El patrón feo de esta mañana es un colapso de confianza a escala: paneles de hosting, flujos OAuth, supuestos de memoria en Linux y plataformas educativas muestran al mismo tiempo cómo la infraestructura “normal” se vuelve ruta de ataque.
En una línea: Cuatro historias importan ahora: los servidores cPanel están siendo golpeados tan rápido que CISA fijó una fecha límite federal; ConsentFix v3 industrializa el robo de tokens de Azure; Copy Fail deja a una enorme base Linux a un paso local de root; e Instructure todavía intenta medir el impacto de un nuevo incidente.
CVE-2026-41940 ya no es algo para parchear después. Los atacantes están explotando en masa el bypass de autenticación de cPanel y WHM, y BleepingComputer informa que ya se usa para desplegar el ransomware Linux Sorry. The Record dice que CISA ordenó a las agencias federales corregir antes del 3 de mayo; eso deja claro el nivel de urgencia.
ConsentFix ya era peligroso porque abusaba de un flujo legítimo de autorización de Microsoft en lugar de robar contraseñas. La versión 3 añade automatización: validación del tenant, perfilado de víctimas, infraestructura de phishing, intercambio de tokens en tiempo real mediante Pipedream y acceso posterior más rápido a recursos de Microsoft. Aquí MFA no es manta de seguridad.
Copy Fail, identificado como CVE-2026-31431, afecta a las principales distribuciones Linux publicadas desde 2017 y puede dar root a un usuario con pocos privilegios. Peor aún, también puede facilitar escapes de contenedores en hosts afectados. Theori lo encontró con análisis asistido por IA, CERT-EU pidió parcheo rápido y el alcance de plataforma es tan grande que debe ir al tope de la lista del fin de semana.
Instructure divulgó un nuevo incidente de ciberseguridad y dijo que sigue investigando el impacto con apoyo forense externo. El mantenimiento de Canvas Data 2 y Canvas Beta, junto con avisos sobre herramientas dependientes de claves API, basta para volver esto operativamente relevante incluso antes de conocer todos los hechos. Estas plataformas guardan enormes volúmenes de datos de estudiantes y personal; la ambigüedad aquí ya es riesgo.
En resumen: Hoy no se trata de un único zero-day vistoso. Se trata de infraestructura rutinaria demostrando que los atajos de confianza no sobreviven al contacto con atacantes motivados.
KENSAI ayuda a los equipos a descubrir rutas administrativas expuestas, flujos de identidad riesgosos y puntos débiles de infraestructura antes de que se conviertan en ransomware, robo de tokens o compromiso total del host.
Iniciar escaneo gratuito →Manténganse afilados.
🗡️ Equipo de Seguridad KENSAI