Alberto Chung

🚨 ALERT - A critical Splunk Enterprise flaw can go from “no login required” to remote code execution. Tracked as CVE-2026-20253, the bug carries a 9.8 CVSS score and affects vulnerable Splunk Enterprise servers through exposed PostgreSQL sidecar endpoints. The exploit chain is now public. Read the full story: https://t.co/arMFjVVt10

🛡️ Oracle PeopleSoft sigue sin parche de seguridad Oracle PeopleSoft es un sistema usado para RH, nómina, finanzas, compras y administración escolar. Si una plataforma así se compromete, el impacto llega a empleados, proveedores, pagos y expedientes. El riesgo crece porque la falla ya está siendo explotada. ShinyHunters afirma haber atacado a más de 100 organizaciones. El sector educativo fue el más afectado, pero la lección aplica a cualquier empresa con sistemas administrativos críticos. Un servidor expuesto puede convertirse en fuga de datos y presión pública. ⚠️ ¿Y luego qué pasó? ShinyHunters explotó CVE-2026-35273 en Oracle PeopleSoft PeopleTools. Una CVE es el número público que identifica una vulnerabilidad. PeopleTools es el conjunto de herramientas que soporta PeopleSoft. La falla permite ejecución remota de código, que significa mandar instrucciones al servidor desde internet sin usuario ni contraseña. Oracle publicó medidas de mitigación, pero la nota indica que aún no había parche disponible. Una mitigación es una acción temporal para reducir riesgo mientras llega la corrección definitiva. La Universidad de Nottingham, una institución del Reino Unido, confirmó robo de datos de estudiantes. 💡 ¿Qué deben hacer? Pidan a TIC confirmar si usan PeopleSoft o PeopleTools. Revisen si el sistema está visible en internet. Apliquen las mitigaciones de Oracle de inmediato. Monitoreen accesos raros, archivos nuevos y notas de extorsión. Cambien contraseñas y llaves administrativas.

🛡️ Cisco SD-WAN atacado: así pueden cambiar la configuración de tu red Cisco reportó otra falla explotada en Catalyst SD-WAN Manager. SD-WAN es la tecnología que conecta sucursales, centros de datos y nube desde una consola central. Si esa consola se compromete, el atacante puede afectar rutas, accesos y conectividad de varias sedes. ⚠️ ¿Qué pasó? La vulnerabilidad CVE-2026-20245 ya fue explotada en casos limitados. Una CVE es el número público que identifica una falla de seguridad. El problema está en la CLI, la interfaz de comandos usada por administradores para operar equipos. Cisco observó casos donde el ataque terminó empujando cambios de configuración hacia equipos de borde. Un equipo de borde es el dispositivo que conecta una sucursal o red local con el resto de la empresa. Aunque la falla requiere acceso autenticado, eso no la vuelve menor. Los atacantes suelen encadenar robo de credenciales, errores de configuración y fallas previas para llegar a control administrativo. Este ya sería el séptimo bug de Cisco SD-WAN explotado este año. La lección para negocios con varias sedes es clara: la red central también necesita vigilancia continua. 💡 ¿Qué deben hacer? Pidan a TIC confirmar si usan Cisco Catalyst SD-WAN Manager. Sigan el aviso de Cisco y apliquen software corregido cuando esté disponible. Revisen cambios recientes enviados a equipos de sucursal. Limiten acceso administrativo por VPN, MFA y cuentas autorizadas. Monitoreen rutas, políticas y configuraciones fuera de horario. Traten SD-WAN como infraestructura crítica, no como equipo “de red normal”.

🚨 Drupal released security updates for a highly critical Core flaw affecting PostgreSQL-backed sites. https://t.co/7kd0AoNKCV Anonymous users can exploit it to trigger information disclosure, privilege escalation, remote code execution, or other attacks. Check if you're affected.

⚠️Claude Code's Network Sandbox Vulnerability Exposes User Credentials and Source Code Source: https://t.co/bqHLfsSJCw Anthropic’s Claude Code AI coding assistant harbored a critical network sandbox bypass for over five months, allowing attackers to exfiltrate credentials, source code, and environment variables from developer systems, and the company issued no public advisory for either incident. A second complete bypass of Claude Code’s network sandbox, marking what he describes as a consistent implementation failure rather than an isolated bug. The vulnerability, a SOCKS5 hostname null-byte injection, affected every Claude Code release from v2.0.24 (sandbox GA on October 20, 2025) through v2.1.89, spanning approximately 130 published versions over roughly 5.5 months. #cybersecuritynews

GitHub ha confirmado un incidente de seguridad grave. Resumen rápido: • Comprometieron el dispositivo de un empleado. • La vía habría sido una extensión de VS Code maliciosa. • Desde ahí accedieron y exfiltraron repositorios internos de GitHub. • La cifra que circula es de unos 3.800 repos internos, y GitHub dice que encaja con su investigación inicial. • De momento no hablan de repos privados de usuarios afectados. • Ya aislaron el equipo, retiraron la extensión maliciosa y están rotando secretos/credenciales críticas. • Siguen investigando logs y prometen informe más completo. No parece un “han hackeado GitHub entero”, sino un ataque contra herramientas de desarrollo. Bastante serio igualmente, porque una extensión de VS Code puede tener acceso a archivos, terminal, tokens, etc.

