O X-VPN, um serviço de rede privada virtual (VPN), recentemente publicou os resultados de uma auditoria independente que confirma sua política de não registro de dados. Realizada por uma das ‘Big Four’ em conformidade com o padrão ISAE 3000, a auditoria verificou que a empresa não coleta nem armazena informações que possam identificar usuários ou suas atividades online. A análise abrangeu aspectos técnicos, segurança dos servidores e governança de dados, garantindo que apenas as informações mínimas necessárias para a operação do serviço sejam processadas. A auditoria, concluída em 28 de fevereiro de 2026, revelou que a infraestrutura do X-VPN é segura e que os mecanismos de supervisão operam com total independência e transparência. Essa validação externa é crucial, pois no setor de VPNs, a confiança é fundamental e a verificação independente ajuda a garantir que as promessas de privacidade sejam cumpridas na prática. Os usuários do X-VPN podem acessar o relatório completo após login em suas contas, destacando a importância da transparência em serviços de privacidade digital.

Recentemente, a Espanha anunciou planos para proibir o uso de redes sociais por crianças menores de 16 anos, citando preocupações com a segurança digital. O primeiro-ministro espanhol, Pedro Sánchez, enfatizou a necessidade de implementar barreiras reais para a verificação de idade, em vez de soluções superficiais. Essa proposta se alinha a um movimento global que busca proteger crianças de conteúdos prejudiciais, mas levanta questões sérias sobre privacidade e direitos digitais. A verificação de identidade, muitas vezes exigindo documentos como carteiras de identidade, pode criar um banco de dados centralizado de informações sensíveis, aumentando o risco de vazamentos e abusos. Exemplos de sistemas de identificação, como o da China, mostram os perigos de comprometer a privacidade em nome da segurança. A União Europeia tenta evitar esses problemas com propostas que priorizam a anonimidade, mas ainda enfrenta desafios com soluções que coletam dados excessivos. Em vez de banir completamente os menores, algumas políticas sugerem restrições específicas dentro das plataformas, mas isso também requer comprovações de idade que podem ser invasivas. A discussão sobre como proteger as crianças sem sacrificar a privacidade de todos é crucial e deve ser abordada com tecnologias de identificação digital que respeitem a privacidade.

Na última semana, a Universidade de Oxford anunciou uma violação de dados em sua plataforma CareerConnect, após ser informada pelo fornecedor terceirizado Group GTI sobre o comprometimento do sistema. O ataque ocorreu em 28 de maio e resultou no acesso não autorizado a nomes, sobrenomes, endereços de e-mail e senhas criptografadas de usuários que não utilizam o sistema de autenticação Single Sign-On (SSO). Embora a universidade tenha garantido que não há evidências de que informações de cursos, arquivos carregados ou dados financeiros tenham sido afetados, alertou sobre a possibilidade de tentativas de phishing direcionadas a alunos e funcionários. Este é o segundo incidente de segurança relatado pela universidade em 2023, após uma violação anterior relacionada ao sistema Canvas, que expôs dados de 280 milhões de registros de instituições educacionais em todo o mundo. A universidade enfatizou que seus sistemas não foram comprometidos e que as senhas dos usuários afetados foram invalidadas, exigindo que os mesmos realizem a redefinição de suas senhas na próxima vez que acessarem a plataforma.

A empresa israelense de cibersegurança Check Point divulgou atualizações de segurança para corrigir uma falha crítica, identificada como CVE-2026-50751, que afeta implementações de VPN de Acesso Remoto e Acesso Móvel. Essa vulnerabilidade permite que atacantes remotos não autenticados contornem a autenticação em VPNs e firewalls da Check Point, estabelecendo conexões de acesso remoto. A falha impacta apenas as configurações que utilizam o protocolo de troca de chaves IKEv1, que já está obsoleto. Os ataques começaram em 7 de maio e aumentaram em junho, afetando cerca de uma dúzia de organizações globalmente, com um caso relacionado à operação de ransomware Qilin. A Check Point recomenda que os clientes que ainda utilizam o IKEv1 apliquem as atualizações de segurança imediatamente. Além disso, a empresa identificou uma segunda vulnerabilidade, CVE-2026-50752, que afeta a validação de certificados no IKEv1, suscetível a ataques man-in-the-middle, embora ainda não haja evidências de exploração ativa dessa falha. Medidas de mitigação foram sugeridas para aqueles que não podem aplicar os patches imediatamente.

Um grupo de ciberespionagem com vínculos à China, identificado como VerdantBamboo, foi observado utilizando uma variante BSD de um backdoor conhecido como BRICKSTORM, além de outras famílias de malware chamadas PLENET (também conhecida como GRIMBOLT) e AGENTPSD, para atacar sistemas Linux. A Volexity, empresa de cibersegurança, atribuiu essas atividades a um cluster de ameaças que se sobrepõe a grupos de hackers como Clay Typhoon e UNC5221. A intrusão foi descoberta em setembro de 2025, quando a Volexity identificou que o adversário havia comprometido o sistema Egnyte Storage Sync de uma vítima, explorando uma falha de escalonamento de privilégios. Após a correção da vulnerabilidade em março de 2026, o grupo conseguiu retornar, utilizando credenciais administrativas roubadas para acessar o firewall da organização e implantar malware em um dispositivo NAS Synology. O PLENET é um backdoor multiplataforma desenvolvido em .NET Core, enquanto o AGENTPSD é um shell reverso baseado em Python. A Volexity alerta que o VerdantBamboo demonstra um alto nível de sofisticação e conhecimento sobre dispositivos proprietários, permitindo a implementação de mecanismos de persistência personalizados.

O uso crescente da inteligência artificial (IA) por cibercriminosos tem transformado o phishing em uma máquina de volume, permitindo a criação rápida de e-mails convincentes e páginas de login falsas. Isso resulta em um aumento significativo no número de alertas que as equipes de segurança (Tier 1) precisam revisar, dificultando a identificação de tentativas reais de roubo de credenciais ou entrega de malware. As variações nas iscas, a melhor impersonificação e a personalização das mensagens tornam o trabalho das equipes de segurança mais complexo, levando a um aumento no tempo de resposta e na carga de trabalho. Para enfrentar esses desafios, é essencial que as equipes adotem soluções que combinem verificações automatizadas e visibilidade baseada em comportamento. Ferramentas como o ANY.RUN, que permite a análise interativa de links suspeitos em um ambiente seguro, podem acelerar a triagem e reduzir a sobrecarga das equipes. Além disso, relatórios prontos para uso podem facilitar a transição entre as equipes de Tier 1 e Tier 2, melhorando a eficiência na resposta a incidentes. A adoção dessas tecnologias pode resultar em uma redução significativa na carga de trabalho e no tempo de resposta, permitindo que as organizações se protejam melhor contra ameaças emergentes.

