Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
1603
)
-
▼
marzo
(Total:
112
)
-
Un bot ataca a Microsoft y DataDog por mala config...
-
Google prepara Chrome contra hackers cuánticos: lo...
-
Intel presentaXeon 6+ Clearwater Forest con 288 E-...
-
Nuevo malware Dohdoor ataca escuelas y sector salu...
-
Los infostealers impulsan ataques masivos de fuerz...
-
Microsoft Highlight Reels: la NPU de tu consola o ...
-
JEDEC lanza UFS 5.0 y UFSHCI 5.0 para aumentar la ...
-
Vulnerabilidades críticas en Trend Micro Apex One ...
-
Llista IPTV con más de 39.000 canales de televisió...
-
Cuidado: están vendiendo portátiles con 1,2 TB de ...
-
Los procesadores móviles de Intel han logrado hast...
-
CPU a 40 °C gracias a un cubo de hielo perpetuo: e...
-
Configuraciones prácticas de Gmail
-
El Pixel 11 deja ver su Tensor G6 en pruebas
-
Gemini se actualiza: ya permite enviar hasta 10 im...
-
Disco de juego ultra raro destrozado por Aduanas d...
-
Linux Mint Xfce es una Distro ultraligera de Linux...
-
Vulnerabilidad OpenClaw de cero clics permite a si...
-
Microsoft prepara Copilot Canvas: la pizarra con I...
-
Team Mirai, el «partido de la IA» que quiere revol...
-
Microsoft Edge abrirá Copilot automáticamente al h...
-
China ya tiene su procesador fotónico LightGen, 10...
-
YouTube prueba IA en Shorts: te va a permitir tran...
-
Comando peform /report en Windows analiza porqué t...
-
Ataques con drones dañan centros de datos de AWS d...
-
Operación Filtración desmantela foro cibercriminal...
-
AMD lanza su Ryzen 5 5500X3D en China: la tecnolog...
-
EE.UU. usó supuestamente a Claude en ataques a Irá...
-
AMD presenta Ryzen AI 400 para escritorio con hast...
-
Trump ordena eliminar la IA de Anthropic de las ag...
-
Nuevo FRITZ!Box 6835 5G: Internet de alto rendimie...
-
Qualcomm FastConnect 8800 traerá el Wi-Fi 8 a los ...
-
Intel revela las especificaciones de sus Xeon 600 ...
-
Los drivers GeForce 595.71 WHQL introdujeron nuevo...
-
iPhone 17e: Apple apuesta sobre seguro
-
Oppo lanzará por primera vez en España su móvil má...
-
Así son las "autopistas" de los satélites que orbi...
-
Actores de amenazas despliegan 'AuraStealer' con 4...
-
Apple lanza el iPhone 17e, su móvil más barato
-
Apple anuncia el iPad Air con M4, más rápido y mej...
-
Living off the Land 2.0 en Linux: Persistencia par...
-
Actualización de seguridad de Android: parche para...
-
La memoria NAND ya es un 500% más cara: Phison com...
-
CISA alerta sobre el malware RESURGE que explota v...
-
Venden portátiles en Amazon que son un engaño: tie...
-
WiFi DensePose: ¿ver a través de las paredes con W...
-
No es de NVIDIA, ni AMD ni Intel: el primer chip d...
-
Botnet OCRFix usa ClickFix y EtherHiding para ocul...
-
Así le robaron a la policía surcoreana cuatro mill...
-
Intel presentará sus Core Ultra 5 250K Plus y Core...
-
Silicon Power y su nefasto RMA con la RAM: devuelv...
-
Vulnerabilidad en Chrome Gemini permite a atacante...
-
Conflicto cibernético en escalada mientras Irán se...
-
Drones atacan varios centros de datos de AWS en Me...
-
California introduce ley de verificación de edad p...
-
Corte de energía de AWS en Oriente Medio provoca g...
-
Heretic o cómo eliminar fácilmente la censura en u...
-
Honor Magic V6, así es el nuevo plegable más fino ...
-
El 6G será AI-native: NVIDIA y las telecos rediseñ...
-
Cambios drásticos en Steam: Windows 11 se hunde, W...
