Boletín — octubre 2025

Octubre 2025 cierra la década de Windows 10 con un Patch Tuesday récord y arranca el día siguiente con dos incidentes mayores: F5 reconoce un compromiso prolongado por nation-state con robo de código fuente de BIG-IP y CVEs sin publicar, y un día después CVE-2025-59287 contra WSUS se convierte en wormable bajo explotación masiva. Cinco notas largas y el resto del mes.

Windows 10 end-of-support — 14 de octubre

14 de octubre. Microsoft sirve el último Patch Tuesday gratuito para Windows 10 22H2 en todas sus ediciones comerciales (Home, Pro, Pro Workstations, Pro Education, Enterprise, Education, Enterprise multi-session). Las LTSC siguen con su calendario propio: LTSC 2021 hasta enero 2027, IoT LTSC 2021 hasta enero 2032. Para el resto, ESU es el único camino con parches: $30 single-payment consumer (gratis en EEA tras presión Euroconsumers / Digital Markets Act, septiembre 2025), $61 por dispositivo año 1 enterprise duplicando cada año hasta $244 en año 3.

A 30 de septiembre, StatCounter situaba la cuota de Windows 10 en escritorios en torno al 40-42 % mundial — paridad con Windows 11 que rondaba el 50 %. La fracción que no migra es la que tiene hardware incompatible (Lansweeper estimaba ~50 % del parque corporativo sin requisitos Windows 11) o software legacy bloqueando la transición. Cubrimos el detalle operativo, ESU pricing y comparativa con EOL de Windows XP/7 en el técnico dedicado.

El patrón histórico se parece más a Windows 7 (goteo silencioso 2020-2023, sin un evento mediático tipo WannaCry) que a Windows XP (catástrofe a tres años vista). Pero el riesgo absoluto sube y cualquier CVE crítico nuevo en SMB, RPC, Print Spooler o LPE deja sin parche público a la base instalada que no esté en ESU.

Fuentes: https://support.microsoft.com/en-us/windows/windows-10-support-has-ended-on-october-14-2025-2ca8b313-1946-43d3-b55c-2b95b107f281 · https://learn.microsoft.com/en-us/lifecycle/announcements/october-14-2025-products-end-of-support

F5 BIG-IP — nation-state, source code y CVEs no publicados

15 de octubre. F5 publica un 8-K con la SEC reconociendo un compromiso prolongado de su red corporativa por un nation-state. Lo robado: código fuente del producto BIG-IP + información sobre vulnerabilidades sin publicar ni parchear. F5 detectó el acceso el 9 de agosto de 2025 y demoró la disclosure a petición del Department of Justice durante dos meses. Atribución pública apunta a UNC5221 (China-nexus) con malware BRICKSTORM; el atacante mantuvo persistencia ~12 meses en el entorno de desarrollo y en la knowledge management platform de ingeniería.

El mismo día F5 publica K000156572, un bundle de 44 CVEs que incluye el conjunto de vulns presuntamente conocidas por el atacante. CISA emite Emergency Directive ED 26-01 obligando a agencias FCEB a inventariar BIG-IP, verificar interfaces de management expuestas a internet, y aplicar updates antes del 22 de octubre.

Lo que esto enseña operativamente: el modelo de amenaza tiene que asumir que el atacante con dos meses de adelanto sobre la disclosure ya ha barrido la base instalada accesible vía interfaces de management. Cualquier BIG-IP con TMUI/SSH expuesto a internet entre agosto y octubre debe tratarse como potencialmente comprometido, lo que implica no solo parchear sino también hunt por persistence (cuentas locales nuevas, modificaciones de iControl REST, certificados anómalos). El patrón se acerca al de Ivanti Connect Secure en enero 2024 y al de NetScaler Citrix Bleed en octubre 2023 — appliance edge expuesto, vendor comprometido, ventana de varios meses entre vector y disclosure.