A Microsoft lançou uma versão open-source do Windows Terminal chamada “Intelligent Terminal”, que integra inteligência artificial (IA) diretamente na interface do terminal. Essa nova ferramenta permite que os usuários recebam assistência em tempo real para explicar erros, elaborar comandos e solucionar problemas sem sair da sessão do terminal. Ao abrir o Intelligent Terminal pela primeira vez, o usuário pode escolher entre diferentes agentes de IA, como GitHub Copilot, Claude, Codex e Gemini, com opções para detectar e sugerir correções automáticas para erros. Uma das principais funcionalidades é a gestão de sessões, que permite ao usuário retomar trabalhos anteriores sem perder o progresso. O Intelligent Terminal é uma aplicação separada e ainda não está incluída nas instalações padrão do Windows, mas pode ser baixada pela Microsoft Store ou GitHub. Embora a ferramenta seja promissora, a Microsoft reconhece que não é adequada para todos os usuários, o que justifica sua distribuição como um aplicativo separado.

Recentemente, a Meta revelou que mais de 20 mil contas de usuários do Instagram foram sequestradas por atacantes que exploraram uma falha no sistema de suporte assistido por IA da empresa, conhecido como High Touch Support (HTS). Os criminosos conseguiram contornar a verificação de e-mails, obtendo links de redefinição de senha e acessando contas sem a necessidade de autenticação em duas etapas (2FA). Após um aumento nas reclamações de usuários nas redes sociais, a Meta afirmou que o problema foi resolvido e que as contas afetadas foram protegidas. A empresa desativou o sistema HTS e gerou novos checkpoints de segurança para os usuários impactados, solicitando que redefinissem suas senhas. Embora a Meta não tenha confirmado quais informações pessoais foram acessadas, é possível que os atacantes tenham obtido dados como endereços de e-mail, números de telefone, datas de nascimento e conteúdo das contas. A Meta se comprometeu a corrigir a falha de autenticação antes de relançar o sistema e está revisando outros fluxos de recuperação de conta em suas plataformas. Este incidente destaca a vulnerabilidade de sistemas de suporte e a importância de medidas de segurança robustas.

A Microsoft anunciou uma nova funcionalidade para o Visual Studio Code (VS Code) que introduz um atraso de duas horas nas atualizações automáticas de extensões. Essa medida visa aumentar a segurança do ambiente de desenvolvimento, protegendo os usuários contra versões problemáticas ou potencialmente comprometidas. A partir da versão 1.123 do VS Code, as atualizações automáticas ocorrerão duas horas após a publicação, permitindo que os desenvolvedores tenham um tempo adicional para avaliar novas versões. Os usuários ainda poderão optar por atualizar extensões imediatamente, utilizando um botão específico. No entanto, essa nova funcionalidade não se aplica a extensões de editores confiáveis como Microsoft, GitHub e OpenAI, que continuarão a ser atualizadas instantaneamente. Essa iniciativa segue uma tendência crescente entre plataformas de gerenciamento de pacotes, como RubyGems e npm, que também implementaram controles de instalação baseados em tempo para mitigar a exposição a versões maliciosas recém-publicadas. Essas mudanças são uma resposta ao aumento de incidentes na cadeia de suprimentos de software, que têm como alvo sistemas de desenvolvedores e usuários finais.

Pesquisadores de cibersegurança revelaram uma campanha de extorsão financeira que visou diversas organizações nos setores profissional, jurídico e financeiro dos EUA entre janeiro e maio de 2026. A atividade foi atribuída ao grupo de ameaças UNC3753, também conhecido como Chatty Spider e Silent Ransom Group (SRG). Os atacantes utilizam técnicas de engenharia social e vishing para obter acesso remoto a ambientes corporativos, se passando por suporte técnico. Eles convencem as vítimas a compartilhar telas e instalar softwares de monitoramento remoto. Uma vez dentro, os criminosos localizam e exfiltram informações sensíveis, como acordos legais e dados financeiros. Em alguns casos, os atacantes também realizaram intrusões físicas, se passando por técnicos de TI para roubar dados diretamente dos sistemas das vítimas. O grupo tem pressionado as vítimas a pagarem resgates sob a ameaça de divulgar as informações roubadas. A campanha destaca a vulnerabilidade de empresas que lidam com dados sensíveis e a eficácia das táticas de engenharia social em contornar medidas de segurança tradicionais.

O grupo de extorsão Silent Ransom está atacando ativamente escritórios de advocacia e organizações de serviços profissionais nos Estados Unidos, conforme um relatório da Mandiant. Os ataques, que incluem engenharia social e roubo de dados, podem resultar em vazamentos de informações sensíveis em questão de horas após o primeiro contato. O FBI já havia emitido um aviso sobre esses ataques, que se caracterizam por e-mails de phishing disfarçados de faturas, seguidos por chamadas telefônicas de atacantes que se passam por funcionários de TI. Durante as sessões de suporte remoto, os atacantes convencem os funcionários a instalar ferramentas de monitoramento, permitindo acesso inicial à rede corporativa. O grupo, que opera desde 2022, não utiliza mais criptografia de ransomware, focando exclusivamente na extorsão de dados. As demandas de resgate são enviadas rapidamente, com prazos curtos para resposta, e ameaças de vazamento de dados são utilizadas para pressionar as vítimas. Para se proteger, Mandiant e o FBI recomendam a implementação de procedimentos rigorosos de verificação para interações de suporte de TI e treinamento de funcionários para reconhecer tentativas de phishing por voz.

Uma nova variante do botnet Gafgyt, chamada C0XMO, está direcionando ataques a roteadores com firmware DD-WRT e pode se espalhar para outros dispositivos com diferentes arquiteturas de CPU, como ARM, MIPS e x86. Pesquisadores da Fortinet identificaram que o malware é capaz de realizar ataques de negação de serviço distribuído (DDoS) utilizando 19 métodos distintos, incluindo inundações UDP e TCP, além de amplificação via NTP e Memcached. A infecção ocorre por meio da exploração da vulnerabilidade CVE-2021-27137, que permite a execução de código arbitrário sem autenticação. O C0XMO possui um design modular que facilita atualizações e a adição de novas técnicas de exploração. Após a infecção, o malware se oculta em diretórios temporários e cria tarefas agendadas para reiniciar a cada 15 minutos. Além disso, ele busca eliminar concorrentes no dispositivo infectado, removendo outros clientes de botnets e ferramentas que possam interferir em sua operação. A recomendação para mitigar os riscos associados ao C0XMO inclui manter dispositivos atualizados, usar credenciais únicas e desabilitar o acesso remoto quando não necessário. Este botnet representa uma evolução em relação a variantes anteriores, com uma arquitetura mais sofisticada e complexa.