-
La máquina de guerra de EE.UU. se une a Linux y so...
-
Los sistemas de presión de neumáticos en Toyota, M...
-
Ataques a firewalls de SonicWall desde más de 4.00...
-
Grupo ruso APT28 explota vulnerabilidad 0-day en M...
-
Esquema de phishing GTFire abusa de servicios de G...
-
Exploit PoC publicado para escalada de privilegios...
-
Fallo UXSS en el navegador DuckDuckGo permite ejec...
-
Claude AI sufre caída global: errores elevados int...
-
Adiós a los ataques con enjambres de drones: la OT...
-
Linux atómico o inmutable: qué son, cómo funcionan...
-
Perplexity lanza Computer: una IA capaz de ejecuta...
-
Ingeniero de Microsoft desvela casi 30 años despué...
-
ChatGPT se acerca a 1.000 millones de usuarios act...
-
Amazon anuncia una nueva inversión de 18.000 de eu...
-
Desactivando app esencial AI Core de Android recu...
-
Decide comprar palés de productos devueltos de Ama...
-
El lanzamiento de la Nvidia GeForce3 hace 25 años ...
-
El ejército de EE.UU. derriba con láser un dron en...
-
Netflix tira la toalla y Paramount compra Warner p...
-
Qué es WinApp y cómo funciona la nueva herramienta...
-
Trump prohíbe la IA de Anthropic en agencias feder...
-
Myrient (preservación de videojuegos) cierra
-
ClawJacked: una web maliciosa puede secuestrar Ope...
-
Aplicación de oración pirateada usada como arma ci...
-
Alerta de Ciberseguridad: Claves de API de Google ...
-
NAS con puertos de red a 1GbE vs 2.5 GbE, ¿realmen...
-
Entusiasta hace funcionar una PC de escritorio con...
-
20 años del Mobile World Congress en Barcelona: as...
-
No tires a la basura tu impresora antigua todavía:...
-
Vulnerabilidad de Telnet de 27 años permite a atac...
-
NVIDIA va de récord en récord: 68 mil millones en ...
-
HP: la memoria y el almacenamiento ya representan ...
-
Vulnerabilidad crítica de día cero en Cisco SD-WAN...
-
Dos Ryzen 9 9950X pasan a mejor vida en la misma A...
-
El conector Thermal Grizzly Wireview GPU Pro tampo...
-
No te quedarás sin cobertura: Starlink llevará el ...
-
SURXRAT: ataque de RAT en Android roba control tot...
-
Europa desarrolla un chip inspirado en el cerebro ...
-
Perplexity Computer y el salto a la IA operativa
-
Pueden abusar de la función Terminal en vivo de Co...
-
-
▼
marzo
(Total:
112
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que... -
Un ingeniero de Microsoft revela que MS-DOS podía generar gráficos desde hace casi 30 años, pero la compañía optó por una interfaz mediocr... -
Fortinet alerta sobre la explotación activa de la vulnerabilidad 0-Day FG-IR-26-060 , que afecta a FortiCloud SSO y permite a atacantes obt...
CISA alerta sobre el malware RESURGE que explota vulnerabilidades 0-day para atacar dispositivos Ivanti Connect Secure
Una variante de malware recientemente descubierta llamada RESURGE está atacando activamente dispositivos Ivanti Connect Secure al explotar una vulnerabilidad crítica de día cero, lo que ha llevado a la Agencia de Ciberseguridad e Infraestructura de EE.UU. (CISA) a emitir una advertencia formal.
El malware está diseñado para sobrevivir a reinicios, robar credenciales y mantenerse en el sistema mucho después del ataque inicial.
El principal vector de ataque es CVE-2025-0282, una vulnerabilidad de desbordamiento de búfer basada en pila que afecta a Ivanti Connect Secure, Policy Secure y ZTA Gateways.
En un desbordamiento de búfer basado en pila, un atacante envía más datos de los que puede contener un búfer de memoria, lo que corrompe la memoria cercana y le permite ejecutar su propio código en el dispositivo objetivo.
CISA añadió oficialmente CVE-2025-0282 a su Catálogo de Vulnerabilidades Explotadas Conocidas el 8 de enero de 2025, tras una explotación activa que se observó por primera vez en diciembre de 2024.
