Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
1888
)
-
▼
marzo
(Total:
396
)
-
Llevan a cabo una prueba de resistencia (ciclos de...
-
Veeam corrige 7 fallos críticos que permitían la e...
-
MacBook Neo: consiguen romper por firmware el lími...
-
Elon Musk presentará la semana que viene su plan p...
-
Meta dobla el gasto en IA, mientras se prepara par...
-
ByteDance paraliza el lanzamiento de su generador ...
-
Una abuela de Tennessee, última víctima de errores...
-
Aplicación gratuita convierte tu Android en un seg...
-
Firefox en Windows 7 se niega a morir: Mozilla ext...
-
V-Color lanza un kit de memoria DDR5 1+1 que inclu...
-
El creador de Garry’s Mod sobre los programadores,...
-
NVIDIA entra en la carrera de la memoria: alianza ...
-
Instagram va a eliminar el cifrado de extremo a ex...
-
BYD consigue el 97% de carga en solo 9 minutos
-
Intel confirma que los procesadores van a subir de...
-
Vulnerabilidad en resúmenes de correo y Teams de M...
-
Vulnerabilidad crítica en LangSmith permite el sec...
-
Windows 11 se prepara para soportar monitores de m...
-
Usar IA para limpiar Windows 11 no es una buena id...
-
Fuga de datos en Starbucks: expuestos datos person...
-
Tu impresora se ha estado "chivando" durante 40 añ...
-
Compra un portátil ASUS, la pasta térmica de metal...
-
Autoridades desmantelan 45.000 IPs maliciosas en a...
-
Deja de utilizar las DNS predeterminadas en tu rou...
-
Si eres de los que tiene el router WiFi cerca del ...
-
Microsoft confirma un grave bug en Windows 11 que ...
-
5 aplicaciones de código abierto para mejorar la o...
-
Un proveedor de internet por fibra dice poder dete...
-
Prueba de resistencia de DVD regrabable de seis me...
-
Entusiasta reconstruye PC con pilas AA y multiplic...
-
SQLi autenticada en Koha pone en riesgo la base de...
-
Noctua adelanta caja para PC marrón con ventilador...
-
Windows 11: he personalizar al máximo la barra de ...
-
Miles de router WiFi Asus están siendo secuestrado...
-
Alguien consigue CPU, RAM, placa base y refrigerac...
-
Atacantes explotan Kubernetes y Cloud SQL en un so...
-
Salesforce advierte sobre el grupo ShinyHunters ex...
-
Vulnerabilidad en OpenSSH GSSAPI permite a un atac...
-
Vulnerabilidades críticas en CrackArmor exponen 12...
-
GIGABYTE Z890 PLUS expande la línea de placas base...
-
Vulnerabilidades de día cero en Chrome son explota...
-
DR-DOS 9 resucita el sistema operativo que pudo ca...
-
Metasploit Pro 5.0.0 lanzado con nuevos módulos po...
-
Perplexity quiere convertir tu Mac mini en un asis...
-
Tilly Norwood, artista generada por IA, saca una n...
-
Si almacenas datos en una memoria USB de 32 GB y n...
-
Anthropic reconoce los despidos de la IA, y anunci...
-
NVIDIA Nemotron 3, así es el superagente de IA que...
-
OpenAI compra Promptfoo y lo integra en Frontier p...
-
Ericsson EE.UU. revela filtración de datos: robaro...
-
Vulnerabilidad en Palo Alto Cortex XDR permite a a...
-
EEUU admite que está utilizando IA para la guerra ...
-
La nueva vigencia de los certificados SSL/TLS exig...
-
Programadores desvelan la realidad de trabajar con...
-
Jensen Huang, CEO de Nvidia, "corta el grifo" a Ch...
-
Los CEO gastarán mucho dinero en IA, pero un 75% c...
-
Grave vulnerabilidad en MediaTek permite a atacant...
-
Meta MTIA 300, MTIA 400, MTIA 450 y MTIA 500: los ...
-
Detienen a un jubilado de 70 años detenido por con...
-
Google completa adquisición de Wiz en acuerdo hist...
-
Vulnerabilidad crítica en Microsoft Office permite...
-
Actualización de seguridad de GitLab: parche para ...
-
Ronda de parches: múltiples proveedores corrigen f...
