Noticias de la semana: Tormenta de vulnerabilidades

En las noticias de la semana que finaliza el 10 de octubre de 2025, hay cinco proveedores importantes afectados por fallas críticas esta semana.

Cisco ASA/FTD: 0-Day explotado para omitir autenticación

Se ha identificado una cadena de explotación crítica de cero días que afecta el software Cisco ASA (Adaptive Security Appliance) y FTD (Firepower Threat Defense), dirigida a su módulo WebVPN, permitiendo un bypass de autenticación (CVE-2025-20362) seguido de un desbordamiento de buffer (CVE-2025-20333) para lograr ejecución remota sin autenticación.

Cisco ya publicó parches (por ejemplo, ASAv 9.16.4.85), y se recomienda a los administradores aplicar las actualizaciones de inmediato, sobre todo si tienen activado el portal VPN sin cliente.

RCE crítica en Redis (CVE-2025-49844)

Wiz Research descubrió una vulnerabilidad de ejecución remota (RCE) en Redis, llamada RediShell, que se origina en un error existente desde hace unos 13 años en el manejo de scripts Lua. Con un CVSS de 10.0, el fallo permite escapar del sandbox de Lua y ejecutar código nativo en el host.

Dado que Redis se usa en aproximadamente el 75 % de los entornos en la nube, muchas instancias están en riesgo, especialmente aquellas expuestas públicamente o sin autenticación. Se urge a las organizaciones a parchear inmediata y prioritariamente.

Oracle lanza parche urgente para CVE-2025-61882 tras ataques de Cl0p

Oracle emitió un parche de emergencia para una vulnerabilidad crítica en su E-Business Suite (CVE-2025-61882, con CVSS de 9.8) que ya está siendo explotada por el grupo Cl0p para robo de datos. La falla permite que un atacante sin autenticación comprometa el componente Concurrent Processing vía HTTP. La compañía instó a las organizaciones a revisar posibles compromisos previos, ya que podría haberse usado antes del parche. 

Extorsión contra Salesforce tras robo de datos de decenas de clientes

Un grupo que se autodenomina Scattered LAPSUS$ Hunters afirma haber robado grandes volúmenes de datos de docenas de empresas usando instancias de Salesforce y exige rescates, citando hasta 1 000 millones de registros sustraídos.

Salesforce declara que no ha detectado intrusiones recientes en su plataforma y que las extorsiones estarían ligadas a incidentes pasados o no confirmados. Sin embargo, los atacantes también amenazan con apoyarse en litigios legales existentes para presionar al proveedor.

Fallo en GitHub Copilot Chat filtra datos de repositorios privados

Se descubrió una vulnerabilidad en Copilot Chat que combina bypass de Content Security Policy y prompt injection: permite filtrar claves AWS, vulnerabilidades de día cero y controlar las respuestas que recibe el usuario.

El atacante puede insertar comentarios ocultos que no se muestran, pero que alteran el contexto del chat y extraen datos codificados via URL, explotando la forma en que Copilot maneja peticiones HTML comentadas. GitHub ya deshabilitó el uso de Camo para estas fugas.

“Shadow IT” en Generative AI: empleados filtran secretos a ChatGPT

Usuarios están copiando información confidencial de sus empresas en herramientas de IA tipo ChatGPT, generando riesgos de fuga deliberada o accidental. Se evidencia que la facilidad de uso y la integración informal de estos servicios generan un vector de filtración interno importante que muchas organizaciones aún no regulan adecuadamente. 

Incautan el dominio BreachForums vinculado a Scattered Lapsus$ Hunters

Autoridades decomisaron el dominio BreachForums, asociado al grupo Scattered LAPSUS$ Hunters que ha estado activo en campañas de extorsión y robo de datos. Este movimiento podría dificultar temporalmente la operativa pública del grupo, pero no garantiza la interrupción de sus actividades, las cuales podrían migrar a otros dominios o redes clandestinas.