Um robô de combate ucraniano, o Droid TW 12.7, desempenhou um papel crucial ao repelir ataques russos em uma interseção estratégica por 45 dias durante o verão de 2025. Controlado remotamente a uma distância de até 10 km, o robô estava armado com uma metralhadora M2 Browning de 12,7 mm e operava em conjunto com drones de vigilância aérea, permitindo que os operadores atacassem alvos em tempo real sem expor tropas ao perigo. Este foi o primeiro uso totalmente robótico em operações defensivas na Ucrânia, destacando a crescente dependência de veículos terrestres não tripulados (UGVs) em um cenário de escassez de mão de obra devido ao conflito em andamento. O presidente ucraniano Volodymyr Zelenskyy anunciou planos para adquirir pelo menos 50.000 UGVs, considerando-os um avanço significativo após os drones de combate. Embora o Droid TW 12.7 tenha demonstrado eficácia, ele requer manutenção regular, incluindo recarga de baterias e reposição de munição, e não é totalmente autônomo na seleção de alvos, o que limita sua operação em áreas com civis. A utilização de UGVs como o Droid TW 12.7 pode se intensificar à medida que a guerra se prolonga, refletindo uma mudança nas táticas de combate.

Uma vulnerabilidade crítica (CVE-2026-3300) no plugin Everest Forms Pro está sendo explorada ativamente por hackers, permitindo que eles assumam o controle total de sites WordPress. A falha afeta as versões 1.9.12 e anteriores do plugin, que é amplamente utilizado para criar formulários personalizados. O problema reside na funcionalidade de Cálculo Complexo do plugin, que aceita valores de campos de formulário e os insere em uma string de código PHP, executando-o com a função ’eval()’. Embora a entrada do usuário seja filtrada por ‘sanitize_text_field()’, essa função não escapa caracteres que podem influenciar a sintaxe do PHP, como aspas simples. Isso permite que um invasor feche a string pretendida, injete código PHP arbitrário e comente o restante do código gerado, resultando na execução do código no servidor. Dados do Wordfence indicam que a exploração começou em 13 de abril, com mais de 29.300 tentativas bloqueadas. Os administradores de sites são aconselhados a revisar logs e contas de administrador em busca de atividades suspeitas, especialmente aquelas relacionadas ao nome de usuário ‘diksimarina’. Um patch foi disponibilizado em 18 de março para corrigir a vulnerabilidade.

A OpenAI introduziu uma nova funcionalidade chamada Modo de Bloqueio para o ChatGPT, destinada a contas pessoais elegíveis. Essa ferramenta visa reduzir o risco de exfiltração de dados decorrente de ataques de injeção de comandos. O Modo de Bloqueio é especialmente útil para indivíduos e organizações que lidam com informações sensíveis, oferecendo garantias de proteção mais rigorosas. Disponível para usuários logados em planos Free, Go, Plus, Pro e ChatGPT Business, essa configuração de segurança avançada limita várias ferramentas e capacidades que podem se conectar à web ou a serviços externos.

Pesquisas recentes indicam que o governo chinês está intensificando sua repressão ao uso de VPNs, especialmente na região autônoma do Xinjiang, onde o tráfego de internet via VPN para sites banidos é estimado em apenas 4%. Este dado foi coletado a partir de mais de 100 mil documentos da Geedge Networks. A censura na China é amplamente conhecida, com muitos sites ocidentais bloqueados ou de difícil acesso. A partir de abril de 2026, novas medidas foram implementadas para bloquear serviços de VPN, especialmente em datas sensíveis como o aniversário do massacre da Praça Tiananmen. O uso de VPNs na China é permitido, mas as opções disponíveis são monitoradas pelo governo, o que levanta preocupações sobre a privacidade dos usuários. A pesquisa também destaca que, enquanto o uso de VPNs é comum em países ocidentais, na China, a utilização é drasticamente menor, com apenas 2% do tráfego de internet durante períodos críticos sendo direcionado a aplicativos como o WhatsApp. A situação atual reflete um ambiente de crescente vigilância e controle sobre a comunicação digital dos cidadãos.

Recentemente, 73 repositórios do GitHub da Microsoft, incluindo aqueles relacionados ao Azure e MicrosoftDocs, foram comprometidos por uma campanha de ataque à cadeia de suprimentos chamada Miasma. O GitHub desativou o acesso a esses repositórios após a violação das suas políticas de serviço. O ataque é uma variante do worm Mini Shai-Hulud, que se aproveita do modelo de confiança das plataformas de código aberto, explorando a suposição de que pacotes assinados por mantenedores autenticados são seguros. O ataque se destaca por sua capacidade de se propagar rapidamente, comprometendo usuários downstream e repetindo o ciclo de infecção. O vetor de ataque inclui a injeção de código malicioso em repositórios legítimos, que é ativado quando um desenvolvedor clona e abre o repositório em ferramentas de codificação. Este incidente evidencia as vulnerabilidades nas cadeias de suprimentos de software e a necessidade de uma vigilância contínua e de medidas de segurança robustas.

Recentemente, uma startup de segurança revelou 21 vulnerabilidades desconhecidas no FFmpeg, uma biblioteca de mídia amplamente utilizada, todas descobertas por um agente de IA autônomo. Essas falhas, que incluem estouros de pilha e heap, estavam latentes por até 23 anos. Em paralelo, o Google lançou o Chrome 149, corrigindo um recorde de 429 bugs de segurança, sendo 100 deles de alta severidade. O bug mais crítico, CVE-2026-10881, permite que uma página maliciosa escape da sandbox e execute código no host, resultando em um pagamento de $97.000 ao pesquisador que o descobriu. A pressão para encontrar e corrigir vulnerabilidades aumentou com o uso de IA, que está gerando um volume maior de relatórios. O Google reformulou seu programa de recompensas para lidar com essa avalanche de descobertas, exigindo provas mais concisas. Para mitigar riscos, é crucial que os usuários do FFmpeg atualizem suas versões assim que os patches estiverem disponíveis, especialmente aqueles que lidam com fluxos de mídia não confiáveis. Para o Chrome, a atualização para a versão 149 é essencial para garantir a segurança do navegador.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança de alta gravidade no software de servidor de arquivos multi-protocolo SolarWinds Serv-U em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2026-28318, possui uma pontuação CVSS de 7.5 e é classificada como um bug de negação de serviço (DoS), que pode causar a queda do serviço sob certas condições. Segundo a SolarWinds, a falha é suscetível a requisições POST especialmente elaboradas que podem derrubar o serviço sem necessidade de autenticação, utilizando o cabeçalho Content-Encoding: deflate. A empresa já lançou uma correção na versão 15.5.4 HF1 do Serv-U e recomenda que os usuários limitem o acesso a endereços conhecidos e bloqueiem requisições que contenham “content-encoding”. A CISA ordenou que as agências do governo federal dos EUA resolvam a falha até 19 de junho de 2026. Embora a exploração ativa tenha sido confirmada, não há informações sobre como a vulnerabilidade está sendo utilizada em ataques reais ou quantas instâncias do Serv-U expostas à internet foram comprometidas.

