Inicio Etiquetas Archivo

Vulnerabilidades Críticas: Microsoft, Fortinet e Ivanti

2025-05-16

Vulnerabilidades Críticas Zero-Day: Microsoft, Fortinet e Ivanti emitem Avisos Urgentes

Profissionais de segurança e administradores de sistemas estão em alerta máximo, pois Microsoft, Fortinet e Ivanti divulgaram avisos de segurança críticos com relação a vulnerabilidades zero-day ativamente exploradas que afetam seus respectivos produtos. Essas vulnerabilidades representam um risco significativo para as organizações, podendo levar a acesso não autorizado, violações de dados e comprometimento de sistemas. É fortemente aconselhável aplicar patches imediatamente e implementar soluções alternativas recomendadas para mitigar possíveis ameaças.

Patches da Microsoft abordam vulnerabilidades ativamente exploradas e divulgadas publicamente

A versão recente da Patch Tuesday da Microsoft incluiu correções para um número preocupante de vulnerabilidades, incluindo cinco que já estão sendo ativamente exploradas, juntamente com duas vulnerabilidades zero-day divulgadas publicamente. As falhas ativamente exploradas representam uma séria ameaça, pois agentes maliciosos estão ativamente aproveitando-as para comprometer sistemas.

Vulnerabilidades ativamente exploradas em detalhes

As seguintes vulnerabilidades foram identificadas como estando ativamente exploradas:

  • Microsoft DWM Core Library (CVE-2025-30400): Essa vulnerabilidade na Desktop Window Manager (DWM) Core Library pode permitir que um invasor eleve seus privilégios para o nível SYSTEM. Isso significa que um invasor pode obter controle total sobre o sistema afetado.
  • Windows Common Log File System (CVE-2025-32701 e CVE-2025-32706): Duas vulnerabilidades separadas dentro do Windows Common Log File System (CLFS) também podem permitir que um invasor alcance privilégios de nível SYSTEM. O CLFS é um serviço de registro de uso geral usado por vários componentes do Windows.
  • Windows Ancillary Function Driver (CVE-2025-32709): Uma vulnerabilidade no Windows Ancillary Function Driver pode, da mesma forma, levar à elevação de privilégios para o nível SYSTEM.
  • Microsoft Scripting Engine (CVE-2025-30397): Existe uma vulnerabilidade de corrupção de memória no Microsoft Scripting Engine que pode permitir que um invasor execute código arbitrário. Isso pode permitir que um invasor execute software malicioso no sistema afetado.

Vulnerabilidades divulgadas publicamente

Além das vulnerabilidades ativamente exploradas, a Microsoft também abordou duas vulnerabilidades zero-day divulgadas publicamente:

  • Microsoft Defender (CVE-2025-26685): Existe uma vulnerabilidade de spoofing de identidade no Microsoft Defender que pode permitir que um invasor falsifique outra conta em uma rede adjacente.
  • Visual Studio (CVE-2025-32702): Uma vulnerabilidade de execução remota de código no Visual Studio pode permitir que um invasor não autenticado execute código localmente.

Vulnerabilidades críticas que exigem priorização

Além das falhas ativamente exploradas e divulgadas publicamente, a Microsoft também lançou patches para seis vulnerabilidades críticas que, embora atualmente não se saiba que estão sendo exploradas, devem ser priorizadas para aplicação de patches. Essas vulnerabilidades afetam vários produtos da Microsoft, incluindo:

  • Microsoft Office (CVE-2025-30377 e CVE-2025-30386): Duas vulnerabilidades críticas foram identificadas no Microsoft Office, potencialmente permitindo a execução remota de código.
  • Microsoft Power Apps (CVE-2025-47733): Uma vulnerabilidade crítica foi descoberta no Microsoft Power Apps que pode levar a acesso não autorizado ou execução de código.
  • Remote Desktop Gateway Service (CVE-2025-29967): Existe uma vulnerabilidade crítica no Remote Desktop Gateway Service que pode permitir que um invasor comprometa o sistema.
  • Windows Remote Desktop (CVE-2025-29966): Uma vulnerabilidade crítica foi encontrada no Windows Remote Desktop, potencialmente levando à execução remota de código.

