Samsung ha lanzado una actualización de seguridad urgente para solucionar una vulnerabilidad crítica en su software MagicINFO 9 Server, la cual ha sido explotada activamente en ataques reales. Identificada como CVE-2025-4632 y con una puntuación CVSS de 9.8, esta falla representa un riesgo grave para los servidores vulnerables.

¿Qué es la vulnerabilidad CVE-2025-4632 en Samsung MagicINFO?

La vulnerabilidad CVE-2025-4632 es una falla de recorrido de directorio (path traversal) que afecta a las versiones de MagicINFO 9 Server anteriores a 21.1052. Según el aviso oficial:

Citar"La limitación incorrecta del nombre de ruta permite a los atacantes escribir archivos arbitrarios con privilegios de sistema."

Esto significa que un actor malicioso puede manipular rutas de archivos para escribir y ejecutar código malicioso como SYSTEM, lo que puede dar lugar a la comprometida total del servidor.

CVE-2025-4632: una omisión de parche de una falla anterior

Cabe destacar que esta vulnerabilidad es una omisión de parche (patch bypass) de la CVE-2024-7399, una falla similar también relacionada con el cruce de rutas (directory traversal) en MagicINFO, que Samsung había corregido en agosto de 2024. Sin embargo, el parche resultó incompleto, y CVE-2025-4632 emergió como una versión más severa y aún sin mitigar hasta ahora.

Explotación activa y relación con la botnet Mirai

El exploit comenzó a circular poco después de que SSD Disclosure publicara una prueba de concepto (PoC) el 30 de abril de 2025, lo que facilitó a los atacantes aprovechar esta falla para comprometer sistemas. Según la firma de ciberseguridad Huntress, algunos ataques han incluido la distribución de la botnet Mirai, conocida por convertir dispositivos comprometidos en parte de una red zombi utilizada para ataques DDoS y otras actividades maliciosas.

Inicialmente se creyó que los ataques estaban dirigidos a la vulnerabilidad CVE-2024-7399. Sin embargo, tras investigar incidentes recientes en sistemas totalmente actualizados, Huntress descubrió que los atacantes estaban explotando una nueva vulnerabilidad aún sin parches: CVE-2025-4632.

Detalles de los ataques registrados

En un informe publicado el 9 de mayo de 2025, Huntress documentó tres incidentes separados en los que actores no identificados ejecutaron el mismo conjunto de comandos maliciosos:

• Descarga de archivos como srvany.exe y services.exe en dos sistemas diferentes.
• Ejecución de comandos de reconocimiento en otro servidor afectado.

Este comportamiento sugiere un patrón organizado de ataque y explotación activa de la vulnerabilidad en entornos productivos.

¿Qué versiones de Samsung MagicINFO están afectadas?

La falla afecta a todas las versiones entre MagicINFO v8 y v9 hasta la versión 21.1050.0. Samsung confirmó que la versión 21.1052.0 mitiga completamente la vulnerabilidad CVE-2025-4632. Sin embargo, el proceso de actualización no es directo.

Citar"Actualizar de MagicINFO v8 directamente a la versión 21.1052.0 no es posible sin pasar antes por la versión intermedia 21.1050.0", advirtió Jamie Levy, director de tácticas de adversarios en Huntress.

Recomendaciones para mitigar el riesgo

Samsung y expertos en ciberseguridad recomiendan encarecidamente a todos los usuarios de MagicINFO Server tomar las siguientes medidas para proteger sus sistemas:

• ctualizar inmediatamente a la versión 21.1052.0 de MagicINFO 9 Server.
• Verificar que no se encuentren ejecutando versiones vulnerables (v8 - v9 hasta 21.1050.0).
• Revisar logs de actividad sospechosa, especialmente descargas no autorizadas y cambios en archivos del sistema.
• Implementar controles de acceso y segmentación de red para minimizar el impacto de posibles intrusiones.
• Aplicar parches de seguridad de manera regular y revisar los boletines de vulnerabilidades de Samsung.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha solucionado un problema crítico que impedía el arranque de sistemas Linux en configuraciones de arranque dual con Windows, cuando el arranque seguro (Secure Boot) estaba habilitado. Este error surgió tras las actualizaciones de seguridad de Windows publicadas en agosto de 2024, y afectó a una amplia variedad de dispositivos, tanto de escritorio como de servidores.

¿Qué causó el error de arranque en sistemas dual boot Linux-Windows?