-
Cobrar 700 euros por insultar a una IA: la oferta ...
-
Apple confirma el límite de ciclos de batería del ...
-
YouTube para Smart TV empeora su experiencia gratuita
-
Alerta INCIBE: así te roban el WhatsApp con la exc...
-
Cierre de helio en Catar pone en riesgo la cadena ...
-
DART AE, el primer vehículo hipersónico del mundo ...
-
Ataque cibernético a Stryker: hackeo y borrado de ...
-
Herramienta de IA descubierta reutilizando sus GPU...
-
NVIDIA no existiría sin el gaming, y Microsoft tam...
-
Vulnerabilidad en los Servicios de Dominio de Acti...
-
Cinco de cada 100 créditos en México ya se otorgan...
-
La memoria NAND Flash se dispara un 50% en una noc...
-
Intel Core Ultra 7 270K Plus e Intel Core Ultra 5 ...
-
Amazon consigue que la ley prohíba a los agentes d...
-
Argus, el sistema satelital ruso que reemplaza a S...
-
QNAP convierte tu NAS en un vigilante de seguridad...
-
Nuevo ataque tipo Shai-Hulud en npm infecta 19+ pa...
-
Metasploit añade nuevos módulos para Linux RC4, Be...
-
Los piratas italianos de IPTV deberán pagar 1.000 ...
-
IBM y Lam Research se alían para avanzar en chips ...
-
El apagón de internet en Irán supera los 10 días c...
-
Los juegos descargados en Steam durante 2025 ocupa...
-
Madrid da un paso clave para mejorar la fibra ópti...
-
Los televisores Hisense obligan a los usuarios a v...
-
Amazon da marcha atrás, reconocen que el uso de la...
-
Vulnerabilidad de día cero en .NET de Microsoft pe...
-
Actualización de seguridad de SAP: parche para múl...
-
Apple desafía a AMD, Intel y NVIDIA: la GPU del M5...
-
SK hynix presenta LPDDR6 turboalimentado, 33% más ...
-
Archivos ZIP malformados permiten a atacantes evad...
-
Los usuarios de Steam descargaron 190 TB de juegos...
-
Microsoft corrige 79 fallos y dos zero-days en el ...
-
Anthropic tiene al enemigo en casa: la IA permite ...
-
La expansión de Oracle y OpenAI en Abilene: cancel...
-
El precio de los portátiles podría subir hasta un ...
-
Miles de autores publican un libro solo con sus no...
-
Vulnerabilidad en Fortinet FortiManager permite a ...
-
-
▼
marzo
(Total:
396
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
El HackyFi es un nuevo dispositivo basado en Raspberry Pi que funciona como un Tamagotchi para hackers , alternativo al Flipper Zero , cap... -
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que... -
Tener el router WiFi cerca del televisor puede afectar negativamente la calidad de la señal inalámbrica , a pesar de parecer práctico para ...
Pueden abusar de la función Terminal en vivo de Cortex XDR para comunicaciones C2
Un hallazgo de investigación recientemente revelado ha demostrado que la función Live Terminal de Cortex XDR de Palo Alto Networks puede ser convertida en un canal de comando y control (C2) por parte de los atacantes. Dado que esta función se ejecuta dentro de un agente de detección y respuesta en endpoints (EDR) de confianza, el tráfico que genera es ampliamente aceptado por las herramientas de seguridad empresariales, lo que convierte esto en un método silencioso
Un hallazgo de investigación recientemente revelado ha demostrado que la función Live Terminal de Palo Alto Networks en Cortex XDR puede ser convertida en un canal de mando y control (C2) por parte de atacantes.
Dado que esta función se ejecuta dentro de un agente de detección y respuesta en endpoints (EDR) de confianza, el tráfico que genera es ampliamente aceptado por las herramientas de seguridad empresariales, lo que convierte este método de abuso en algo silencioso y difícil de detectar.
Live Terminal de Cortex XDR es una función legítima de gestión remota que permite a los equipos de seguridad ejecutar comandos, ejecutar scripts de PowerShell y Python, explorar archivos y gestionar procesos en endpoints desde una consola central.
La función se comunica a través de conexiones WebSocket con la infraestructura en la nube de Palo Alto.