Fortinet aborda vulnerabilidade crítica em vários produtos

A Fortinet divulgou um aviso de segurança sobre uma vulnerabilidade crítica que afeta vários de seus produtos, incluindo FortiVoice, FortiMail, FortiNDR, FortiRecorder e FortiCamera.

Essa vulnerabilidade, um estouro de buffer baseado em pilha, recebeu uma pontuação de severidade CVSS v4 de 9,6 (CVSS v3.1: 9,8), indicando sua alta severidade. A vulnerabilidade pode ser explorada remotamente por um invasor não autenticado, enviando solicitações HTTP contendo um cookie hash especialmente criado. A exploração bem-sucedida pode levar à execução arbitrária de código, permitindo que um invasor assuma o controle total do dispositivo afetado.

Exploração observada no FortiVoice

A Fortinet confirmou que observou a exploração ativa dessa vulnerabilidade em dispositivos FortiVoice. Os invasores têm escaneado redes de dispositivos, apagando logs de falhas do sistema e habilitando a depuração fcgi para capturar credenciais inseridas durante tentativas de login no sistema ou SSH.

Produtos e versões afetados

A vulnerabilidade, rastreada como CVE-2025-32756, afeta as seguintes versões do produto. Atualizações imediatas para as versões corrigidas especificadas são altamente recomendadas:

  • FortiVoice:
    • 7.2.0: Atualize para 7.2.1 ou superior
    • 7.0.0 a 7.0.6: Atualize para 7.0.7 ou superior
    • 6.4.0 a 6.4.10: Atualize para 6.4.11 ou superior
  • FortiRecorder:
    • 7.2.0 a 7.2.3: Atualize para 7.2.4 ou superior
    • 7.0.0 a 7.0.5: Atualize para 7.0.6 ou superior
    • 6.4.0 a 6.4.5: Atualize para 6.4.6 ou superior
  • FortiMail:
    • 7.6.0 a 7.6.2: Atualize para 7.6.3 ou superior
    • 7.4.0 a 7.4.4: Atualize para 7.4.5 ou superior
    • 7.2.0 a 7.2.7: Atualize para 7.2.8 ou superior
    • 7.0.0 a 7.0.8: Atualize para 7.0.9 ou superior
  • FortiNDR:
    • 7.6.0: Atualize para 7.6.1 ou superior
    • 7.4.0 a 7.4.7: Atualize para 7.4.8 ou superior
    • 7.2.0 a 7.2.4: Atualize para 7.2.5 ou superior
    • 7.1: Migre para uma versão corrigida
    • 7.0.0 a 7.0.6: Atualize para 7.0.7 ou superior
    • 1.1 a 1.5: Migre para uma versão corrigida
  • FortiCamera:
    • 2.1.0 a 2.1.3: Atualize para 2.1.4 ou superior
    • 2.0: Migre para uma versão corrigida
    • 1.1: Migre para uma versão corrigida

Indicadores de comprometimento e etapas de mitigação

A Fortinet forneceu indicadores de comprometimento (IOCs) em seu alerta de segurança para ajudar as organizações a detectar possíveis tentativas de exploração. Se a aplicação imediata de patches não for viável, a Fortinet recomenda desativar temporariamente a interface administrativa HTTP/HTTPS como uma medida de mitigação.

Ivanti aborda vulnerabilidades de execução remota de código no Endpoint Manager Mobile

A Ivanti divulgou um aviso de segurança abordando duas vulnerabilidades que afetam sua solução Endpoint Manager Mobile (EPMM). Essas vulnerabilidades, quando encadeadas, podem levar à execução remota de código não autenticada. A Ivanti afirmou que as vulnerabilidades estão associadas ao código de código aberto usado no EPMM, e não ao código principal da Ivanti.