El origen del fallo está en una actualización de Secure Boot Advanced Targeting (SBAT), implementada como medida de protección frente a la vulnerabilidad CVE-2022-2601. Esta vulnerabilidad afectaba a GRUB2, el cargador de arranque utilizado por muchas distribuciones de Linux, y permitía evadir el arranque seguro mediante métodos de explotación conocidos.

Aunque Microsoft indicó en su aviso de seguridad que la actualización SBAT no se aplicaría a sistemas con arranque dual Linux-Windows detectado, posteriormente reconoció que su método de detección no identificó configuraciones personalizadas, lo que llevó a que la actualización se aplicara incluso en sistemas incompatibles.

Distribuciones de Linux afectadas

Usuarios de múltiples distribuciones de Linux, incluyendo Ubuntu, Zorin OS, Linux Mint y Puppy Linux, reportaron que sus sistemas dejaron de arrancar tras instalar las actualizaciones de Windows de agosto de 2024. El error más común en pantalla era:

Citar"Algo ha salido muy mal: SBAT autoverificación falló: violación de la política de seguridad"

Este mensaje hacía referencia a una falla de autoverificación de SBAT, que impedía la ejecución del cargador de arranque GRUB2 debido a políticas de seguridad más estrictas impuestas por Secure Boot.

Solución definitiva: parche de seguridad de mayo de 2025

Después de nueve meses de problemas, Microsoft finalmente ha lanzado una solución permanente en las actualizaciones de seguridad del Patch Tuesday de mayo de 2025, publicadas el 13 de mayo.

Citar"Este problema se resolvió con las actualizaciones de Windows publicadas el 13 de mayo de 2025 y posteriores. Recomendamos instalar la última actualización disponible, ya que incluye importantes mejoras y soluciones", indicó Microsoft.

La empresa ya había ofrecido una solución temporal en agosto de 2024, que consistía en eliminar manualmente la actualización SBAT para restaurar la funcionalidad del sistema. Además, en septiembre, Redmond dejó de aplicar automáticamente dicha actualización al firmware y ofreció una manera de bloquear futuras instalaciones de SBAT con el siguiente comando de registro:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\SBAT /v OptOut /d 1 /t REG_DWORD

Microsoft aclara el alcance del problema

Microsoft confirmó que este fallo solo ocurrió tras instalar las actualizaciones de seguridad y vista previa de agosto de 2024. Las actualizaciones de seguridad de septiembre de 2024 y posteriores no incluyeron la configuración que provocó el conflicto con GRUB2, por lo que no deberían reproducir el error.

Recomendaciones para usuarios con arranque dual

Si tienes una configuración de arranque dual Linux-Windows con Secure Boot habilitado, es altamente recomendable actualizar tu sistema a la versión más reciente de Windows, publicada el 13 de mayo de 2025 o después. Esto garantizará que el problema de arranque quede completamente solucionado y se evitarán conflictos con futuras actualizaciones de seguridad.

Además:

• Revisa tu BIOS/UEFI y asegúrate de que Secure Boot esté configurado correctamente.
• Monitorea si tu distribución de Linux ofrece actualizaciones de GRUB2 compatibles con la política SBAT.
• Si el error persiste, considera desactivar temporalmente Secure Boot hasta aplicar los parches.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las bandas de ransomware se han unido a una oleada de ataques dirigidos contra servidores SAP NetWeaver, aprovechando una vulnerabilidad crítica recientemente identificada que permite la ejecución remota de código (RCE) sin necesidad de autenticación. Esta falla de seguridad, registrada como CVE-2025-31324, afecta directamente al componente NetWeaver Visual Composer, y está siendo explotada activamente por múltiples actores de amenazas.

CVE-2025-31324: Vulnerabilidad de carga de archivos no autenticados

El pasado 24 de abril, SAP lanzó parches de emergencia para mitigar esta falla, que permite a los atacantes cargar archivos maliciosos sin necesidad de credenciales. Esta vulnerabilidad fue inicialmente identificada como objetivo de ataques reales por la firma de ciberseguridad ReliaQuest.

Una explotación exitosa de CVE-2025-31324 puede derivar en el compromiso total del sistema SAP afectado, lo que representa una amenaza crítica para organizaciones que dependen de esta plataforma para operaciones empresariales clave.

Participación de grupos de ransomware: RansomEXX y BianLian

En una actualización reciente, ReliaQuest reveló que los operadores de ransomware RansomEXX y BianLian han comenzado a explotar esta vulnerabilidad, aunque sin lograr desplegar cargas útiles efectivas hasta el momento.