Los investigadores descubrieron que el protocolo subyacente de esta función no tiene firma de comandos, lo que significa que no hay verificación para confirmar que las instrucciones provienen realmente de un administrador legítimo.
Cualquier atacante que intercepte el mensaje WebSocket inicial puede redirigir la conexión del endpoint a un servidor que controle.
Los investigadores de InfoGuard Labs identificaron que, como cortex-xdr-payload.exe —el componente del lado del cliente de Live Terminal— ya es de confianza para el motor EDR, los comandos ejecutados a través de este canal pueden eludir las reglas tradicionales de detección y prevención.
Esto lo convierte en una potente técnica de "Living off the Land", donde los atacantes utilizan herramientas que ya están en el sistema en lugar de introducir nuevo malware. La investigación describe dos métodos mediante los cuales esta función puede ser abusada.
En el primer método, un ataque entre inquilinos (cross-tenant), el atacante utiliza su propio inquilino de Cortex para generar un token de sesión válido y luego redirige el endpoint de la víctima para que se conecte de vuelta al inquilino controlado por el atacante.
El segundo método implica crear un servidor personalizado que replique el protocolo de comunicación WebSocket, lo que requiere muy poco trabajo de desarrollo basado en el tráfico capturado.
El impacto es grave para cualquier empresa que utilice Cortex XDR. Una vez que un atacante obtiene acceso inicial, puede usar esta técnica para mantener un control persistente y oculto sobre los endpoints comprometidos sin necesidad de introducir herramientas adicionales.
El tráfico de red generado por esta técnica se mezcla con el tráfico normal del agente de Cortex y a menudo está excluido de la inspección TLS, lo que permite a los atacantes emitir comandos, moverse lateralmente y recopilar archivos con muy poco ruido.
Cómo los atacantes explotan la función
Cuando se inicia una sesión de Live Terminal, se envía un mensaje WebSocket desde la nube de Palo Alto al agente de Cortex.
.webp)
Este mensaje contiene argumentos de línea de comandos que instruyen al agente para lanzar cortex-xdr-payload.exe con valores específicos de servidor y token. Los investigadores descompilaron este ejecutable utilizando herramientas de extracción de PyInstaller y el descompilador pylingual, descubriendo que es una aplicación Python 3.12.
.webp)
Dentro del código descompilado, se encontró un fallo lógico significativo en cómo se valida la dirección del servidor.
La función run_lrc_payload verifica si el valor del servidor termina con .paloaltonetworks.com, pero realiza esta comprobación sobre la cadena completa de la URL en lugar de solo el nombre de host.
Esto significa que una URL manipulada como attacker.com/test.paloaltonetworks.com supera la comprobación y se conecta a un servidor controlado por el atacante.
.webp)
En el ataque entre inquilinos, el atacante intercepta el token de sesión WebSocket antes de que llegue a su propia máquina y luego lo utiliza en el endpoint de la víctima.
La máquina de la víctima se conecta al inquilino de Cortex del atacante, entregando acceso completo a Live Terminal a través de la interfaz gráfica oficial.
.webp)
Es importante destacar que el proceso padre legítimo para cortex-xdr-payload.exe es cyserver.exe, y cualquier desviación de esto debe tratarse como sospechosa.
Palo Alto Networks fue notificada de estos hallazgos el 30 de septiembre de 2025 y posteriormente informó que las versiones 8.7 a 8.9 contenían una corrección. Sin embargo, pruebas realizadas el 23 de febrero de 2026 con la versión 8.9.1 y las últimas actualizaciones de contenido demostraron que el abuso y el bypass del host seguían funcionando completamente, sin que hubiera una solución real implementada.
Los equipos de seguridad deberían monitorear los eventos de creación de procesos y marcar cualquier caso en el que cortex-xdr-payload.exe sea lanzado por un proceso padre distinto a cyserver.exe.
Palo Alto Networks debería implementar autenticación mutua y firma criptográfica de comandos dentro del protocolo de Live Terminal.
Un enfoque de detección basado únicamente en reglas de proceso padre no es suficiente. La arquitectura de la función necesita un rediseño seguro desde su concepción para que este tipo de abuso no sea posible a nivel de protocolo.
Fuentes:
https://cybersecuritynews.com/hackers-can-abuse-cortex-xdr-live-terminal/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.