Detalhes da vulnerabilidade

  • CVE-2025-4427 (Severidade Média): Esta é uma falha de desvio de autenticação com uma pontuação de severidade CVSS v3.1 de 5,3. Um invasor pode explorá-lo para contornar os mecanismos de autenticação e obter acesso não autorizado ao sistema.
  • Vulnerabilidade de Execução Remota de Código (Alta Severidade): Esta vulnerabilidade tem uma pontuação de severidade CVSS v3.1 de 7,2, indicando um alto impacto potencial. Ao explorar essa falha, um invasor pode executar código arbitrário no sistema afetado remotamente.

Produtos e versões afetados

As seguintes versões do Ivanti Endpoint Mobile Manager são afetadas por essas vulnerabilidades. Atualize para as versões mais recentes o mais rápido possível:

  • Ivanti Endpoint Mobile Manager
    • 11.12.0.4 e anterior: Atualize para 11.12.0.5 e posterior
    • 12.3.0.1 e anterior: Atualize para 12.3.0.2 e posterior
    • 12.4.0.1 e anterior: Atualize para 12.4.0.2 e posterior
    • 12.5.0.0 e anterior: Atualize para 12.5.0.1 e posterior

Estratégias de mitigação

A Ivanti aconselha fortemente os usuários a atualizar para a versão mais recente do EPMM o mais rápido possível. No entanto, o risco pode ser significativamente reduzido filtrando o acesso à API usando as ACLs do Portal integradas ou um Web Application Firewall (WAF) externo. Estas medidas podem ajudar a prevenir o acesso não autorizado e a exploração das vulnerabilidades.

En conclusión, los recientes avisos de seguridad de Microsoft, Fortinet e Ivanti resaltan la necesidad siempre presente de vigilancia y medidas de seguridad proactivas. Las organizaciones deben priorizar la aplicación de parches e implementar las soluciones alternativas recomendadas para protegerse de estas vulnerabilidades que se explotan activamente y de posibles ataques futuros. El monitoreo regular de los avisos de seguridad y la atención rápida de los riesgos identificados son componentes esenciales de una postura de seguridad sólida. Las posibles consecuencias de no abordar estas vulnerabilidades podrían ser graves, desde violaciones de datos y pérdidas financieras hasta daños a la reputación e interrupción del negocio. La colaboración entre los proveedores y la comunidad de seguridad es primordial para identificar y mitigar estas amenazas, garantizando un entorno digital más seguro para todos.

Análisis Detallado de las Vulnerabilidades Zero-Day

El panorama de la ciberseguridad se encuentra en constante evolución, y la reciente divulgación de vulnerabilidades zero-day que afectan a productos de Microsoft, Fortinet e Ivanti subraya la importancia de una gestión proactiva de la seguridad. Estas vulnerabilidades, que se explotan activamente en el mundo real, representan una amenaza significativa para las organizaciones de todos los tamaños e industrias. Para comprender mejor los riesgos y mitigar eficazmente el impacto potencial, es imperativo realizar un análisis exhaustivo de cada vulnerabilidad, las recomendaciones de mitigación y las posibles consecuencias de la no aplicación de parches.

Vulnerabilidades de Microsoft: Un Enfoque Detallado

Microsoft, un pilar en el mundo de la tecnología, ha estado lidiando con un conjunto de vulnerabilidades que exigen atención inmediata. La reciente actualización de Patch Tuesday abordó un número alarmante de falencias, incluyendo cinco que están siendo explotadas activamente y dos vulnerabilidades zero-day divulgadas públicamente.

Vulnerabilidades Explotadas Activamente

Estas vulnerabilidades son particularmente preocupantes, ya que los actores maliciosos las están aprovechando activamente para comprometer sistemas. Es crucial comprender los detalles para priorizar los esfuerzos de aplicación de parches.

