoint /developmentserver/metadatauploader. Según sus hallazgos:

• Varios clientes ya han sido comprometidos mediante cargas de archivos JSP no autorizados.
• Los atacantes utilizaron simples solicitudes HTTP GET para ejecutar comandos desde el navegador.
• Se observaron capacidades de administración de archivos, como carga, descarga y ejecución remota.

En la fase post-explotación, los actores de amenazas desplegaron herramientas avanzadas como Brute Ratel y técnicas evasivas como Heaven's Gate, además de inyectar código en dllhost.exe para evitar detección.

Lo más alarmante es que los sistemas comprometidos estaban completamente parcheados antes de esta explotación, lo que confirma que se trató de un exploit de día cero.

Confirmaciones adicionales y declaraciones oficiales

La firma de seguridad watchTowr también confirmó a BleepingComputer que han observado explotación activa de la vulnerabilidad. El CEO, Benjamin Harris, advirtió que los atacantes están usando esta falla para instalar puertas traseras (web shells) y obtener persistencia en sistemas vulnerables:

Citar"Los atacantes no autenticados pueden abusar de esta funcionalidad para lograr ejecución remota de código y compromiso total del sistema".

Además, Harris anticipa que la explotación se expandirá rápidamente a medida que más actores maliciosos se enteren de esta vulnerabilidad crítica.

Por su parte, SAP, en respuesta a las consultas de BleepingComputer, negó haber confirmado compromisos exitosos:

Citar"SAP fue informado de una vulnerabilidad que podría permitir ejecución de código no autenticado. No tenemos conocimiento de incidentes que afecten a los clientes. Ya se ha publicado un parche desde el 8 de abril de 2025 y se recomienda aplicarlo de inmediato".

Sin embargo, Onapsis, firma especializada en seguridad para entornos SAP, también confirmó la observación de explotación activa en sus análisis.

¿Qué versiones están afectadas?

La vulnerabilidad CVE-2025-31324 afecta a SAP NetWeaver Visual Composer Framework 7.50. Es importante destacar que la actualización regular publicada el 8 de abril de 2025 no corrige esta falla, por lo que se requiere aplicar el parche de emergencia lanzado posteriormente.

Otras vulnerabilidades abordadas en el parche de emergencia

Además de CVE-2025-31324, la actualización corrige otras dos fallas críticas:

• CVE-2025-27429: vulnerabilidad de inyección de código en SAP S/4HANA.
• CVE-2025-31330: vulnerabilidad de inyección de código en SAP Landscape Transformation.

Medidas de mitigación recomendadas

Si no es posible aplicar el parche de inmediato, se recomienda implementar las siguientes acciones:

• Restringir el acceso al endpoint /developmentserver/metadatauploader.
• Desactivar Visual Composer, si no está en uso dentro del entorno SAP.
• Monitorear los registros del sistema (logs) mediante herramientas SIEM para detectar archivos no autorizados cargados a través del servlet.
• Ejecutar un análisis forense para identificar y eliminar webshells u otros archivos sospechosos antes de realizar cualquier mitigación.

Acción inmediata requerida

La explotación activa de CVE-2025-31324 representa una grave amenaza para la infraestructura empresarial basada en SAP NetWeaver. La facilidad de explotación sin autenticación, combinada con el impacto potencial de un compromiso total del sistema, hace que esta vulnerabilidad sea una de las más críticas del año en entornos SAP.

Es crucial que los administradores de sistemas y equipos de seguridad apliquen el parche de emergencia lo antes posible, o en su defecto, implementen las medidas de mitigación sugeridas mientras se completa el despliegue de la actualización.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Funcionalidad IA    ¿Qué hace?    Beneficio    Herramientas

✅ 1. Autogeneración de casos de prueba
Genera casos a partir del código, flujos de usuario o lenguaje natural.
👉 Ejemplo: "Verificar que el usuario puede loguearse y ver su perfil" se transforma en un test automatizado.

🔹 Ahorra tiempo de escritura

🔹 Reduce errores humanos

🛠� Testim, TestSigma, CodiumAI, Diffblue (Java), Functionize

🎯 2. Optimización de cobertura y priorización
Analiza qué pruebas son realmente necesarias para un cambio de código dado.
👉 No correr todo, sino solo lo que impacta.

🔹 Acelera pipelines de CI/CD

🔹 Evita ejecuciones redundantes

🛠� Launchable, Tricentis Test Intelligence, SmartBear Zephyr

🧠 3. Análisis de riesgo en pruebas.
IA detecta qué módulos son más críticos o propensos a fallos, y sugiere qué probar más.

🔹 Mejor enfoque Risk-based Testing

🔹 Optimiza el tiempo del tester

🛠� Tricentis TestOps, Functionize

👁� 4. Validación visual inteligente
Detecta cambios en la UI, diferencias sutiles y fallas que los test normales no ven.
👉 Detecta un botón movido 2px o texto que se desborda sin romper el DOM.

🔹 Cobertura visual real

🔹 Reducción de regresiones invisibles

🛠� Applitools Eyes, Percy, Recheck Web

🧩 5. Revisión semántica de código
IA revisa la lógica del código (o pruebas) y sugiere mejoras o edge cases omitidos.

🔹 Reduce falsos positivos/negativos

🔹 Detecta casos no pensados

🛠� CodiumAI, Diffblue, DeepCode (Snyk)

🗂� 6. Gestión inteligente del ciclo de pruebas
Analiza resultados, tiempos, estabilidad de test y ayuda a priorizar mantenimiento o eliminación.

🔹 Detecta flaky tests

🔹 Mejora la salud de tu suite

🛠� Allure TestOps, Katalon Analytics, TestRail con plugins AI

🧪 7. Generación y validación de datos de prueba
IA genera datos de prueba realistas y en contextos complejos (ej. bancos, salud).

🔹 Mejora test en ambientes reales

🔹 Aumenta cobertura de escenarios

🛠� No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, Mockaroo con IA, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

🕵� 8. Análisis predictivo de fallos
Predice qué pruebas van a fallar antes de ejecutarlas, o qué módulos están en riesgo.

🔹 Previene fallos en producción

🔹 Optimiza planificación de QA

🛠� Functionize, Launchable (con historial de builds)

🧭 ¿Cómo armar una estrategia de testing con IA?
Identifica el cuello de botella actual (mantenimiento, lentitud, errores).

Define objetivos: ¿Quieres menos mantenimiento? ¿Más precisión? ¿Menos tiempo?

Elige la IA que resuelve ese punto exacto (no te metas en todo a la vez).

Haz una prueba controlada (POC) con una herramienta.

Integra poco a poco en tu proceso CI/CD.

Quizás se pueda recuperar algo con herramientas forenses. Ya que, si no hiciste un formateo de bajo nivel, la información no se borró, solo se modificó la tabla de partición.
Pero no debés usar el cel, cada movimiento sobre escribe algo.

Gracias!

Yo normalmente uso Wireshark, tcpdump y ngrep.
Wireshark es un sniffer gráfico fácil de usar
tcpdump va por consola y es perfecto para scripts
ngrep aplica expresiones regulares al tráfico, muy útil para buscar strings