Vulnerabilidade

Pesquisadores da Bitdefender identificaram duas vulnerabilidades críticas em mais de 100 modelos de câmeras de segurança da Dahua, uma das maiores fabricantes de CFTV do mundo. As falhas, que permitem a execução remota de código sem autenticação, foram classificadas como CVE-2025-31700 e CVE-2025-31701. Ambas as vulnerabilidades são do tipo buffer overflow, que podem ser exploradas por atacantes para assumir o controle total dos dispositivos. A Dahua confirmou que 126 modelos, incluindo séries IPC, SD e DH, estão afetados. A empresa já lançou atualizações de firmware para corrigir as falhas e recomenda que todos os clientes atualizem seus dispositivos imediatamente. Para aqueles que não puderem realizar a atualização de imediato, a Dahua sugere desconectar as câmeras da internet, desabilitar o UPnP e isolá-las em redes separadas. As câmeras vulneráveis, especialmente aquelas acessíveis pela internet, são consideradas alvos primários para ataques, podendo permitir a instalação de código malicioso persistente. A Dahua já enfrentou críticas em vários países devido a questões de cibersegurança e privacidade de dados, tornando a atualização de firmware uma prioridade urgente para os usuários.

Pesquisadores identificaram uma nova técnica de ataque chamada MadeYouReset, que explora vulnerabilidades em várias implementações do protocolo HTTP/2, permitindo a realização de ataques de negação de serviço (DoS) em larga escala. O ataque contorna o limite de 100 requisições HTTP/2 simultâneas por conexão TCP, que visa mitigar DoS, permitindo que um atacante envie milhares de requisições, resultando em condições de negação de serviço para usuários legítimos. A vulnerabilidade, identificada como CVE-2025-8671, afeta produtos amplamente utilizados, como Apache Tomcat, F5 BIG-IP e Netty. O ataque se baseia na manipulação de frames RST_STREAM e na violação de sequências de protocolo, levando a um esgotamento de recursos do servidor. A CERT/CC destacou que a complexidade dos protocolos modernos torna a proteção contra esses ataques mais crítica do que nunca. Além disso, a descoberta de MadeYouReset ocorre em um contexto onde outras vulnerabilidades, como ataques de desincronização HTTP/1.1, também foram reveladas, expondo milhões de sites a riscos. A segurança do HTTP/2 é essencial, pois é uma base fundamental da infraestrutura web atual.

Pesquisadores da Proofpoint alertam que a autenticação FIDO, considerada uma das defesas mais robustas contra phishing e roubo de credenciais, apresenta vulnerabilidades preocupantes. O estudo revela que, em certos navegadores, como o Safari no Windows, a autenticação FIDO não é suportada, forçando os usuários a recorrer a métodos de login menos seguros, como senhas temporárias enviadas por SMS ou e-mail. Esses métodos podem ser interceptados em ataques do tipo Adversário no Meio (AiTM), permitindo que atacantes acessem contas protegidas por autenticação multifator (MFA). Embora não haja evidências de que essa técnica esteja sendo amplamente explorada, a possibilidade de seu uso aumenta à medida que mais empresas adotam a autenticação FIDO. Para mitigar riscos, recomenda-se que as empresas desativem métodos alternativos de autenticação para contas críticas ou implementem verificações adicionais quando esses métodos forem acionados.

Em 2020, mais de 75% da população mundial se identificou com alguma religião, o que representa cerca de 6 bilhões de pessoas. Com o aumento do uso de aplicativos para acessar conteúdos religiosos, surge a preocupação sobre a segurança desses aplicativos. Uma análise de 158 dos aplicativos religiosos mais populares na Google Play Store revelou que, em média, cada aplicativo solicita 21 permissões, sendo 3,7 classificadas como ‘perigosas’ pela plataforma Android. Essas permissões incluem acesso a dados sensíveis como localização, câmera e microfone.

Pesquisadores de cibersegurança descobriram uma nova técnica para explorar a experiência de configuração inicial do Windows (OOBE), que permite a usuários não autorizados obter privilégios administrativos durante o processo de instalação. Essa vulnerabilidade é particularmente preocupante em ambientes corporativos, onde funcionários podem reiniciar dispositivos e explorar o OOBE para criar contas de administrador não autorizadas ou instalar software malicioso. A técnica tradicional, que utiliza o atalho Shift + F10, já era conhecida, mas a nova abordagem, que usa o atalho Win + R, contorna as medidas de proteção implementadas pela Microsoft, como a criação do arquivo DisableCMDRequest.tag. Apesar de a Microsoft não considerar essa falha como uma vulnerabilidade de segurança, a situação expõe as empresas a riscos significativos, especialmente se o botão de redefinição não for ocultado no portal da empresa do Microsoft Intune. Administradores de TI são aconselhados a tomar medidas preventivas para proteger seus sistemas contra esse tipo de exploração.