Um pesquisador reverteu a engenharia do SDK da Bright Data, que é embutido em aplicativos de consumo, revelando como ele transforma dispositivos, como TVs inteligentes sempre ligadas, em nós de saída que retransmitem tráfego de web scraping. A Bright Data, sucessora da Luminati, opera a maior rede de proxies residenciais do mundo, com mais de 400 milhões de IPs residenciais. O problema surge quando o tráfego de scraping utiliza a conexão de internet do usuário, em vez da do cliente, o que pode resultar em uso indevido da largura de banda do usuário. O SDK não possui autenticação robusta e, em dispositivos iOS, o tráfego consegue contornar VPNs configuradas. A tela de consentimento apresentada aos usuários não reflete a extensão do uso permitido pelo SDK, que pode consumir até 200 GB de tráfego mensalmente. Embora a Bright Data afirme que os nós de saída são opt-in, a validade desse consentimento é questionável. A pesquisa destaca a necessidade de monitoramento e bloqueio de endereços web associados ao SDK para proteger a rede doméstica. Com a crescente demanda por dados para IA, essa prática levanta preocupações sobre privacidade e segurança, especialmente no contexto da LGPD no Brasil.

A Cisco emitiu um alerta sobre uma vulnerabilidade de alta severidade, identificada como CVE-2026-20245, que afeta o Catalyst SD-WAN Manager. Com uma pontuação CVSS de 7.8, essa falha permite que um atacante autenticado execute comandos arbitrários como root, ao enviar um arquivo malicioso para o sistema afetado. A vulnerabilidade é resultado de uma validação insuficiente de entradas fornecidas pelo usuário, o que pode levar a ataques de injeção de comandos e elevação de privilégios. Para explorar essa falha, o atacante precisa ter privilégios de netadmin, o que requer credenciais válidas ou a exploração de outras vulnerabilidades conhecidas, como CVE-2026-20182 e CVE-2026-20127, ambas já exploradas ativamente. A Cisco não possui patches disponíveis para CVE-2026-20245, mas recomenda que os clientes atualizem seu software SD-WAN para corrigir as falhas anteriores. A empresa também alertou que sistemas expostos à internet estão em risco elevado de comprometimento e sugere que os usuários verifiquem logs específicos em busca de indicadores de comprometimento. Essa é a sétima vulnerabilidade crítica identificada na plataforma SD-WAN da Cisco em 2026, destacando a necessidade urgente de atenção e ação por parte das organizações que utilizam essas tecnologias.

Darren Hughes, um homem de 39 anos de San Jose, Califórnia, foi condenado a mais de 26 anos de prisão federal por tráfico de fentanil e metanfetamina através do Nemesis Market, um dos maiores mercados ilegais da dark web. Hughes foi preso em junho de 2023 após vender drogas a agentes infiltrados em cinco ocasiões, utilizando criptomoedas como forma de pagamento. Durante a prisão, a polícia encontrou 672 gramas de metanfetamina e uma arma de fogo sem número de série em seu veículo. O Nemesis Market, que operou de 2021 até sua desarticulação em março de 2024, tinha mais de 150 mil contas de usuários e processou centenas de milhares de pedidos de drogas, incluindo opioides. Autoridades de vários países, incluindo os EUA e a Alemanha, colaboraram para fechar o mercado, destacando a crescente preocupação com o tráfico de drogas na internet e a eficácia das forças de segurança em combater esses crimes, mesmo em plataformas que parecem anônimas.

O grupo de espionagem chinês UNC5221, também conhecido como VerdantBamboo, tem explorado ambientes Microsoft 365 utilizando a backdoor Brickstorm e malwares não documentados, como Plenet e AgentPSD. A investigação revelou que os atacantes conseguiram acesso à rede da vítima por pelo menos 18 meses antes de serem detectados, comprometendo também o provedor de serviços gerenciados (MSP) da organização alvo. O Brickstorm, descrito como um implante de malware avançado, foi utilizado de forma indetectável em várias organizações nos Estados Unidos até a descoberta das brechas em março de 2025. Os pesquisadores da Volexity identificaram que os hackers acessaram um sistema de armazenamento Egnyte e, a partir daí, conseguiram entrar no ambiente Microsoft 365 da vítima, utilizando técnicas para se misturar ao tráfego legítimo e evitar políticas de acesso condicional. Após a remediação inicial, os atacantes conseguiram invadir a organização novamente, utilizando credenciais roubadas para configurar o acesso VPN e implantar malware adicional. O Plenet, um backdoor baseado em .NET, e o AgentPSD, uma ferramenta de shell reverso em Python, foram utilizados como mecanismos de persistência. A CISA emitiu alertas sobre a utilização do Brickstorm por hackers chineses, destacando a necessidade de atenção redobrada para a segurança em ambientes que não suportam soluções de detecção e resposta de endpoint (EDR).

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica no software Serv-U da SolarWinds, que foi recentemente corrigida. A falha, identificada como CVE-2026-28318, permite que atacantes remotos provoquem a queda do serviço sem necessidade de autenticação, utilizando requisições POST especialmente elaboradas. A SolarWinds lançou um patch para corrigir essa vulnerabilidade, mas a CISA observou que a exploração já está ocorrendo na prática, levando a agência a incluir a falha em seu Catálogo de Vulnerabilidades Conhecidas. Administradores que não puderem aplicar a correção imediatamente são aconselhados a restringir o acesso a endereços conhecidos e bloquear requisições POST que contenham “content-encoding”. Atualmente, mais de 12.000 servidores Serv-U estão expostos online, o que representa um risco significativo, especialmente considerando que grupos de cibercrime têm historicamente explorado falhas nesse software para roubar dados sensíveis. A CISA enfatiza a necessidade de que todas as organizações, incluindo o setor privado, tomem medidas para proteger suas redes contra esses ataques.