  • Microsoft DWM Core Library (CVE-2025-30400): Esta vulnerabilidad en la Desktop Window Manager (DWM) Core Library podría permitir a un atacante elevar sus privilegios al nivel SYSTEM. Esto significaría que un atacante podría obtener control total sobre el sistema afectado. La severidad de esta vulnerabilidad radica en su potencial para proporcionar a los atacantes acceso sin restricciones a datos confidenciales y a la capacidad de ejecutar código malicioso.
  • Windows Common Log File System (CVE-2025-32701 y CVE-2025-32706): Dos vulnerabilidades separadas dentro del Windows Common Log File System (CLFS) podrían también permitir a un atacante obtener privilegios de nivel SYSTEM. El CLFS es un servicio de registro de propósito general utilizado por varios componentes de Windows. La explotación exitosa de estas vulnerabilidades podría resultar en la capacidad de modificar registros del sistema, inyectar código malicioso o incluso deshabilitar funciones de seguridad críticas.
  • Windows Ancillary Function Driver (CVE-2025-32709): Una vulnerabilidad en el Windows Ancillary Function Driver podría de manera similar conducir a la elevación de privilegios al nivel SYSTEM. Esta vulnerabilidad, similar a las vulnerabilidades CLFS, representa un riesgo significativo debido a su potencial para proporcionar a los atacantes acceso sin restricciones a los sistemas.
  • Microsoft Scripting Engine (CVE-2025-30397): Existe una vulnerabilidad de corrupción de memoria en el Microsoft Scripting Engine que podría permitir a un atacante ejecutar código arbitrario. Esto podría permitir a un atacante ejecutar software malicioso en el sistema afectado. Esta vulnerabilidad podría utilizarse para instalar ransomware, robar datos confidenciales o incluso convertir el sistema afectado en parte de una red de bots.

Vulnerabilidades Divulgadas Públicamente

Además de las vulnerabilidades que se explotan activamente, Microsoft también abordó dos vulnerabilidades zero-day divulgadas públicamente. Aunque actualmente no se explotan activamente, representan un riesgo potencial y deben abordarse con prontitud.

  • Microsoft Defender (CVE-2025-26685): Existe una vulnerabilidad de suplantación de identidad en Microsoft Defender que podría permitir a un atacante suplantar otra cuenta en una red adyacente. Esta vulnerabilidad podría utilizarse para obtener acceso no autorizado a datos confidenciales o para lanzar ataques contra otros usuarios de la red.
  • Visual Studio (CVE-2025-32702): Una vulnerabilidad de ejecución remota de código en Visual Studio podría permitir a un atacante no autenticado ejecutar código localmente. Esta vulnerabilidad podría utilizarse para comprometer sistemas de desarrolladores, lo que podría conducir a la inyección de código malicioso en aplicaciones de software.

Priorización de las Vulnerabilidades Críticas

Además de las falencias que se explotan activamente y se divulgan públicamente, Microsoft también ha emitido parches para seis vulnerabilidades críticas que, si bien actualmente no se sabe que se explotan, deben priorizarse para aplicar parches. Estas vulnerabilidades afectan a varios productos deMicrosoft, tales como:

  • Microsoft Office (CVE-2025-30377 y CVE-2025-30386): Se han identificado dos vulnerabilidades críticas en Microsoft Office, las cuales podrían permitir la ejecución remota de código. Estas vulnerabilidades podrían explotarse abriendo documentos maliciosos o haciendo clic en enlaces maliciosos.
  • Microsoft Power Apps (CVE-2025-47733): Se ha descubierto una vulnerabilidad crítica en Microsoft Power Apps, la cual podría conducir a un acceso no autorizado o a la ejecución de código. Esta vulnerabilidad podría utilizarse para obtener acceso a datos confidenciales almacenados en Power Apps o para ejecutar código malicioso en la plataforma.
  • Remote Desktop Gateway Service (CVE-2025-29967): Existe una vulnerabilidad crítica en el Remote Desktop Gateway Service, la cual podría permitir a un atacante comprometer el sistema. Esta vulnerabilidad podría utilizarse para obtener acceso no autorizado a redes internas.
  • Windows Remote Desktop (CVE-2025-29966): Se ha encontrado una vulnerabilidad crítica en Windows Remote Desktop, lo cual podría conducir a la ejecución remota de código. Esta vulnerabilidad podría utilizarse para tomar el control de sistemas de forma remota.

Vulnerabilidad Crítica de Fortinet: Un Análisis Profundo

Fortinet, un proveedor líder de soluciones de ciberseguridad, ha emitido un aviso de seguridad con respecto a una vulnerabilidad crítica que afecta a varios de sus productos, incluidos FortiVoice, FortiMail, FortiNDR, FortiRecorder y FortiCamera.