A Microsoft revelou uma vulnerabilidade crítica em sua ferramenta Web Deploy, que pode permitir a execução remota de código em sistemas afetados. Identificada como CVE-2025-53772, a falha foi divulgada em 12 de agosto de 2025 e possui uma classificação de severidade ‘Importante’, com um escore CVSS de 8.8, indicando um risco significativo para ambientes corporativos. A vulnerabilidade decorre de um manuseio inadequado da desserialização de dados não confiáveis, uma fraqueza comum que pode conceder acesso extensivo ao sistema para atacantes. O Web Deploy, amplamente utilizado para publicar aplicações web em servidores IIS, se torna um vetor de ataque quando explorado por agentes maliciosos com privilégios baixos. A exploração dessa falha não requer interação do usuário e pode levar a acessos não autorizados, modificações de sistema e interrupções de serviço. A Microsoft recomenda que as organizações avaliem imediatamente suas implementações do Web Deploy e se preparem para atualizações de segurança, além de revisar processos de implantação e implementar controles de acesso adicionais. Profissionais de segurança são aconselhados a monitorar atividades suspeitas relacionadas ao Web Deploy e a garantir a segurança das pipelines de CI/CD para evitar infiltrações na rede.

Um novo alerta da CISA destaca uma vulnerabilidade crítica de deserialização insegura no N-able N-Central, identificada como CVE-2025-XXXX, que pode permitir a execução remota de comandos (RCE). A falha foi descoberta em 13 de agosto de 2025 e está relacionada ao deserializer YAML personalizado utilizado na console de gerenciamento do N-Central. Através da criação de um objeto Java malicioso, um atacante pode injetar código arbitrário, comprometendo a segurança do sistema. Essa vulnerabilidade é considerada de alta severidade pela OWASP, pois permite que dados não confiáveis sejam processados sem a devida validação. A CISA recomenda que as organizações adotem medidas imediatas, como aplicar patches e desabilitar o deserializer YAML, além de monitorar requisições API irregulares e realizar auditorias de logs. Embora não haja confirmação de exploração em campanhas de ransomware conhecidas, a urgência para mitigar essa falha é clara, especialmente considerando o aumento do uso de falhas de deserialização em ataques cibernéticos. As empresas devem alinhar suas ações com a Diretiva Operacional de Vinculação 22-01, que orienta sobre a proteção de serviços em nuvem.

Uma vulnerabilidade crítica foi identificada no popular plugin do WordPress “Database for Contact Form 7, WPforms, Elementor forms”, afetando todas as versões até 1.4.3. Classificada como CVE-2025-7384 e com um escore CVSS de 9.8, essa falha permite que atacantes não autenticados injetem objetos PHP maliciosos e potencialmente excluam arquivos arbitrários de sites afetados. A vulnerabilidade decorre da desserialização de dados não confiáveis na função get_lead_detail do plugin, permitindo a injeção de objetos PHP sem autenticação. Quando combinada com uma cadeia de programação orientada a propriedades (POP) presente no plugin Contact Form 7, os atacantes podem escalar a injeção de objetos para alcançar a exclusão de arquivos arbitrários, resultando em condições de negação de serviço (DoS) ou até mesmo execução remota de código (RCE). A falha foi divulgada publicamente em 12 de agosto de 2025, e um patch foi disponibilizado logo em seguida. Administradores de sites devem atualizar imediatamente para a versão 1.4.4 ou superior para evitar a exploração dessa vulnerabilidade. Dada a natureza não autenticada da falha e seu potencial para execução remota de código, é crucial que as organizações afetadas priorizem a correção imediata e considerem implementar medidas de segurança adicionais, como firewalls de aplicações web (WAF) e monitoramento de segurança regular.