As gigantes japonesas Toshiba e Muji emitiram alertas a seus usuários sobre telas de login suspeitas que podem estar coletando credenciais. Essas telas foram geradas por um serviço externo hospedado em polyfill[.]io, que, em 2024, introduziu códigos maliciosos em scripts entregues por sua rede de distribuição de conteúdo (CDN). Ambas as empresas recomendaram que os usuários que inseriram dados de login nessas telas mudassem suas senhas. A Toshiba confirmou que algumas partes de seu site poderiam exibir essas telas e pediu que os usuários selecionassem ‘Cancelar’ sem inserir informações. A Muji também fez um aviso semelhante, embora não tenha confirmado acessos não autorizados até o momento. Além de Toshiba e Muji, outras empresas, como Zojirushi e FiNC Technologies, também foram afetadas. O problema surgiu após a aquisição do domínio polyfill[.]io por uma entidade chinesa, que adicionou scripts maliciosos, impactando mais de 100 mil sites. Embora a situação tenha sido mitigada, a recomendação é que os usuários permaneçam cautelosos com solicitações de autenticação inesperadas.

Recentes ataques à cadeia de suprimentos de software têm impactado o ecossistema npm, com criminosos utilizando versões maliciosas de mais de 50 pacotes legítimos para disseminar um ladrão de informações baseado em Rust e um worm auto-replicante. O ladrão de informações, denominado IronWorm, é capaz de coletar segredos de máquinas de desenvolvedores e se esconde atrás de um rootkit de kernel eBPF, comunicando-se com seu operador via Tor. O malware foi publicado no registro npm por uma conta comprometida chamada ‘asteroiddao’, que introduziu versões de pacotes contendo um binário Rust executado por um hook de pré-instalação. O IronWorm visa variáveis de ambiente e arquivos que podem conter credenciais de serviços populares como AWS, Docker e GitHub, e possui lógica para evitar roubar dados da própria carteira do atacante. Além disso, uma nova variante do worm Miasma foi identificada, comprometendo 57 pacotes npm com 286 versões maliciosas. Essa variante utiliza um arquivo binding.gyp para executar código durante a instalação, contornando verificações de segurança. Os desenvolvedores afetados são aconselhados a rotacionar credenciais e desativar scripts de instalação por padrão.

Pesquisadores de cibersegurança da Sansec revelaram uma nova campanha de roubo de informações de pagamento que utiliza a API do Stripe e o Google Tag Manager (GTM). Os atacantes comprometeram sites de comércio eletrônico baseados em Magento/Adobe Commerce, inserindo um contêiner malicioso do GTM. Quando um usuário acessa o site, o código do GTM é carregado a partir dos servidores do Google, permitindo que um script malicioso seja executado durante o processo de checkout. Esse script monitora a página de pagamento e captura dados sensíveis, como números de cartão, CVV e informações pessoais. Os dados roubados são então ofuscados e enviados para uma conta controlada pelos atacantes no Stripe, utilizando a própria infraestrutura do Stripe para evitar detecções. Essa técnica permite que o malware passe despercebido por políticas de segurança e filtros de rede, tornando a situação ainda mais crítica para os usuários e comerciantes online.

O relatório Verizon Data Breach Investigations Report (DBIR) de 2026 destaca a crescente preocupação com o uso não autorizado de inteligência artificial (IA) nas empresas, conhecido como Shadow AI. Este fenômeno, que representa um aumento de quatro vezes em relação ao ano anterior, ocorre quando funcionários utilizam ferramentas de IA, como ChatGPT, para tarefas cotidianas, muitas vezes sem a aprovação da organização. O relatório revela que 67% dos usuários acessam serviços de IA em dispositivos corporativos através de contas pessoais, expondo dados sensíveis a riscos significativos.

Mais de 900 sistemas automáticos de medição de tanques (ATG) nos Estados Unidos estão expostos na internet e vulneráveis a ataques cibernéticos, conforme alerta da Cybersecurity and Infrastructure Security Agency (CISA) e outras agências federais. Esses sistemas são utilizados para monitorar tanques de armazenamento de combustíveis e produtos químicos, sendo essenciais para a detecção de vazamentos e conformidade regulatória. Os atacantes têm explorado falhas de segurança, como credenciais hardcoded e vulnerabilidades de injeção SQL, para alterar configurações dos sistemas. A CISA alertou que, após compromissos bem-sucedidos, os invasores podem desativar alertas de sistema, aumentando o risco de vazamentos e falhas de equipamentos. A Shadowserver, um grupo de vigilância de segurança, identificou mais de 1.000 sistemas ATG expostos, com a maioria localizada nos EUA. As organizações de infraestrutura crítica são aconselhadas a restringir o acesso remoto e a implementar autenticação multifatorial, além de substituir senhas padrão por credenciais fortes. O alerta surge após relatos de hackers iranianos que comprometeram sistemas ATG em postos de gasolina, manipulando leituras de exibição sem alterar os níveis reais de combustível.

Pesquisadores de cibersegurança identificaram um novo grupo de ameaças, denominado OP-512, que tem como alvo servidores Microsoft Internet Information Services (IIS) para implantar um framework de web shell personalizado. A ReliaQuest, empresa que analisou a atividade, acredita que essa operação de espionagem está ligada à China. O grupo OP-512 é o quarto a focar em servidores IIS nos últimos 12 meses, seguindo outros grupos como CL-STA-0048 e DragonRank. O framework utilizado pelo OP-512 é sofisticado, consistindo em três web shells que permitem acesso remoto ao servidor comprometido, além de técnicas para evitar a detecção e manipular os registros de tempo dos arquivos. Recentemente, o grupo atacou um servidor IIS legado rodando Windows Server 2016, utilizando um processo de trabalho para implantar um dos web shells. A operação foi rápida e eficiente, permitindo que o atacante escalasse privilégios e executasse comandos antes que a defesa pudesse reagir. A ReliaQuest alerta que a combinação de ferramentas personalizadas e a falta de sobreposição com outros grupos conhecidos tornam o OP-512 uma ameaça significativa para organizações que utilizam servidores IIS desatualizados.