Fuentes: https://my.f5.com/manage/s/article/K000154696 · https://www.cisa.gov/news-events/directives/ed-26-01 · https://unit42.paloaltonetworks.com/nation-state-threat-actor-steals-f5-source-code/

Patch Tuesday octubre — 175 fixes, tres zero-days, un WSUS wormable

14 de octubre — y la out-of-band del 23. Microsoft cierra el mayor Patch Tuesday del año con 175 vulnerabilidades parcheadas en el ciclo regular más el más alto absoluto desde que llevamos cuenta. Tres zero-days bajo explotación activa al momento del release:

• CVE-2025-24990 — Agere Modem Driver (ltmdm64.sys). LPE a SYSTEM. CVSS 7.8. Microsoft elimina el driver del cumulative update — primer caso reciente en que la respuesta es retirar el binario, no parchearlo. El driver, herencia de los tiempos del fax modem, vivía nativamente en cada Windows con número de build. PoC público al poco; explotación observada incluso antes.
• CVE-2025-59230 — Windows Remote Access Connection Manager (RasMan). LPE a SYSTEM. CVSS 7.8. Primer CVE de RasMan explotado as zero-day. Vector: race condition en el registro del RPC endpoint que servicios privilegiados confían — un usuario sin privilegios registra el endpoint antes que el servicio legítimo y captura conexiones.
• CVE-2025-47827 — IGEL OS Secure Boot bypass. Permite arrancar binarios no firmados saltándose la cadena de confianza en thin clients IGEL.

Además, CVE-2025-59287 en Windows Server Update Service (WSUS) salió en el ciclo regular con un patch que no mitigaba completamente. PoC público el 17 de octubre, explotación activa observada por Huntress desde el 23 de octubre 23:34 UTC contra WSUS expuestos en puertos 8530/8531/TCP. Vector: deserialización insegura en los reporting web services + RCE pre-auth como SYSTEM. Wormable entre WSUS servers. Microsoft publica patch out-of-band el 23. CISA mete el CVE en KEV el 24. Para organizaciones con WSUS internos pero accesibles desde toda la red corporativa el riesgo es lateral movement instantáneo desde cualquier endpoint comprometido a control de update distribution.

Otros relevantes del ciclo: CVE-2025-59227 y CVE-2025-59234 (RCE Office vía Preview Pane sin abrir archivo) y un set considerable de SQL Server, Azure y Graphics Component que ya forman parte del paisaje habitual.

Fuentes: https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2025-patch-tuesday-fixes-6-zero-days-172-flaws/ · https://www.cisa.gov/news-events/alerts/2025/10/24/microsoft-releases-out-band-security-update-mitigate-windows-server-update-service-vulnerability-cve · https://www.huntress.com/blog/exploitation-of-windows-server-update-services-remote-code-execution-vulnerability

AWS US-East-1 — 15 horas de DNS race condition

19-20 de octubre. Amazon Web Services sufre la mayor caída de US-East-1 desde diciembre 2021. 15 horas de degradación severa, ~70 servicios afectados, downstream que va desde Netflix, Coinbase, Slack y Atlassian hasta Snapchat, Roblox, Hinge, Ring y aerolíneas con sistemas críticos en la región.

Root cause según postmortem AWS: race condition en la gestión automática de DNS de DynamoDB. El sistema interno de management mantiene dos rutas paralelas (Enactor y DNS Planner) que escriben actualizaciones contra Route53. Un Enactor lento sobrescribe el plan más reciente con un plan obsoleto; el resultado es que DynamoDB queda con DNS records inconsistentes durante el evento. Cuando DynamoDB se restaura, el sistema de management de EC2 entra en congestive collapse intentando recuperar miles de leases simultáneamente, lo que extiende el outage varias horas más allá del fault original.

Lectura operativa: la caída no fue un bug de servicio, fue un bug en el control plane de un servicio sobre el que dependen muchos otros. La concentración geográfica de carga crítica en US-East-1 sigue siendo el patrón más común a pesar de una década de “multi-region” como mantra de arquitectura. La pregunta para 2026 es la misma de 2021, 2017 y 2015: ¿cuál es la fracción de tu carga que sobrevive a US-East-1 caído quince horas y cuál es la que se rinde? El postmortem no incluye gran novedad operativa para clientes — las recomendaciones de AWS son las de siempre (multi-AZ, multi-region para cargas críticas, planes de failover testados).

Fuentes: https://www.thousandeyes.com/blog/aws-outage-analysis-october-20-2025

Anthropic — Claude Sonnet 4.5 + Haiku 4.5, ola Q4 confirmada

29 de septiembre + 15 de octubre. Anthropic confirma su cadencia Q4 con dos releases:

• 29 de septiembre — Claude Sonnet 4.5. Mejoras en coding y agentic tasks. Anthropic la posiciona como “best coding model in the world” y “strongest model for building complex agents”. System card publicado el mismo día con métricas de safety.
• 15 de octubre — Claude Haiku 4.5. Small model con coding cercano a Sonnet 4 a un tercio del coste y más del doble de velocidad. SWE-bench Verified 73,3 %. Mejor que Sonnet 4 en computer use, lo que la convierte en candidata por defecto para Claude for Chrome y deployments de agentes con muchos pasos. Pricing $1 / $5 por millón de tokens (input/output). Anthropic la pone como modelo por defecto en Claude.ai gratuito.

