← Volver al blog de seguridad
Informe de seguridad 4 de marzo de 2026 8 min de lectura

Exploit de VMware descontrolado, oleada de phishing OAuth y brecha en LexisNexis

CISA señala la RCE de VMware Aria Operations como activamente explotada. Microsoft expone un sofisticado ataque de redirección OAuth que elude la MFA. LexisNexis confirma que hackers robaron 2GB de datos incluyendo registros de empleados gubernamentales. Además: AkzoNobel golpeado por el ransomware Anubis y campañas de falso soporte técnico despliegan el C2 Havoc.


🔴 Crítico: VMware Aria Operations bajo ataque activo

CVE-2026-22719 — PARCHEE INMEDIATAMENTE

CISA ha añadido una vulnerabilidad de inyección de comandos de VMware Aria Operations a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). La falla permite a atacantes no autenticados ejecutar comandos arbitrarios, llevando a una ejecución remota de código completa.

Puntuación CVSS: 8.1 (Alta)  |  Fecha límite: 24 de marzo de 2026 para agencias federales

La vulnerabilidad existe en el componente de servicio de migración de VMware Aria Operations. Durante la migración de producto asistida por soporte, un actor no autenticado puede inyectar comandos que se ejecutan como root mediante una mala configuración de sudoers en vmware-casa-workflow.sh.

Broadcom publicó parches el 24 de febrero junto con un script de solución temporal (aria-ops-rce-workaround.sh) que desactiva los componentes de migración vulnerables. La empresa reconoció informes de explotación activa pero declaró que «no puede confirmar independientemente su validez».

También parcheado en VMSA-2026-0001:

CVETipoImpacto
CVE-2026-22719Inyección de comandosRCE no autenticada
CVE-2026-22720XSS almacenadoSecuestro de sesión
CVE-2026-22721Escalada de privilegiosAcceso de administrador

🟠 Abuso de redirección OAuth: eludiendo la MFA a escala

Los investigadores de Microsoft Defender han descubierto una campaña sofisticada donde actores de amenazas abusan del mecanismo legítimo de redirección OAuth 2.0 para eludir las protecciones de phishing de correo electrónico y navegador. Los ataques se dirigen principalmente a organizaciones gubernamentales y del sector público.

Cómo funciona el ataque:

  1. Entrega del señuelo: Correos de phishing disfrazados de solicitudes de firma electrónica, avisos de la SSA o invitaciones a reuniones contienen URLs de redirección OAuth
  2. Fallo de autenticación silencioso: Los atacantes registran aplicaciones OAuth maliciosas con alcances inválidos y prompt=none, forzando errores de autenticación
  3. Secuestro de redirección: El proveedor de identidad redirige a las víctimas a la URI de redirección controlada por el atacante
  4. Robo de credenciales: Los frameworks de interceptación EvilProxy capturan cookies de sesión, eludiendo la MFA

En algunas variantes, las víctimas son redirigidas a una ruta /download que entrega automáticamente archivos ZIP con ficheros .LNK maliciosos. Estos lanzan PowerShell para reconocimiento antes de que la carga lateral de DLL despliegue la carga final.

Punto clave: Este ataque abusa del comportamiento previsto en el framework OAuth. El mecanismo de manejo de errores funciona exactamente como lo especifica el estándar — los atacantes simplemente convierten el flujo de redirección en un arma.


🔴 Brecha en LexisNexis: datos gubernamentales expuestos

El gigante de datos legales LexisNexis Legal & Professional ha confirmado que hackers vulneraron su infraestructura AWS el 24 de febrero explotando la vulnerabilidad React2Shell en una aplicación frontend React sin parchear.

El actor de amenazas «FulcrumSec» filtró 2GB de datos estructurados de la brecha, reclamando acceso a:

LexisNexis declaró que los datos comprometidos eran «principalmente datos heredados y obsoletos de antes de 2020» y no incluían números de seguridad social, información financiera ni contraseñas activas. La empresa afirma que la intrusión ha sido contenida.


🟠 El ransomware Anubis golpea a AkzoNobel

El gigante holandés de pinturas y revestimientos AkzoNobel (más de $12.000M en ingresos, 35.000 empleados, más de 150 países) confirmó una brecha de red en uno de sus sitios en EE.UU. La banda de ransomware Anubis afirma haber exfiltrado 170GB de datos incluyendo:

Anubis, una operación RaaS activa desde diciembre de 2024, ofrece a los afiliados el 80% de los pagos de rescate y añadió una capacidad destructiva de borrado de datos a mediados de 2025.


🟡 Falso soporte técnico despliega el framework C2 Havoc

Investigadores de Huntress identificaron una campaña en cinco organizaciones donde atacantes se hacen pasar por personal de soporte técnico para desplegar el framework de mando y control Havoc. El modus operandi replica fielmente las tácticas utilizadas por antiguos afiliados del ransomware Black Basta:

  1. Bombardear la bandeja de entrada del objetivo con spam
  2. Llamar haciéndose pasar por soporte técnico ofreciendo ayuda
  3. Desplegar cargas Havoc Demon y herramientas RMM legítimas
  4. Moverse lateralmente — en un caso, 9 endpoints comprometidos en 11 horas

La velocidad del movimiento lateral sugiere objetivos finales de exfiltración de datos o despliegue de ransomware.


📊 Más titulares de un vistazo

NoticiaImpacto
Ataques iraníes a centros de datos AWS en EAUVulnerabilidad de infraestructura física expuesta; dos instalaciones alcanzadas directamente
Brecha en el Centro de Cáncer de la Universidad de Hawái1,2 millones de personas afectadas; SSN, datos de salud, registros electorales robados
Avance cuántico en RSANuevo algoritmo sugiere que el descifrado RSA es factible antes de lo esperado
Zero-day de Android Qualcomm parcheadoDesbordamiento de enteros en componente gráfico provoca corrupción de memoria
SloppyLemming apunta a Pakistán y BangladeshCadenas de malware duales dirigidas a infraestructura gubernamental
Caída mundial de FacebookCuentas no disponibles globalmente el 3 de marzo

Cómo Kensai te protege

Monitoreo de CVE en tiempo real — CVE-2026-22719 indexado y señalado a las pocas horas de su adición al KEV

Detección de ataques OAuth — Monitoreo de registros de aplicaciones OAuth sospechosas y patrones de redirección

Escaneo de infraestructura cloud — Detección de React2Shell y vulnerabilidades similares antes que los atacantes

Preparación anti-ransomware — Gestión continua de exposición contra amenazas como Anubis RaaS


Acciones recomendadas

  1. Inmediato: Parchee VMware Aria Operations o aplique el script de solución para CVE-2026-22719
  2. Inmediato: Audite los registros de aplicaciones OAuth en su tenant de Entra ID
  3. Hoy: Verifique los frontends React/Node.js para la vulnerabilidad React2Shell
  4. Esta semana: Revise las políticas de acceso condicional y restrinja el consentimiento de aplicaciones OAuth
  5. Continuo: Capacite al personal sobre tácticas de ingeniería social de falso soporte técnico

Proteja su organización con Kensai

Gestión de vulnerabilidades impulsada por IA con más de 335.000 CVE indexados.

Prueba gratuita

Manténgase seguro. Manténgase vigilante.

🗡️ Equipo de seguridad KENSAI

🛡️ Proteja su negocio

Obtenga un escaneo de seguridad gratuito de su sitio web en 60 segundos

Escaneo de seguridad gratuito →
📚 Más artículos 🏠 Inicio