Um novo spyware para Android, codinome Asin, tem como alvo usuários de língua árabe, conforme revelado pela empresa de cibersegurança ESET. O malware foi detectado pela primeira vez em campanhas de ataque no início de 2025, utilizando sites fraudulentos que imitam serviços úteis e fontes de notícias governamentais. Entre os sites identificados estão govlens[.]net, que finge ser uma fonte de notícias do governo, e live-war-map[.]com, que promete atualizações sobre incidentes militares. Esses sites distribuem aplicativos maliciosos que combinam funcionalidades legítimas com capacidades de spyware. A ESET observou que as campanhas parecem ter como alvo jornalistas e pesquisadores de OSINT (inteligência de fontes abertas) na região árabe, com três dos cinco aplicativos fraudulentos identificados sendo direcionados a esse público. Os usuários precisam instalar manualmente os aplicativos e conceder permissões para que o spyware funcione. Embora a origem das campanhas ainda não tenha sido atribuída, a natureza dos alvos sugere um foco em indivíduos envolvidos em investigações abertas. A situação é preocupante, pois o spyware pode comprometer a segurança e a privacidade de informações sensíveis.

Uma falha de segurança crítica foi identificada no plugin Everest Forms Pro, utilizado em sites WordPress, afetando cerca de 4.000 instalações ativas. A vulnerabilidade, classificada como CVE-2026-3300, possui uma pontuação CVSS de 9.8 e permite a execução remota de código, resultando na possibilidade de comprometimento total do site. O problema reside na função process_filter() do addon de Cálculo, que concatena valores de campos de formulário submetidos pelo usuário em uma string de código PHP sem a devida sanitização, permitindo que atacantes não autenticados injetem e executem código PHP arbitrário. Desde o início das tentativas de exploração em 13 de abril de 2026, mais de 29.300 tentativas de ataque foram bloqueadas, com um padrão comum de criação de contas de administrador maliciosas. Além disso, a Sansec alertou sobre campanhas de skimmer que utilizam Stripe como servidor de comando e controle, aproveitando-se da reputação da marca para evitar detecções. Essas campanhas têm como alvo páginas de checkout de plataformas como Magento e Adobe Commerce, extraindo dados financeiros de usuários desavisados. A combinação dessas vulnerabilidades e ataques representa um risco significativo para a segurança de sites e dados de clientes.

Nos últimos 18 meses, a adoção de inteligência artificial (IA) nas operações de segurança cibernética (SOC) cresceu exponencialmente, com bilhões de dólares investidos em plataformas de segurança impulsionadas por IA. No entanto, um relatório recente revelou que apenas 10% dos SOCs consideram que a IA trouxe valor excelente, enquanto 71% relataram valor limitado ou nenhum. O estudo identificou que a maioria dos SOCs adota um modelo de ’taker’, utilizando IA padrão sem personalização, o que resulta em baixa eficácia. Além disso, os desafios de maturidade operacional e a falta de melhores práticas aumentaram, indicando que muitos SOCs não sabem como utilizar a IA adquirida de forma eficaz. A primeira onda de ferramentas de IA foi integrada como recursos em produtos de segurança existentes, mas não conseguiu conectar os diferentes estágios do fluxo de trabalho, resultando em um aumento da fragmentação. Os SOCs que obtiveram sucesso na implementação da IA têm arquiteturas que permitem uma operação integrada e contínua, onde a IA é governável e adaptável ao ambiente dinâmico em que opera. Para que a indústria avance, é crucial que as operações de segurança conectem suas etapas e adotem uma abordagem mais holística em relação à IA.

Na última quinta-feira, a Cisco emitiu um alerta sobre uma vulnerabilidade crítica, classificada como zero-day, no Cisco Catalyst SD-WAN Manager, identificada como CVE-2026-20245. Essa falha, que ainda não possui correção, permite a escalada de privilégios para usuários com permissões limitadas, possibilitando a execução de comandos arbitrários como root. A vulnerabilidade afeta todos os tipos de implantação, incluindo soluções on-premises e na nuvem. A Cisco informou que a exploração dessa falha requer que o atacante tenha privilégios de netadmin, o que pode ser obtido através de credenciais válidas ou pela exploração de outras vulnerabilidades conhecidas. A empresa também observou tentativas limitadas de exploração que resultaram em alterações de configuração em dispositivos de borda. Além disso, a Cisco já havia identificado outras falhas críticas em seu SD-WAN Manager, algumas das quais também estão sendo ativamente exploradas. A recomendação é que os administradores verifiquem os logs do sistema para identificar possíveis tentativas de exploração e que abram um chamado com o suporte técnico da Cisco para assistência.

O grupo de cibercriminosos conhecido como PCPJack comprometeu servidores em nuvem da Amazon Web Services (AWS), Google Cloud e Microsoft Azure, estabelecendo uma rede clandestina de retransmissão de e-mails SMTP. A Hunt.io, empresa de inteligência em cibersegurança, revelou que servidores de empresas nos EUA, Europa e Ásia foram convertidos em proxies SMTP, sincronizados a cada cinco minutos com um consumidor downstream. Durante a investigação, foram encontrados códigos-fonte, binários compilados e ferramentas de exploração em diretórios abertos de um servidor de comando e controle (C2). O PCPJack foi identificado pela primeira vez em abril de 2026, quando um framework de roubo de credenciais foi detectado. Os proxies SMTP verificados são enriquecidos com informações de IP, país e ASN, e a lista é sincronizada a cada cinco minutos para um servidor separado. O objetivo final da operação ainda é incerto, mas a infraestrutura para entrega em larga escala está claramente em funcionamento, levantando preocupações sobre possíveis usos para spam ou phishing.

Pesquisadores de segurança e o FBI alertam sobre uma onda de fraudes temáticas da FIFA que já está afetando os fãs da Copa do Mundo 2026, dias antes do início do torneio. Com mais de seis milhões de torcedores esperados e uma demanda de ingressos que supera em 30 vezes a oferta, os golpistas estão aproveitando a ansiedade dos fãs. O grupo GHOST STADIUM, por exemplo, registrou mais de 4.300 domínios fraudulentos, com páginas de login quase idênticas ao site oficial da FIFA, que coletam informações pessoais e podem revender ingressos. Além disso, aplicativos de streaming pirata estão sendo utilizados para disseminar malware bancário, comprometendo dispositivos móveis. As fraudes incluem também sites falsos de produtos, apostas e até e-mails de loteria prometendo prêmios. O FBI e outras entidades estão monitorando a situação, mas a quantidade de domínios fraudulentos ainda ativos é alarmante, com estimativas de perdas que podem chegar a bilhões de dólares. Os fãs devem ser cautelosos e comprar apenas através de canais oficiais.