Ivanti Connect Secure y productos relacionados son ampliamente utilizados como pasarelas de acceso remoto seguro en empresas y agencias gubernamentales.
Los analistas de CISA identificaron RESURGE tras examinar tres archivos recuperados de un dispositivo Ivanti Connect Secure de una organización de infraestructura crítica, donde los actores de amenazas ya habían aprovechado CVE-2025-0282 para obtener su primer acceso.
Junto a RESURGE, los investigadores encontraron una variante de SPAWNSLOTH, una herramienta de manipulación de registros diseñada para borrar evidencia de intrusión en los logs de los dispositivos Ivanti, y un binario personalizado llamado “dsmain” que incluye utilidades BusyBox para descifrar y reempaquetar imágenes de coreboot.
Juntos, estos tres componentes forman un kit de ataque bien estructurado: una pieza obtiene acceso, otra limpia el rastro y otra reconstruye el núcleo del sistema para mantener la puerta abierta.
RESURGE se basa directamente en SPAWNCHIMERA, un malware conocido de la familia SPAWN que ya era capaz de sobrevivir a reinicios del sistema.
El archivo RESURGE, identificado como “libdsupgrade.so”, introduce tres comandos adicionales que amplían significativamente sus capacidades más allá de su predecesor.
CISA lo describió como un rootkit, dropper, backdoor, bootkit, proxy y tunneler todo en uno, lo que significa que un solo archivo le da al atacante casi todo lo necesario para tomar el control total de un dispositivo comprometido.
El alcance de esta amenaza es considerable. Dado que Ivanti Connect Secure actúa como pasarela VPN para miles de organizaciones, un compromiso exitoso puede exponer toda una red empresarial desde dentro.
Una vez que RESURGE se instala, los atacantes pueden robar credenciales, crear cuentas de usuario no autorizadas, restablecer contraseñas y escalar sus propios privilegios, todo sin activar las alertas que normalmente indicarían una brecha.
Cómo RESURGE se oculta y persiste
Lo que hace que RESURGE sea especialmente difícil de eliminar es el nivel en el que se incrusta en un sistema comprometido.
El malware se inserta en el archivo “ld.so.preload”, lo que lo obliga a cargarse al inicio antes que casi cualquier otro proceso en el dispositivo.
Esta posición de carga temprana le da al malware control directo sobre el sistema desde el momento en que el dispositivo se enciende, haciéndolo invisible para la mayoría de las herramientas de escaneo estándar.
Además de la persistencia a nivel de arranque, RESURGE también configura un web shell —un script ligero utilizado como interfaz de comandos remotos— y lo copia directamente en el disco de arranque de Ivanti.
Luego modifica la imagen de coreboot, que inicia el dispositivo, incrustando código en una capa lo suficientemente profunda como para sobrevivir a la mayoría de las reinstalaciones de software.
El análisis actualizado de CISA reveló que RESURGE utiliza certificados TLS falsificados y un esquema de hash de huellas digitales CRC32 para diferenciar el tráfico normal de los comandos del atacante.
El tráfico regular se redirige al servidor web real de Ivanti, mientras que solo las conexiones controladas por el atacante activan las acciones del malware, manteniéndolo silencioso y oculto durante las operaciones normales.
CISA insta a las organizaciones afectadas a realizar un restablecimiento de fábrica como el paso más fiable para eliminar la infección. Los sistemas en la nube y virtuales deben usar una imagen limpia externa verificada.
Todas las credenciales de cuenta, tanto privilegiadas como no privilegiadas, deben restablecerse, y la cuenta krbtgt que gestiona la autenticación Kerberos debe reiniciarse dos veces debido a su historial de dos contraseñas.
Las organizaciones deben revocar temporalmente el acceso a los dispositivos afectados, revisar las políticas de acceso y monitorear de cerca las cuentas administrativas en busca de actividad no autorizada.
Cualquier comportamiento sospechoso debe reportarse al Centro de Operaciones 24/7 de CISA en Report@cisa.gov o al teléfono (888) 282-0870.
Fuentes:
https://cybersecuritynews.com/cisa-warns-of-resurge-malware-exploiting-0-days/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.