Impacto y Severidad

Esta vulnerabilidad, un desbordamiento de búfer basado en pila, ha recibido una puntuación de severidad CVSS v4 de 9.6 (CVSS v3.1: 9.8), lo que indica su alta severidad. La vulnerabilidad puede ser explotada de forma remota por un atacante no autenticado mediante el envío de solicitudes HTTP que contengan una cookie hash elaborada de forma especial. La explotación exitosa podría conducir a la ejecución de código arbitrario, lo que permitiría a un atacante tomar el control completo del dispositivo afectado.

Explotación Activa en FortiVoice

Fortinet ha confirmado que ha observado la explotación activa de esta vulnerabilidad en dispositivos FortiVoice. Los atacantes han estado escaneando redes de dispositivos, borrando registros de fallos del sistema y habilitando la depuración fcgi para capturar credenciales introducidas durante los intentos de inicio de sesión en el sistema o SSH. Este es un motivo de gran preocupación, ya que indica que los atacantes están apuntando activamente a sistemas vulnerables.

Productos y Versiones Afectadas

La vulnerabilidad, rastreada como CVE-2025-32756, afecta a las siguientes versiones de productos. Se recomiendan encarecidamente las actualizaciones inmediatas a las versiones fijas especificadas:

  • FortiVoice:
    • 7.2.0: Actualice a 7.2.1 o superior
    • 7.0.0 a 7.0.6: Actualice a 7.0.7 o superior
    • 6.4.0 a 6.4.10: Actualice a 6.4.11 o superior
  • FortiRecorder:
    • 7.2.0 a 7.2.3: Actualice a 7.2.4 o superior
    • 7.0.0 a 7.0.5: Actualice a 7.0.6 o superior
    • 6.4.0 a 6.4.5: Actualice a 6.4.6 o superior
  • FortiMail:
    • 7.6.0 a 7.6.2: Actualice a 7.6.3 o superior
    • 7.4.0 a 7.4.4: Actualice a 7.4.5 o superior
    • 7.2.0 a 7.2.7: Actualice a 7.2.8 o superior
    • 7.0.0 a 7.0.8: Actualice a 7.0.9 o superior
  • FortiNDR:
    • 7.6.0: Actualice a 7.6.1 o superior
    • 7.4.0 a 7.4.7: Actualice a 7.4.8 o superior
    • 7.2.0 a 7.2.4: Actualice a 7.2.5 o superior
    • 7.1: Migre a una versión fija
    • 7.0.0 a 7.0.6: Actualice a 7.0.7 o superior
    • 1.1 a 1.5: Migre a una versión fija
  • FortiCamera:
    • 2.1.0 a 2.1.3: Actualice a 2.1.4 o superior
    • 2.0: Migre a una versión fija
    • 1.1: Migre a una versión fija

Indicadores de Compromiso y Pasos de Mitigación

Fortinet ha proporcionado indicadores de compromiso (IOC) en su alerta de seguridad para ayudar a las organizaciones a detectar posibles intentos de explotación. Si la aplicación de parches inmediata no es factible, Fortinet recomienda desactivar temporalmente la interfaz administrativa HTTP/HTTPS como medida de mitigación.

Vulnerabilidades de Ivanti Endpoint Manager Mobile: Una Evaluación Completa

Ivanti ha lanzado un aviso de seguridad abordando dos vulnerabilidades que afectan a su solución Endpoint Manager Mobile (EPMM). Estas vulnerabilidades, cuando se encadenan, pueden conducir a la ejecución remota de código no autenticada.

Detalles de la Vulnerabilidad

  • CVE-2025-4427 (Gravedad Media): Se trata de una falla de derivación de la autenticación con una puntuación de severidad CVSS v3.1 de 5.3. Un atacante podría explotarla para saltarse los mecanismos de autenticación y obtener acceso no autorizado al sistema.
  • Vulnerabilidad de Ejecución Remota de Código (Alta Gravedad): Esta vulnerabilidad tiene una puntuación de severidad CVSS v3.1 de 7.2, lo que indica un alto impacto potencial. Al explotar esta falla, un atacante podría ejecutar código arbitrario en el sistema afectado de forma remota.

