Semana de alto impacto: los agentes de IA en CI/CD como nuevo vector de ataque, dos firewalls corporativos de primer nivel con bypasses de VPN activos, el Patch Tuesday más denso del año y un grupo de extorsión que lleva 14 días dentro de sistemas universitarios antes de que el proveedor publique el advisory. El resumen que necesitas antes del fin de semana.

Las cuatro noticias de la semana

🔴 La GitHub Action de Claude Code exponía los secrets de tu pipeline CI/CD mediante prompt injection

Microsoft Threat Intelligence descubrió y divulgó responsablemente una vulnerabilidad en la GitHub Action oficial de Claude Code: un atacante podía insertar instrucciones ocultas en un comentario HTML de un issue o PR — invisible para el revisor humano, visible para el modelo — y hacer que el agente de IA leyera /proc/self/environ del runner de CI/CD, donde viven las API keys, tokens de GitHub, credenciales de AWS y cualquier secret del workflow. El parche está disponible desde el 5 de mayo en Claude Code 2.1.128. Microsoft introduce la “Agents Rule of Two”: ningún workflow de IA debería tener simultáneamente input no confiable, secrets sensibles y capacidad de actuar externamente.

→ Qué debes hacer: Actualizar la GitHub Action a v1.0.94+ y Claude Code a 2.1.128+. Auditar todos los workflows que usen agentes de IA contra la Agents Rule of Two. Análisis completo →

🔴 Check Point VPN CVE-2026-50751: bypass de autenticación IKEv1 activo desde mayo con un afiliado de Qilin dentro

Un fallo lógico en la validación de certificados del protocolo IKEv1 (de 1998, aún activo en miles de entornos por compatibilidad heredada) permite a un atacante remoto no autenticado establecer una sesión VPN sin contraseña. Los ataques comenzaron el 7 de mayo — un mes antes del advisory público — y uno de los casos está vinculado a un afiliado de Qilin, el mismo grupo que atacó Ahorramas. Hotfixes disponibles para versiones soportadas. Versiones R81.10, R81 y R80.40 son EOL y no recibirán parche.

→ Qué debes hacer: Verificar si IKEv1 está habilitado en SmartConsole. Aplicar el hotfix de emergencia. Si no puedes, deshabilitar IKEv1 y requerir IKEv2 únicamente. Revisar logs VPN desde el 7 de mayo. Análisis completo →

🔴 Patch Tuesday junio 2026: 200 vulnerabilidades, kernel Windows wormable (CVSS 9.8) y parche definitivo para Exchange CVE-2026-42897

El mayor Patch Tuesday del año: 200+ vulnerabilidades, 6 zero-days y 33 críticas. El highlight es CVE-2026-45657, un RCE en el kernel de Windows con CVSS 9.8 que Zero Day Initiative clasifica como potencialmente wormable — mismo patrón técnico que EternalBlue. Además: CVE-2026-47291 (HTTP.sys RCE, CVSS 9.8, “explotación más probable” con mitigación temporal disponible), CVE-2026-44815 (DHCP Client RCE, CVSS 9.8) y por fin el parche permanente para Exchange CVE-2026-42897, el zero-day activo desde mayo.

→ Qué debes hacer: Prioridad máxima esta semana: CVE-2026-41091 (Defender, explotado activamente), CVE-2026-45657 (kernel wormable), CVE-2026-47291 (HTTP.sys, mitigación disponible). Aplicar parche definitivo de Exchange. Análisis completo →

🔴 ShinyHunters explotó Oracle PeopleSoft CVE-2026-35273 como zero-day 14 días antes del advisory: 100+ organizaciones, 68% universidades

Mandiant y Google GTIG confirman que ShinyHunters (UNC6240) explotó un RCE sin autenticación (CVSS 9.8) en el componente Environment Management Hub de Oracle PeopleSoft desde el 27 de mayo hasta el 9 de junio. Oracle publicó el advisory el día 10, cuando los ataques ya habían concluido. Más de 100 organizaciones comprometidas, el 68% universidades. Entre ellas, la Universidad de Nottingham con 500.000 registros de estudiantes. Es el mismo grupo que atacó Canvas/Instructure en mayo.

→ Qué debes hacer: Verificar si /PSEMHUB/* está accesible desde internet y bloquearlo inmediatamente. Aplicar el parche de Oracle (My Oracle Support). Revisar logs desde el 27 de mayo y buscar tráfico SMB saliente en puerto 445. Análisis completo →

Apolo Cybersecurity: tu aliado semanal en ciberseguridad

Cada viernes analizamos las noticias que realmente importan para la seguridad de tu organización. Si quieres saber cómo está expuesta tu empresa frente a alguna de estas amenazas, estamos a un clic.

__wf_reserved_inherit
Prev Post
Next Post

¿Tienes dudas? ¡Estamos encantados de ayudarte!

¡CONTÁCTANOS HOY!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalidad: Responder a tu mensaje y almacenaje en base de datos para gestionar tu solicitud.
Legitimación: Consentimiento del interesado al enviar el formulario.
Destinatarios: No se cederán datos a terceros, salvo obligación legal.
Derechos: Puedes ejercer tus derechos de acceso, rectificación y supresión, entre otros, enviando un correo a secretaria@apolocybersecurity.Com.
Información adicional: Puedes consultar la información completa en nuestra Política de Privacidad.

¡Gracias !

Su mensaje a sido recibido correctamente.
Oops! Algo a ido mal a la jora de enviar el formulario.
te esperamos!
agenda una llamada
Project photo
Envíanos un mail
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
FAQScontactoTÉRMINOS Y CONDICIONESTrabaja con Nosotros
Acelerados por:
Certificaciones:
Light Eyes forma parte de Apolo Cybersecurity
Aviso legalpolítica de privacidadCookiespolítica seguridad de la información
Privacy Settings
Copyright © 2025 Apolo Cybersecurity