Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
CAT
CAT
%402x.svg){kind=icon}
Setmana amb tres lectures que van mes enlla del CVE de torn: una campanya massiva sense pedac perque el problema son les contrasenyes que mai es van rotar, un organisme governamental de primer nivell que avisa que l'adopcio de la IA en el desenvolupament va massa rapid, i una investigacio que demostra que els fitxers .yml de GitHub Actions son codi de seguretat critic que quasi ningú tracta com a tal. El resum que necessites abans del cap de setmana.
🔴 FortiBleed: actors russos van comprometre 86.644 firewalls Fortinet amb credencials mai rotades i la CISA emet alerta urgent
Investigadors van descobrir la infraestructura activa d'un grup de parla russa que havia executat 1.160 milions d'intents d'autenticacio contra mes de 320.000 dispositius FortiGate. Resultat: 86.644 credencials verificades a 194 paisos. El 64,3% corresponen a comptes d'administrador generics o comptes integrades de Fortinet mai reanomenades des de fabrica. La CISA va emetre alerta urgent el 19 de juny. No hi ha CVE a resoldre amb un pedac: el problema es operatiu.
→ Què has de fer: Finalitzar totes les sessions VPN actives. Rotar totes les contrasenyes d'administracio. Verificar PBKDF2 en versions 7.2.11, 7.4.8 i 7.6.1 o superiors. Bloquejar l'accés extern a la interficie de gestio. Anàlisi completa →
🔴 El NCSC adverteix: el codi generat amb IA sense supervisio pot convertir-se en el major vector de vulnerabilitats de 2026
El National Cyber Security Centre del Regne Unit va publicar una advertencia formal sobre el vibe coding. La taxa de defectes per linia de codi no ha millorat amb el temps, pero el vibe coding multiplica el volum total de codi en produccio. El resultat es codi funcional amb deute de seguretat invisible. L'advertencia connecta directament amb Cordyceps: els agents d'IA que generen configuracions CI/CD reprodueixen els mateixos patrons insegurs a escala.
→ Què has de fer: Calibrar el nivell de supervisio segons el risc del sistema. El desenvolupador ha d'entendre el codi abans de desplegar-lo. Per a agents en CI/CD, aplicar la Agents Rule of Two de Microsoft. Anàlisi completa →
🔴 Cordyceps: la nova classe de vulnerabilitat CI/CD a GitHub que qualsevol compte gratuit pot explotar per comprometre repositoris de Microsoft, Google, Apache i Cloudflare
Novee Security va publicar la investigacio completa sobre Cordyceps, una classe sistematica de vulnerabilitats als workflows de GitHub Actions. No es un CVE d'una eina concreta: es un patro de composicio insegura entre workflows que els escaneadors tradicionals no detecten. De les 30.000 repositoris escanejats, mes de 300 van resultar completament explotables. A Microsoft Azure Sentinel, un comentari en un PR robava una GitHub App key sense expiracio. A Google, un PR atorgava el rol roles/owner. A Python Black (130 milions d'instal·lacions mensuals), qualsevol PR permetia falsificar aprovacions i emmetzinar les imatges Docker oficials.
→ Què has de fer: Tractar els fitxers .yml de GitHub Actions com a codi critic de seguretat. Auditar tots els workflows per inputs de PR interpolats en comandaments de shell. Actualitzar actions/checkout. Rotar tots els tokens i secrets. Anàlisi completa →
Cada divendres analitzem les notícies que realment importen per a la seguretat de la teva organitzacio. Si vols saber com esta exposada la teva empresa, estem a un clic.