🛡️ Un falso soporte puede vaciar tu nube empresarial Microsoft alertó sobre ataques contra Microsoft 365 y Azure usando funciones legítimas. El atacante no entró “vulnerando” sistemas. Engañó a usuarios con privilegios para tomar sus cuentas y robar información sensible. ⚠️ ¿Qué pasó? Según BleepingComputer, Microsoft rastrea al atacante como Storm-2949. El grupo abusó de SSPR, la función de autoservicio para restablecer contraseñas. Es decir, el atacante iniciaba el cambio de contraseña y llamaba o escribía fingiendo ser soporte de TI. Luego convencía a la víctima de aprobar el MFA, el segundo factor de autenticación. Con eso cambiaba la contraseña, quitaba controles de seguridad y registraba Microsoft Authenticator en su propio dispositivo. Después usaba Microsoft Graph API, una vía técnica para consultar datos de Microsoft 365. Y y scripts en Python para revisar usuarios, permisos, aplicaciones y accesos. También entraba a OneDrive, SharePoint y Azure para buscar configuraciones de VPN, llaves, bases de datos, servidores y secretos en Key Vault. Key Vault es una bóveda digital donde se guardan contraseñas y llaves de sistemas. El objetivo era extraer la mayor cantidad posible de datos críticos. 💡 ¿Qué deben hacer? Pidan a TIC proteger SSPR con reglas estrictas y alertas. Exijan MFA resistente a phishing para administradores y dirección. Capaciten al equipo: soporte nunca debe pedir aprobar MFA “urgente”. Revisen permisos altos en Azure y eliminen accesos innecesarios. Activen alertas por descargas masivas en OneDrive y SharePoint. Monitoreen cambios en Key Vault, firewalls, cuentas admin y herramientas remotas.

🛡️ Hackers Abuse Microsoft Entra ID Accounts to Exfiltrate Microsoft 365 and Azure Data Source: https://t.co/QmCHJQioP9 A threat actor known as Storm-2949 has launched a sophisticated, multi-layered cloud attack campaign targeting Microsoft Entra ID accounts to steal sensitive data from Microsoft 365 and Azure environments. What makes this attack stand out is that it did not rely on traditional malware or device-level exploits. Instead, the attackers used legitimate Microsoft cloud management tools and administrative features to silently move through an organization’s entire cloud infrastructure. #cybersecuritynews

⚠️ Critical Linux Kernel Flaw ‘ssh-keysign-pwn’ Exposes SSH Keys and Shadow Passwords Source: https://t.co/wzp6CCp2lT A newly disclosed Linux kernel vulnerability is raising serious concerns across the security community, as it allows attackers to access highly sensitive data, including SSH private keys and password hashes, on affected systems. Tracked as CVE-2026-46333, the flaw has been nicknamed “ssh-keysign-pwn” and impacts a wide range of Linux distributions. The GitHub PoC ssh-keysign-pwn demonstrates exactly how to weaponize this race condition on pre‑31e62c2ebbfd kernels. #cybersecuritynews #Linux

🛡️ Una falla en Cisco puede abrir toda la red empresarial Cisco alertó sobre una falla crítica en Catalyst SD-WAN Controller y Manager. Estas plataformas administran conexiones entre sucursales, centros de datos y nube. Para un negocio, si alguien toma esa consola, puede influir en el tráfico, las políticas y la conectividad de toda la empresa. ⚠️ ¿Qué pasó? Atacantes están explotando la vulnerabilidad CVE-2026-20182 en productos Cisco SD-WAN. Una CVE es el identificador público de una falla de seguridad. La vulnerabilidad permite bypass de autenticación, que significa saltarse el inicio de sesión. Rapid7 explicó que el atacante puede hacerse pasar por un router confiable y obtener privilegios administrativos. Un router es el equipo que dirige el tráfico entre redes. La falla afecta despliegues locales, en nube y ambientes FedRAMP, que es un estándar usado por agencias de gobierno de Estados Unidos para servicios en la nube. Cisco Talos vinculó los ataques al grupo UAT-8616 y advirtió que hay explotación activa. El impacto empresarial puede incluir redirección de tráfico, espionaje de comunicaciones, cambios maliciosos de configuración o caída de conectividad entre oficinas. 💡 ¿Qué deben hacer? Pidan a TIC confirmar si usan Cisco Catalyst SD-WAN Controller o Manager. Apliquen el parche de Cisco para CVE-2026-20182. Revisen si hay cambios recientes en rutas, políticas o configuraciones. Validen que no existan cuentas, llaves SSH o accesos administrativos desconocidos. Limiten el acceso a la consola SD-WAN por VPN, MFA y redes autorizadas. Monitoreen tráfico raro entre sucursales, nube y centro de datos. 📩 Cierre

Nueva vulnerabilidad escalada local de privilegios (LPE) en Linux DirtyDecrypt (o DirtyCBC) es una vulnerabilidad de escalamiento de privilegios local en Linux que permite obtener acceso de root DirtyDecrypt pertenece a la misma clase de vulnerabilidades que otros fallos de escalada de privilegios revelados en las últimas semanas, entre los que se incluyen Dirty Frag, Fragnesia y Copy Fail. https://t.co/QjTIvuYX1d

⚠️Hackers Actively Exploiting Critical NGINX RCE Vulnerability in the Wild Source: https://t.co/7FVnJNpPPW Hackers are wasting no time exploiting a newly disclosed critical vulnerability in NGINX, with security researchers already observing real-world attacks just days after its public release. Threat actors are actively targeting CVE-2026-42945, a heap buffer overflow flaw affecting both NGINX Open Source and NGINX Plus. According to Censys data, around 5.7 million internet-facing NGINX servers could be running vulnerable versions. #cybersecuritynews