Se descubre vulnerabilidad crítica de día cero en gateways VPN empresariales, lo que exige parches urgentes para los administradores

critical VPN gateway vulnerabilities 2026 CISA emergency directive CVE-2026-11374 ransomware attack trends ManageEngine AD360 vulnerability
J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 
25 de junio de 2026
4 min de lectura
Se descubre vulnerabilidad crítica de día cero en gateways VPN empresariales, lo que exige parches urgentes para los administradores

TL;DR

• CISA emitió una directiva de emergencia para parchear fallas explotadas en VPN de Check Point. • El ransomware Qilin está atacando activamente gateways VPN para vulnerar redes corporativas. • La vulnerabilidad CVE-2026-11374 en ManageEngine AD360 permite la suplantación de cuentas no autorizada. • Los administradores deben priorizar la aplicación de parches en estos dispositivos de borde de inmediato.

Se descubre vulnerabilidad crítica de día cero en gateways VPN empresariales, lo que exige parches urgentes para los administradores

Los equipos de seguridad se enfrentan actualmente a una amenaza doble. Entre las agencias federales y la empresa privada, la carrera por asegurar la infraestructura de red ha alcanzado un punto crítico. CISA ha emitido una directiva de emergencia —de esas que quitan el sueño a los administradores de sistemas— que exige a todas las agencias federales aplicar un parche a una vulnerabilidad de alta gravedad en los gateways VPN de Check Point. ¿La razón? Porque los grupos de ransomware ya están entrando por la puerta principal.

Al mismo tiempo, tenemos una peligrosa vulnerabilidad de secuestro de cuentas, registrada como CVE-2026-11374, acechando en la suite ManageEngine AD360. Es una mala semana para ser un defensor de redes.

La situación de Check Point es particularmente grave. Estamos viendo pruebas claras de que el grupo de ransomware Qilin está utilizando activamente este día cero para eludir la autenticación y entrar directamente en las redes corporativas. Una vez dentro, el juego termina: cifrado de datos, extorsión y la habitual carnicería digital. La directiva de emergencia de CISA no es una sugerencia; es un ultimátum de tres días para que las agencias federales tapen el agujero antes de que el movimiento lateral se convierta en una brecha total.

Se descubre vulnerabilidad crítica de día cero en gateways VPN empresariales, lo que exige parches urgentes para los administradores

Imagen cortesía de GBHackers

Más allá de la pesadilla de la VPN, está el problema de ManageEngine AD360. Esto se reduce a una falla predecible en la generación de tickets de inicio de sesión único (SSO). ¿En palabras simples? Un atacante no autenticado puede suplantar a un usuario legítimo. Si utiliza productos integrados como ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus o ADAudit Plus, prácticamente está entregando las llaves del reino a cualquiera que sepa cómo explotar esta debilidad arquitectónica. La falla fue detectada por el investigador 0xmanhnv a través del programa Zoho BugBounty, y los parches han estado disponibles desde mediados de junio. Si aún no ha actualizado, está operando con tiempo prestado.

El desglose

Vulnerabilidad Sistemas afectados Riesgo principal
Día cero en VPN de Check Point Gateways VPN Omisión de autenticación, despliegue de ransomware
CVE-2026-11374 Suite ManageEngine AD360 Secuestro de cuenta mediante tokens SSO predecibles

Esta tendencia de atacar dispositivos de borde —esas VPN que se encuentran en el perímetro— es un giro estratégico para los operadores de ransomware. No solo buscan una forma de entrar; buscan un punto de apoyo persistente. El uso de la vulnerabilidad de día cero de Check Point por parte del grupo de ransomware Qilin es una llamada de atención. Si su organización depende de estos productos VPN específicos, deje de leer y verifique el estado de su versión ahora mismo.

Para la suite ManageEngine, la remediación es igual de vital. Debido a que esta vulnerabilidad permite la suplantación de identidad en toda su pila de gestión de identidades, el riesgo de movimiento lateral es extremadamente alto. Si un atacante entra, no solo está robando un archivo; está escalando privilegios y profundizando en el corazón de sus datos confidenciales.

Pasos de mitigación recomendados

  • Priorice el parche: No espere. Aplique los parches de seguridad para los gateways VPN de Check Point de inmediato. Si es una entidad federal, ya tiene el tiempo encima.
  • Actualice AD360: Asegúrese de que todos los componentes (ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus y ADAudit Plus) ejecuten una compilación lanzada después del 12 de junio de 2026.
  • Vigile los registros: Esté atento a patrones de inicio de sesión extraños. Si ve múltiples intentos fallidos o un comportamiento extraño de SSO, asuma que está siendo sondeado.
  • Asegure el perímetro: Si no necesita que su interfaz de gestión de VPN esté expuesta a la internet pública, ocúltela. Utilice listas de permitidos de IP o acceso exclusivo por VPN para reducir su superficie de ataque.
  • Audite a sus administradores: Verifique sus cuentas administrativas. ¿Alguien agregó un nuevo usuario mientras la vulnerabilidad estaba activa? Si es así, trátelo como un compromiso.

Estas dos amenazas son un claro recordatorio de que la gestión de vulnerabilidades no es una tarea de "configurar y olvidar". A medida que los atacantes refinan su capacidad para convertir en armas la infraestructura de borde y el software de identidad, la brecha entre el descubrimiento de una vulnerabilidad y su explotación se está reduciendo a casi nada.

No confíe en que las alertas automatizadas hagan el trabajo pesado por usted. La verificación manual es la única forma de estar seguro. Compare sus versiones de software actuales con la lista de compilaciones vulnerables del proveedor. En el clima actual, un enfoque metódico y práctico para aplicar parches es lo único que se interpone entre su red y una nota de rescate. Manténgase alerta, mantenga sus sistemas actualizados y asuma que, si usted no está aplicando parches, alguien más ya está buscando su debilidad.

J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 

James Okoro is a certified ethical hacker (CEH) and cybersecurity journalist with a background in military intelligence. After serving as a cyber operations analyst, he transitioned into the private sector, working as a threat intelligence consultant before finding his voice as a writer. James has covered major data breaches, ransomware campaigns, and state-sponsored cyberattacks for several leading security publications. He brings a tactical, insider perspective to his reporting on the ever-evolving threat landscape.

Noticias relacionadas

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security
WireGuard and OpenVPN protocol security updates

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security

Private Internet Access upgrades WireGuard and OpenVPN protocols to boost remote access security, performance, and encryption stability. Learn how it impacts you.

Por Viktor Sokolov 10 de julio de 2026 4 min de lectura
common.read_full_article
Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways
CitrixBleed

Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways

Critical vulnerability CVE-2023-4966 is under active exploitation. Patch your NetScaler ADC and Gateway appliances immediately to prevent session hijacking.

Por Marcus Chen 9 de julio de 2026 4 min de lectura
common.read_full_article
WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed
CVE-2026-13368

WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed

WatchGuard issues third critical IKEv2 patch in ten months. Learn how CVE-2026-13368 affects your Firebox appliances and the risks to legacy hardware.

Por Elena Voss 8 de julio de 2026 4 min de lectura
common.read_full_article
Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026
Dropbox security breach

Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026

Following the Dropbox security breach, enterprises are urgently reviewing encryption protocols and remote access alternatives. Learn the impact and 2026 security trends.

Por James Okoro 7 de julio de 2026 4 min de lectura
common.read_full_article