Aumentan las amenazas: vulnerabilidades en FortiGate y Citrix
Publicado el
Aumento de amenazas cibernéticas
El reciente boletín de ThreatsDay pone de manifiesto un incremento en las amenazas cibernéticas, con un enfoque particular en la explotación de vulnerabilidades en FortiGate y Citrix. La situación señala un entorno de riesgo creciente que requiere atención inmediata de los profesionales de ciberseguridad.
Ransomware como Servicio: The Gentlemen
La operación de ransomware conocida como The Gentlemen ha sido identificada como una de las principales amenazas. Este grupo, compuesto por alrededor de 20 miembros, ha surgido tras una disputa de pagos en el foro cibernético RAMP. Utilizan la vulnerabilidad CVE-2024-55591, que permite eludir la autenticación en FortiOS/FortiProxy, para acceder a dispositivos vulnerables. Se informa que mantienen una base de datos con aproximadamente 14,700 dispositivos FortiGate ya comprometidos y 969 credenciales de VPN listas para ser utilizadas en ataques.
Adicionalmente, aplican técnicas de evasión de defensa como el BYOVD (bring your own vulnerable driver) para finalizar procesos de seguridad en el nivel del kernel. Desde su aparición en julio/agosto de 2025, han atacado a unas 94 organizaciones.
Vulnerabilidades en BMC FootPrints
Se han descubierto múltiples vulnerabilidades en BMC FootPrints, una solución de gestión de servicios de TI ampliamente utilizada. Las vulnerabilidades CVE-2025-71257, CVE-2025-71258, CVE-2025-71259 y CVE-2025-71260 pueden encadenarse para lograr ejecución remota de código sin autenticación. El ataque comienza con la elusión de autenticación que permite extraer un token de sesión de invitado, el cual puede ser utilizado para llegar a un punto de deserialización Java no sanitizado. Esto permite la escritura de archivos arbitrarios y, en consecuencia, acceso completo al sistema.
Malware C2: SnappyClient
El Hijack Loader se está utilizando para implementar un nuevo marco de comando y control (C2) llamado SnappyClient. Este malware, desarrollado en C++, posee capacidades que incluyen la captura de pantallas, registro de teclas y robo de datos de navegadores. SnappyClient emplea varias técnicas de evasión para evitar la detección por parte de la seguridad de los endpoints, como el bypass de AMSI y las llamadas directas al sistema.
Se ha asociado su distribución con sitios web que suplantan a la empresa de telecomunicaciones española Telefónica, siendo el robo de criptomonedas su principal objetivo.
Abuso de enlaces profundos en CursorJack
Una nueva técnica llamada CursorJack explota enlaces profundos del protocolo Model Context Protocol (MCP) para permitir la ejecución de comandos locales o la instalación de un servidor MCP remoto malicioso. El ataque se basa en que los servidores MCP suelen especificar un comando en su configuración JSON. Con un simple clic y la aceptación del usuario, se podría ejecutar un comando arbitrario o instalar un servidor malicioso.
Campañas masivas contra vulnerabilidades de Citrix
Por último, se ha lanzado una nueva campaña que apunta a las vulnerabilidades conocidas en Citrix NetScaler (CVE-2025-5777 y CVE-2023-4966). Se han registrado más de 500 intentos de explotación en un corto periodo, lo que subraya la necesidad de que las organizaciones mantengan sus sistemas actualizados y apliquen parches de seguridad de inmediato.
Este panorama resalta la importancia de la vigilancia continua y la implementación de medidas de seguridad robustas para mitigar los riesgos asociados a estas amenazas emergentes.