Pesquisadores de cibersegurança da Horizon3.ai identificaram duas vulnerabilidades críticas, CVE-2025-8355 e CVE-2025-8356, no Xerox FreeFlow Core, uma plataforma amplamente utilizada para orquestração de impressão em empresas, universidades e órgãos governamentais. Essas falhas permitem que atacantes remotos não autenticados comprometam completamente o sistema por meio de injeção de Entidades Externas XML (XXE) e ataques de travessia de caminho. A descoberta começou com um chamado de suporte de um cliente que relatou uma detecção falsa positiva em seu sistema de segurança, levando os pesquisadores a investigar mais a fundo. A vulnerabilidade XXE permite ataques de falsificação de requisições do lado do servidor, enquanto a falha de travessia de caminho possibilita o upload de arquivos maliciosos, resultando em execução remota de código. Dada a natureza sensível das implementações do FreeFlow Core, que lidam com materiais de marketing pré-publicação, essas vulnerabilidades representam um risco significativo. A Xerox já lançou patches para ambas as falhas na versão 8.0.5 do FreeFlow Core, e os especialistas recomendam que todos os usuários atualizem imediatamente para evitar possíveis explorações.

Pesquisadores de segurança da Zimperium, através do zLabs, descobriram uma vulnerabilidade crítica em frameworks populares de rooting para Android, que pode permitir que aplicativos maliciosos comprometam completamente dispositivos roteados. A falha, identificada inicialmente em meados de 2023, explora fraquezas de autenticação em ferramentas como o KernelSU, permitindo que atacantes obtenham acesso root não autorizado e controlem totalmente os dispositivos afetados.

A vulnerabilidade afeta especificamente a versão 0.5.7 do KernelSU, um framework moderno que utiliza patching de kernel para obter privilégios elevados. O problema reside no mecanismo de autenticação do KernelSU, que verifica a assinatura digital do arquivo APK do aplicativo chamador. Os pesquisadores descobriram que esse processo de verificação tinha uma falha crítica: ele escaneava a tabela de descritores de arquivos do processo e verificava apenas o primeiro arquivo que correspondia ao padrão esperado. Isso permite que atacantes manipulem a ordem dos descritores de arquivos para enganar o kernel, fazendo-o ler o APK do gerenciador legítimo em vez do aplicativo malicioso.

Pesquisadores de segurança da Zimperium, através do zLabs, descobriram uma vulnerabilidade crítica em frameworks populares de rooting para Android, que pode permitir que aplicativos maliciosos assumam o controle total de dispositivos roteados. A falha, identificada em meados de 2023, explora fraquezas de autenticação em ferramentas como o KernelSU, permitindo acesso irrestrito ao sistema sem o conhecimento do usuário. A vulnerabilidade afeta a versão 0.5.7 do KernelSU, que utiliza técnicas de patching do kernel para fornecer acesso root. O problema central reside em um mecanismo de autenticação falho, que deveria impedir aplicativos não autorizados de acessar interfaces privilegiadas do kernel. Os atacantes podem manipular a ordem dos descritores de arquivos para enganar o kernel, fazendo com que ele leia a assinatura APK do gerenciador legítimo em vez do aplicativo malicioso. A pesquisa indica que vulnerabilidades de autenticação são comuns em frameworks de rooting, com riscos particularmente elevados durante os ciclos de inicialização do dispositivo. A Zimperium oferece soluções de defesa contra ameaças móveis que podem detectar tais compromissos, monitorando o status de rooting dos dispositivos e a presença de malware.

A Fortinet emitiu um alerta sobre uma vulnerabilidade crítica no FortiSIEM, identificada como CVE-2025-25256, que possui um CVSS de 9.8, indicando um alto nível de severidade. Essa falha permite que atacantes não autenticados executem comandos não autorizados por meio de requisições CLI manipuladas, o que pode comprometer a segurança da rede. As versões afetadas incluem FortiSIEM 6.1 a 6.6, além de várias subversões de 6.7 a 7.3, sendo recomendada a atualização para versões corrigidas. A Fortinet também confirmou a existência de código de exploração prático em circulação, embora não tenha fornecido detalhes sobre sua natureza ou localização. Como medida de mitigação, a empresa sugere que as organizações restrinjam o acesso à porta phMonitor (7900). Este alerta surge em um contexto de aumento de tráfego de força bruta direcionado a dispositivos VPN SSL da Fortinet, o que pode indicar uma intensificação das tentativas de exploração de vulnerabilidades. A situação requer atenção imediata das equipes de segurança para evitar possíveis comprometimentos.