Productos y Versiones Afectadas

Las siguientes versiones de Ivanti Endpoint Mobile Manager se ven afectadas por estas vulnerabilidades. Actualice a las versiones más recientes lo antes posible:

  • Ivanti Endpoint Mobile Manager
    • 11.12.0.4 y anteriores: Actualice a 11.12.0.5 y posteriores
    • 12.3.0.1 y anteriores: Actualice a 12.3.0.2 y posteriores
    • 12.4.0.1 y anteriores: Actualice a 12.4.0.2 y posteriores
    • 12.5.0.0 y anteriores: Actualice a 12.5.0.1 y posteriores

Estrategias de Mitigación

Ivanti recomienda encarecidamente a los usuarios que actualicen a la versión más reciente de EPMM lo antes posible. Sin embargo, el riesgo puede reducirse considerablemente filtrando el acceso a la API mediante las ACL de portal integradas o un firewall de aplicaciones web (WAF) externo. Estas medidas pueden ayudar a prevenir el acceso no autorizado y la explotación de las vulnerabilidades.

Consecuencias de la No Aplicación de Parches y el Imperativo de la Mitigación

No abordar estas vulnerabilidades puede tener consecuencias desastrosas para las organizaciones. Los posibles impactos incluyen:

  • Violaciones de Datos: Los atacantes podrían obtener acceso no autorizado a datos confidenciales, como información de identificación personal (PII), datos financieros y propiedad intelectual.
  • Pérdidas Financieras: Las violaciones de datos pueden dar lugar a importantes pérdidas financieras, incluidas las costas legales, las multas regulatorias y el gasto asociado con la restauración de la privacidad de los datos.
  • Daño a la Reputación: Una violación de seguridad puede dañar la reputación de una organización, lo que conduce a una pérdida de confianza de los clientes y a ingresos reducidos.
  • Interrupción del Negocio: Los atacantes podrían interrumpir las operaciones del negocio mediante el despliegue de ransomware o la realización de ataques de denegación de servicio (DoS).

Para mitigar estos riesgos, las organizaciones deben tomar las siguientes medidas:

  • Aplicar Parches con Prontitud: Aplique parches de seguridad facilitados por Microsoft, Fortinet e Ivanti lo antes posible.
  • Implementar Soluciones Alternativas: Si la aplicación de parches inmediata no es factible, implemente las soluciones alternativas recomendadas por los proveedores.
  • Supervisar los Sistemas: Supervise los sistemas en busca de cualquier signo de explotación.
  • Implementar un Firewall de Aplicaciones Web (WAF): Implemente un WAF para protegerse de los ataques basados en la web.
  • Realizar Evaluaciones de Seguridad con Regularidad: Realizaciones evaluaciones de seguridad con regularidad para identificar y abordar posibles vulnerabilidades.

Conclusión: Un Llamado a la Acción para una Ciberseguridad Proactiva

Los recientes avisos de seguridad de Microsoft, Fortinet e Ivanti resaltan la necesidad siempre presente de vigilancia y medidas de seguridad proactivas. Las organizaciones deben priorizar la aplicación de parches e implementar las soluciones alternativas recomendadas para protegerse de estas vulnerabilidades que se explotan activamente y de posibles ataques futuros. El monitoreo regular de los avisos de seguridad y la atención rápida de los riesgos identificados son componentes esenciales de una postura de seguridad sólida. Las posibles consecuencias de no abordar estas vulnerabilidades podrían ser graves, desde violaciones de datos y pérdidas financieras hasta daños a la reputación e interrupción del negocio. La colaboración entre los proveedores y la comunidad de seguridad es primordial para identificar y mitigar estas amenazas, garantizando un entorno digital más seguro para todos.

actualizado el 2025-05-16

# GPT# RAG# Microsoft
Artículo anterior
Anthropic dota a Claude con Búsqueda Web
Artículo siguiente
DeepSeek AI: Riesgos en Hospitales Chinos