Um incidente de segurança na DentaQuest, administradora de benefícios dentários nos EUA, resultou na exposição de dados sensíveis de 2,6 milhões de contas. O grupo de extorsão ShinyHunters anunciou o vazamento em seu site, alegando ter roubado mais de 234 GB de informações. A DentaQuest, que atende 35 milhões de clientes e possui uma rede de 140 mil dentistas, confirmou a violação em 2 de junho, informando que tomou medidas imediatas para conter o ataque e que os sistemas permanecem operacionais. A análise do serviço Have I Been Pwned (HIBP) revelou que os dados vazados incluem endereços de e-mail, números de telefone, identificações emitidas pelo governo, informações de seguro de saúde e datas de nascimento. Embora a DentaQuest não tenha confirmado que os dados afetaram seus clientes, a HIBP validou os registros vazados. O incidente aumenta o risco de ataques de engenharia social e phishing, exigindo cautela dos usuários cujas informações podem ter sido comprometidas.

Uma nova campanha do grupo Magecart está explorando a infraestrutura da API do Stripe para hospedar um código malicioso que rouba dados de cartões de crédito durante o processo de checkout. Pesquisadores da empresa de segurança em e-commerce Sansec identificaram que a atividade maliciosa utiliza o Google Tag Manager (GTM) e os domínios do Stripe, que são geralmente confiáveis por lojas online. O código malicioso é carregado de um contêiner do GTM e executado em todas as páginas que o carregam, permitindo que o skimmer evite regras de segurança que normalmente bloqueariam tráfego desconhecido. O malware é projetado para capturar informações sensíveis, como números de cartões de crédito, datas de validade e códigos CVV, além de dados pessoais dos clientes. Os dados roubados são armazenados localmente e enviados para a conta do atacante no Stripe como registros de clientes falsos. Além disso, uma variante do ataque utiliza o Google Firestore para armazenar os dados, disfarçando-se como tráfego legítimo. Para se proteger, os consumidores são aconselhados a usar cartões virtuais de uso único com limites definidos.

O navegador Hola para Windows foi comprometido em um ataque à cadeia de suprimentos, resultando na instalação de um minerador de criptomoedas não declarado, identificado como Monero. A vulnerabilidade foi descoberta durante verificações de certificação periódicas realizadas pela AppEsteem, que anteriormente havia aprovado o software. A Hola, uma empresa israelense conhecida por seu serviço de VPN, confirmou a violação e alegou que apenas 0,1% de seus usuários foram afetados, sem evidências de acesso ou roubo de dados pessoais. O arquivo malicioso, denominado ‘me.exe’, foi encontrado em alguns sistemas e apresentava características suspeitas, como código ofuscado e a capacidade de se auto-replicar. A empresa já tomou medidas para reconstruir sua infraestrutura de distribuição e implementar controles de acesso mais rigorosos. Apesar da confirmação do ataque, a Hola assegura que não houve comprometimento significativo de dados dos usuários. A situação destaca a importância de monitoramento contínuo e verificação de integridade em softwares amplamente utilizados, especialmente em um contexto onde a segurança cibernética é cada vez mais crítica.

A Brave Software anunciou o lançamento público do Brave Origin, uma versão paga e minimalista de seu navegador, que elimina recursos voltados para monetização, como criptomoedas, inteligência artificial e recompensas. O objetivo do Brave Origin é atender usuários que buscam uma experiência de navegação mais limpa e focada em privacidade, sem as funcionalidades adicionais que a versão padrão oferece. A empresa afirma que o novo navegador desativa recursos como Brave Rewards, Brave Wallet e promoções de VPN, mantendo, no entanto, as proteções de privacidade e bloqueio de anúncios do Brave Shields. O preço da licença é de US$ 59,99, permitindo a ativação em até 10 dispositivos, enquanto usuários do Linux podem obter a versão gratuitamente. O lançamento gerou críticas, com alguns usuários argumentando que a Brave se tornou uma camada de monetização, cobrando por uma versão que deveria ser a norma. Defensores do projeto afirmam que a nova versão facilita o acesso a um navegador mais focado em privacidade, especialmente para aqueles que não têm conhecimento técnico para desativar manualmente as configurações na versão gratuita.

O grupo de cibercriminosos Anubis reivindicou a responsabilidade por um vazamento de dados no Singing River Health System, localizado no Condado de Jackson, Mississippi. O incidente, que ocorreu entre 19 e 21 de dezembro de 2025, afetou 53.888 pessoas, comprometendo informações sensíveis, como números de Seguro Social, dados bancários, informações médicas e de seguro saúde. Anubis afirma ter roubado 293 GB de dados, incluindo imagens íntimas de cirurgias, e publicou amostras em seu site de vazamento. Embora o Singing River Health System tenha notificado os afetados e oferecido monitoramento de crédito gratuito, não confirmou a reivindicação do grupo. Este não é o primeiro ataque de ransomware enfrentado pela instituição, que já havia sido alvo de um incidente em agosto de 2023, afetando mais de 895 mil pessoas. O grupo Anubis, ativo desde 2024, opera sob um modelo de ransomware como serviço, permitindo que afiliados utilizem sua infraestrutura para realizar ataques. O aumento de ataques de ransomware no setor de saúde nos EUA, com 143 incidentes confirmados em 2025, levanta preocupações sobre a segurança de dados e a continuidade dos serviços de saúde.

Na quarta-feira, a Microsoft anunciou a correção de um problema que permitiu que alguns dispositivos Windows instalassem atualizações de drivers sem aviso, apesar de políticas configuradas para impedir atualizações automáticas. De acordo com um relatório de incidente do centro de administração (MO1332784), a empresa atribuiu a falha a uma má configuração no serviço de cache do Windows Update, que temporariamente descartou informações de registro de dispositivos. Isso fez com que alguns dispositivos fossem tratados como não registrados, impedindo a aplicação correta dos controles de aprovação de drivers. A equipe de suporte do Intune também reconheceu o problema nas redes sociais, afirmando que estava trabalhando ativamente para mitigá-lo. A Microsoft garantiu que os drivers instalados eram aprovados e não representavam uma ameaça à segurança. Após a atualização do cache do serviço afetado e a confirmação de que o problema foi resolvido, a empresa continua a investigar a causa da falha para evitar recorrências. Embora a Microsoft não tenha divulgado quantas regiões ou clientes foram afetados, administradores de Windows relataram que dezenas de milhares de dispositivos receberam atualizações inesperadas, causando problemas em dispositivos de áudio e vídeo.

Um tópico em um fórum intitulado “Hacking for Profit. Working method” revela como comunidades underground compartilham informações sobre exploração de vulnerabilidades e técnicas de hacking. O autor, conhecido como “Hercules”, apresenta um guia prático que descompõe o processo de identificação e monetização de vulnerabilidades em etapas claras. O tutorial aborda desde a busca por vulnerabilidades recém-divulgadas, como execução remota de código e vazamento de dados, até a validação de sistemas expostos e a decisão sobre a exploração ou divulgação das falhas.