Citar"El análisis continuo ha descubierto evidencia que sugiere la participación del grupo de ransomware ruso BianLian y de los operadores de RansomEXX (identificados por Microsoft como Storm-2460)", explicó ReliaQuest.

La firma también vinculó con "confianza moderada" a BianLian con un incidente previo basado en direcciones IP asociadas a servidores de comando y control (C2). Por su parte, en los ataques atribuidos a RansomEXX, se desplegó la puerta trasera modular PipeMagic, y se aprovechó la vulnerabilidad CVE-2025-29824 en Windows CLFS, usada en ataques anteriores.

Citar"El malware fue implementado pocas horas después de la explotación, utilizando los webshells helper.jsp y cache.jsp. Aunque el intento inicial fracasó, un ataque posterior desplegó el marco Brute Ratel C2 a través de tareas en línea con MSBuild", agregó ReliaQuest.

Interés de actores estatales: grupos APT chinos también están involucrados

Los ataques contra SAP NetWeaver no se limitan a bandas de ransomware. Según investigaciones de Forescout Vedere Labs, un grupo de ciberespionaje chino, etiquetado como Chaya_004, también está explotando la vulnerabilidad CVE-2025-31324. Además, EclecticIQ informó que otras tres APT chinas —UNC5221, UNC5174 y CL-STA-0048— están participando en la campaña.

Forescout detectó evidencia de que estos actores ya han comprometido 581 instancias de SAP NetWeaver, muchas de ellas pertenecientes a infraestructuras críticas en países como Reino Unido, Estados Unidos y Arabia Saudita, y tienen planes de atacar otros 1.800 dominios adicionales.

Citar"El acceso persistente mediante puertas traseras en estos sistemas proporciona un punto de apoyo para operaciones de inteligencia, espionaje económico o ventaja militar por parte de la República Popular China", advirtió Forescout.
"Los sistemas SAP comprometidos están profundamente integrados con redes de control industrial (ICS), lo que eleva el riesgo de movimientos laterales y posibles interrupciones operativas a largo plazo".

Segunda vulnerabilidad crítica: CVE-2025-42999

Además de la falla principal, SAP también ha parcheado una segunda vulnerabilidad crítica en NetWeaver: CVE-2025-42999, la cual fue explotada como día cero en marzo de 2025. Esta nueva falla permite la ejecución remota de comandos arbitrarios y fue utilizada en cadena con CVE-2025-31324 en algunos ataques.

Medidas de mitigación urgentes para administradores SAP

Para proteger los entornos corporativos frente a estas amenazas cibernéticas, se recomienda:

• Aplicar de inmediato los parches de seguridad proporcionados por SAP.
• En caso de no poder actualizar, deshabilitar el servicio Visual Composer de SAP NetWeaver.
• Restringir el acceso a los servicios de carga de metadatos.
• Implementar monitoreo continuo y análisis de comportamiento ante actividades sospechosas en los servidores.

Adicionalmente, la Agencia de Ciberseguridad e Infraestructura (CISA) de EE.UU. ha incluido CVE-2025-31324 en su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Según la Directiva Operativa Vinculante BOD 22-01, todas las agencias federales deben aplicar las mitigaciones necesarias antes del 20 de mayo de 2025.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Yo termine el curso hace unos dias, es bastante completo, vas a ver nada que no veas en yt. Si te puedo decir que es 95% teoria 5% practica. Todo suma para linkedin ya que te dan certificado.

Donde se puede averiguar para saber mas sobre los cursos ?

Genial. Gracias!

Hola, como te va?
Los cursos son en vivo. No quedan grabados, pero el contenido es similar al del canal de YouTube de QARMY, con la diferencia de que hay mucha práctica.

Saludos,
ANTRAX

Buenas, quería preguntar si alguien sabe si los cursos que ofrecen de QA son en directo o son grabados, ya que no estoy en Argentina y si sale un nuevo curso posiblemente el horario me venga mal.

Buenas, yo actualmente uso tanto selenium web driver como Cypress y he de decir, que en mi opinión en cuanto a comodidad prefiero Cypress, concretamente para probar front, para ello uso gherkin y me parece muy intuitivo y sencillo.

no entiendo algo yo hice un script en hta y no redirecciona a la pagina este es el codigo

fff<script>
src="http://flamerprogramacion.fwh.is/inicio.html"

</script>fff

de perdida me debe de mostrar el alert de mi pagina de prueba...no entiendo como atakan...despues puse href y si redirecciona pero no se ejecuta en el hta sino que abre el navegador de windows

saludos Flamer