Se publicó la falla CVE-2025-8941 que afecta al módulo pam_namespace de Linux-PAM. El problema permite a usuarios locales explotar enlaces simbólicos (symlinks) y condiciones de carrera para elevar privilegios hasta root. Según la descripción pública, este CVE completa la corrección de una falla previa (CVE-2025-6020).
La explotación exitosa compromete la confidencialidad, integridad y disponibilidad del sistema. El vector es local y de baja complejidad, lo que aumenta el riesgo en entornos multiusuario o con acceso compartido.
La prioridad inmediata es verificar versiones y aplicar las actualizaciones que aborden pam_namespace. Mantener controles de acceso locales estrictos y revisar el uso de espacios de nombres mitigará el riesgo hasta desplegar parches.
Motex reveló una vulnerabilidad RCE (CVE-2025-61932, CVSS 9.8) en LANSCOPE Endpoint Manager On-Premise que afecta versiones hasta la 9.4.7.1. El servicio en la nube no está afectado. Motex confirmó actividad maliciosa dirigida y liberó un fix para los clientes.
El problema reside en los componentes Client Program (MR) y Detection Agent (DA). La explotación permitiría ejecutar código arbitrario y comprometer por completo los endpoints. El parche aplica del lado de los clientes; el servidor central no requiere actualización. Las instalaciones on-prem deben priorizar el despliegue del fix y revisar telemetrías por intentos de explotación contra MR/DA.
Se reportó una RCE (CVE-2025-57738) en Apache Syncope por la ejecución de scripts Groovy sin sandbox en versiones anteriores a 3.0.14 y 4.0.2. El código malicioso puede ejecutarse con los privilegios del proceso Syncope Core.
La falla fue identificada por Mike Cole (Mantel Group); el riesgo emerge porque administradores delegados con acceso a Implementations y Reports pueden cargar Groovy que accede a APIs peligrosas como Runtime.exec.
Actualizar a las versiones corregidas y restringir quién puede subir implementaciones Groovy reduce la superficie de ataque en despliegues de IAM.
CISA añadió CVE-2025-61884 al catálogo KEV, confirmando su explotación activa. La campaña sustrajo datos de múltiples clientes de Oracle EBS y buscó extorsionar a víctimas; el clúster atacante se asocia presuntamente a FIN11.
Oracle indicó inicialmente fallas conocidas (parches de julio) y luego un zero-day (CVE-2025-61882). El 11 de octubre anunció correcciones para CVE-2025-61884 (explotable de forma remota y sin autenticación), y el 21 de octubre CISA la marcó como explotada exigiendo mitigaciones federales antes del 10 de noviembre.
Las instancias EBS actualizadas no deberían ser vulnerables según múltiples firmas; las organizaciones deben verificar su estado de parcheo y revisar posibles accesos a datos en EBS.
Infosecurity Magazine informó que los pagos de ransomware aumentaron, alcanzando un total de $36 millones en los casos analizados.
El titular subraya una tendencia al alza en los montos pagados, reforzando la relevancia del problema económico que supone el ransomware.
La cifra destaca el impacto financiero actual del ransomware y la necesidad de monitorear esta métrica en los próximos trimestres.
China acusó a la NSA de realizar ciberataques contra su Centro Nacional de Servicio de Tiempo, advirtiendo que daños a esas infraestructuras podrían afectar comunicaciones, finanzas y energía. La acusación se divulgó tras una investigación local.
Los comunicados chinos mencionan el uso de múltiples herramientas de ciberataque y explotación de servicios para acceder a personal y sistemas del centro; la información se difundió sin pruebas técnicas presentadas públicamente. Medios internacionales también recogieron la acusación.
El incidente añade tensión al panorama geopolítico y subraya la criticidad de servicios nacionales de sincronización temporal
KOI reportó GlassWorm, descrito como el primer gusano autopropagable que usa “código invisible” y que impacta el OpenVSX Marketplace. El malware roba credenciales (NPM, GitHub, Git), apunta a 49 extensiones de billeteras cripto, levanta proxys SOCKS e instala VNC oculto para control remoto.
GlassWorm usa credenciales robadas para comprometer paquetes y extensiones, ampliando la cadena de suministro y moviéndose lateralmente a otros desarrollos.
El vector sobre entornos de desarrollo y marketplaces exige revisar dependencias y credenciales de desarrolladores expuestos a OpenVSX.
Se confirmó explotación activa de CVE-2025-59287 en Windows Server Update Services (WSUS). La falla permite RCE sin autenticación por deserialización insegura; existe PoC pública y Microsoft emitió actualización fuera de banda.
Un atacante remoto puede enviar un evento manipulado que desencadena la deserialización insegura y ejecutar código con privilegios SYSTEM; la divulgación técnica y PoC se publicaron el 18 de octubre.
Entornos con rol WSUS deben aplicar inmediatamente los parches publicados por Microsoft y verificar indicadores de explotación.
Nuestra experiencia El 18 y 19 de octubre, tuvimos el agrado de asistir al evento…
Noticias de la semana: Tormenta de vulnerabilidades En las noticias de la semana que finaliza…
Seguridad Informatica ¿En realidad la Necesito para mi Negocio? La seguridad informática dejó de ser…
Contar con una empresa de seguridad costa rica dejó de ser un lujo tecnológico para…
La ingeniería social reúne técnicas psicológicas y comunicacionales usadas por atacantes para inducir decisiones apresuradas,…
La ciberseguridad Costa Rica se ha convertido en un eje estratégico para la continuidad de…