Um novo ataque à cadeia de suprimentos afetou 36 pacotes no Node Package Manager (npm), introduzindo um malware infostealer chamado IronWorm. Este malware, escrito em Rust, visa 86 variáveis de ambiente e 20 arquivos de credenciais, que podem conter informações sensíveis como credenciais da OpenAI, AWS, Anthropic e npm, além de chaves SSH e arquivos de carteiras de criptomoedas. A pesquisa da JFrog revelou que o IronWorm se propaga utilizando credenciais roubadas para publicar pacotes no npm, comprometendo ambientes de desenvolvedores e sistemas de integração contínua (CI). O ataque começou a partir de uma conta comprometida chamada ‘asteroiddao’, que publicou versões maliciosas de pacotes. O malware utiliza um rootkit e se comunica com o operador via rede Tor, além de empregar um mecanismo que utiliza GitHub Actions para entregar segredos roubados. Embora o ataque tenha sido detectado rapidamente, a situação destaca a necessidade de os desenvolvedores atualizarem suas versões de pacotes e implementarem autenticação de dois fatores (2FA). O incidente é um lembrete da vulnerabilidade das cadeias de suprimentos e da importância de medidas de segurança robustas.

O Programa Mundial de Alimentos (PMA), a maior organização humanitária do mundo, anunciou no último fim de semana que sua aplicação de auto-registro para a Palestina foi comprometida. O incidente, ocorrido em 14 de maio, resultou no acesso não autorizado a dados pessoais de beneficiários em Gaza, incluindo nomes, números de identificação, telefones e informações de localização. O PMA assegurou que os beneficiários não precisam atualizar ou excluir suas informações, e que a assistência continuará normalmente. A plataforma de registro foi temporariamente suspensa para implementar melhorias de segurança. Embora o número exato de pessoas afetadas não tenha sido divulgado, estima-se que cerca de 600.000 lares palestinos tenham seus dados expostos. O PMA alertou os beneficiários a terem cuidado com tentativas de phishing e a não clicarem em links suspeitos. Este não é o primeiro incidente de segurança envolvendo agências da ONU, que já enfrentaram outros ataques cibernéticos nos últimos anos, levantando preocupações sobre a proteção de dados em organizações humanitárias.

O cenário de cibersegurança continua a apresentar desafios significativos, com a recente divulgação de uma vulnerabilidade crítica no Cisco Unified Communications Manager (CVE-2026-20230), que permite ataques de Server-Side Request Forgery (SSRF) por atacantes remotos não autenticados. A Cisco já lançou patches para mitigar essa falha, que pode permitir a execução de comandos maliciosos no sistema operacional subjacente. Além disso, a Rússia revelou uma operação em larga escala de espionagem, onde serviços de inteligência estrangeiros implantaram spyware em dispositivos móveis de altos oficiais, visando a exfiltração de dados sensíveis.

Recentemente, a comunidade de cibersegurança foi alertada sobre os riscos associados à inteligência artificial (IA) em redes de defesa, após um incidente em que um modelo de IA da Anthropic, o Claude Mythos, foi supostamente acessado por um grupo não autorizado em poucas horas. Este evento destaca a vulnerabilidade das redes de defesa e inteligência dos EUA, especialmente com a crescente adoção de IA em ambientes classificados. Para garantir que a IA ofereça vantagens decisórias, é crucial considerar três áreas principais: a qualidade dos dados que alimentam os modelos, o controle de acesso às IAs e a integridade das comunicações entre a IA e os sistemas de missão. A infraestrutura de rede segura é fundamental para mitigar riscos, já que a IA pode introduzir vulnerabilidades em múltiplas camadas. A empresa Everfox está desenvolvendo soluções para permitir que agências de defesa e inteligência integrem IA de forma segura, sem comprometer a velocidade e a segurança das operações. A implementação responsável da IA deve ser feita com segurança incorporada desde o início, evitando que a tecnologia se torne uma responsabilidade em vez de uma vantagem.

Um pesquisador de segurança descobriu uma falha no Claude Code, uma ação do GitHub desenvolvida pela Anthropic, que permitia a um atacante assumir repositórios públicos vulneráveis apenas com a abertura de uma única issue no GitHub. A falha foi reportada em janeiro e corrigida em quatro dias, com a versão segura sendo a claude-code-action v1.0.94. A vulnerabilidade foi classificada com um score de 7.8 no CVSS v4.0 e resultou em um pagamento de recompensa por bugs. O problema estava na verificação de gatilho da ação, que permitia que qualquer ator cujo nome terminasse em [bot] acionasse a ação, assumindo que aplicativos do GitHub são confiáveis. Isso possibilitou que um atacante injetasse comandos maliciosos que poderiam expor variáveis de ambiente e credenciais sensíveis. Além disso, a configuração padrão da ação permitia que usuários sem acesso de escrita a acionassem, aumentando o risco. A situação é crítica, pois um ataque semelhante já resultou na exploração de um token de publicação npm em outro repositório. A recomendação é atualizar para a versão corrigida e auditar fluxos de trabalho que permitam entradas não confiáveis.

A Cisco lançou um patch para uma vulnerabilidade crítica no Unified Communications Manager (UCM), identificada como CVE-2026-20230. Essa falha permite que um atacante não autenticado na rede escreva arquivos no sistema, possibilitando a escalada de privilégios até o nível root. O problema é classificado como uma ‘server-side request forgery’ (SSRF), onde requisições HTTP malformadas podem ser utilizadas para comprometer a integridade do sistema. Embora a Cisco não tenha registrado ataques explorando essa vulnerabilidade até o momento, a disponibilidade de um código de prova de conceito (PoC) aumenta a preocupação com possíveis explorações. A falha só se manifesta quando o serviço WebDialer está ativo, o que não é o padrão, mas organizações que o ativaram estão em risco. A correção para a versão 14 do UCM está disponível, enquanto a atualização completa para a versão 15 está prevista para setembro de 2026. A situação é alarmante, considerando que o UCM já foi alvo de outras vulnerabilidades críticas no passado, como a presença de uma conta SSH root hard-coded.

A Cisco divulgou atualizações de segurança para corrigir uma vulnerabilidade crítica no Cisco Unified Communications Manager (Unified CM), que permite que atacantes obtenham privilégios de root. A falha, identificada como CVE-2026-20230, pode ser explorada remotamente por meio de ataques de Server-Side Request Forgery (SSRF) de baixa complexidade, sem a necessidade de privilégios. Um atacante pode enviar uma solicitação HTTP manipulada para um dispositivo afetado, possibilitando a escrita de arquivos no sistema operacional subjacente, o que pode ser usado para elevar privilégios a root.