Para AI security, la lectura operativa es la misma que con Sonnet 3.7 hace un año: cada release nuevo trae un system card con red-teaming methodology, ratings de la Responsible Scaling Policy de Anthropic y métricas de resistencia a jailbreaks publicados. Lo que cambia respecto a 2024 es que ahora hay corpus público de jailbreaks publicados contra cada release (Pliny X, Embrace The Red, AI Village papers) — el techo del safety classifier se mide contra ese corpus a las pocas horas del release. Sonnet 4.5 y Haiku 4.5 cumplen con la cadencia de release viernes, primer jailbreak público el sábado.

Fuentes: https://www.anthropic.com/news/claude-sonnet-4-5 · https://www.anthropic.com/news/claude-haiku-4-5

Resto del mes

• Oracle E-Business Suite CVE-2025-61882 / Cl0p mass-exploitation (parche 4-oct, KEV 6-oct). Pre-auth RCE en EBS 12.2.3-12.2.14, CVSS 9.8. Vector explotado as zero-day desde el 9 de agosto según Mandiant/Google Cloud Threat Intelligence. Cl0p lanza campaña de extorsión por email desde el 29 de septiembre: ejecutivos reciben demands desde cientos de cuentas comprometidas (credentials infostealer logs) alegando exfil de datos Oracle EBS. PoC público en Telegram al poco — explotación copycat por otros grupos en los días siguientes. Cl0p sigue su patrón histórico: MFT en 2023 (GoAnywhere, MOVEit), MFT en 2024 (Cleo), ERP en 2025.
• ENISA Threat Landscape 2025 — 1 de octubre. Publicación final del informe anual. Cubre el período julio-2024 a junio-2025. Hostile state actors y ransomware como categorías dominantes; AI-related threats con sección dedicada por primera vez con análisis de incidents en producción.
• CISA + 14 partners — joint advisory Salt Typhoon (AA25-239A) publicada el 27 de agosto consolida la actividad China-nexus contra telecomunicaciones, gobierno, transporte, hostelería y militar a nivel mundial. La advisory se referencia durante todo octubre como base de hardening guidance — el resumen ejecutivo es que Salt Typhoon ya no es un incidente de 2024 sino un patrón sostenido contra routers de backbone (provider edge y customer edge) de teleco con visibilidad limitada.
• Cisco ASA / Firepower CVE-2025-20333 + CVE-2025-20362 + CVE-2025-20363 (parches finales de septiembre, KEV temprano octubre). Continúa la campaña ArcaneDoor China-nexus contra el web server VPN de ASA/FTD. La novedad es la persistencia en ROM — el actor modifica firmware para sobrevivir reinicios y actualizaciones. Devices 5512/5515/5585 ya discontinued; 5525/5545/5555 retirados en septiembre. CISA Emergency Directive ED 25-03 con plazo agresivo para FCEB.
• DeepSeek-V3.2-Exp publicado el 29 de septiembre con DeepSeek Sparse Attention (DSA) que reduce coste de contexto largo significativamente. Mantiene el patrón open-weights de la familia DeepSeek; primer test del año contra contexto > 128k económico.
• DragonForce / Akira mantienen el tempo en ransomware durante octubre. Sin un incidente único mediático, el goteo continúa.

Patrón del mes

Tres bloques se cruzan en octubre y conviene leerlos juntos. El EOL de Windows 10 abre una década de legacy que va a marcar la pauta de respuesta vulnerability management durante 2026-2028. El breach de F5 confirma que el modelo de amenaza contra vendors de seguridad está maduro: Ivanti 2024, Snowflake 2024, BeyondTrust 2024, ahora F5 2025, la cadena de explotación va vía proveedor, no vía cliente. Y el Patch Tuesday récord con tres zero-days + WSUS wormable obliga a aplicar fixes en mismo ciclo que ya muchos equipos venían retrasando — el segundo trimestre acumuló parches que no se aplicaron por miedo a regresiones y octubre llega con el tablero saturado.

Para noviembre se pueden anticipar tres cosas: el primer Patch Tuesday sin Windows 10 en la lista de plataformas afectadas (15 de noviembre), seguimiento de las 44 CVEs F5 con explotación pública post-disclosure, y la curva de degradación post-EOL — qué fracción del parque queda en ESU, qué fracción queda fuera, y qué primer incidente público aparece contra el segundo grupo.