Vulnerabilidade

O Node.js lançou atualizações para corrigir uma falha de segurança crítica que impacta praticamente todos os aplicativos em produção que utilizam a plataforma. A vulnerabilidade, identificada como CVE-2025-59466, pode levar a uma condição de negação de serviço (DoS) se explorada. O problema ocorre devido a um erro que se manifesta quando a API async_hooks é utilizada, resultando na saída abrupta do Node.js com o código 7, sem lançar um erro capturável. Isso torna os aplicativos vulneráveis a ataques de DoS, especialmente aqueles que dependem de entradas não sanitizadas para controlar a profundidade da recursão. As versões afetadas incluem todas a partir da 8.x até a 18.x, com correções disponíveis nas versões 20.20.0, 22.22.0, 24.13.0 e 25.3.0. Apesar da gravidade, a equipe do Node.js considera a correção uma mitigação, uma vez que a exaustão de espaço na pilha não é parte da especificação ECMAScript e não é tratada como um problema de segurança pelo motor V8. Dada a gravidade da vulnerabilidade, é recomendado que os usuários atualizem suas versões o mais rápido possível.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma nova vulnerabilidade crítica no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-8110, permite a execução remota de código (RCE) não autenticada por meio da API PutContents, comprometendo servidores Gogs. Com um índice de severidade de 8.7/10, a CISA ordenou que as agências federais apliquem um patch até 2 de fevereiro de 2026, ou cessem o uso do software vulnerável. O Gogs é um serviço de Git auto-hospedado, frequentemente utilizado em ambientes de desenvolvimento interno e redes isoladas. Pesquisadores da Wiz Research relataram que mais de 700 servidores Gogs já foram comprometidos, com ataques em andamento desde novembro de 2025. A correção disponível no GitHub implementa validação de caminho ciente de symlink em todos os pontos de entrada de escrita de arquivos, mitigando a vulnerabilidade. A situação destaca a necessidade urgente de atualização por parte das organizações que utilizam essa plataforma, uma vez que mais de 1.400 servidores Gogs estão expostos online.

A ServiceNow divulgou uma falha de segurança crítica em sua plataforma AI, identificada como CVE-2025-12420, que permite a um usuário não autenticado se passar por outro usuário e realizar ações arbitrárias em seu nome. Com uma pontuação CVSS de 9.3, a vulnerabilidade foi corrigida em 30 de outubro de 2025, através de uma atualização de segurança aplicada à maioria das instâncias hospedadas. A empresa também compartilhou os patches com parceiros e clientes que utilizam a plataforma de forma autônoma. A falha foi descoberta por Aaron Costello, da AppOmni, e, embora não haja evidências de exploração ativa, a ServiceNow recomenda que os usuários apliquem as atualizações de segurança imediatamente para evitar possíveis ameaças. Essa divulgação ocorre após a AppOmni ter alertado sobre a possibilidade de ataques que exploram configurações padrão na plataforma Now Assist, permitindo que agentes maliciosos realizem injeções de comandos e acessem dados corporativos sensíveis. A situação destaca a importância de manter as plataformas atualizadas e seguras, especialmente em ambientes de SaaS.

Os agentes de inteligência artificial (IA) estão evoluindo rapidamente, não apenas escrevendo código, mas também executando-o. Ferramentas como Copilot, Claude Code e Codex agora conseguem construir, testar e implantar software em questão de minutos, o que, embora acelere o desenvolvimento, também cria lacunas de segurança que muitas equipes não percebem até que ocorra um problema. Um aspecto crítico que muitas organizações não estão protegendo adequadamente são os Protocolos de Controle de Máquinas (MCPs), que determinam quais comandos um agente de IA pode executar e quais ferramentas e APIs pode acessar. A falha CVE-2025-6514 exemplifica esse risco, onde um proxy OAuth confiável foi transformado em um vetor de execução remota de código, permitindo que a automação realizasse ações não intencionais em larga escala. Este cenário destaca a necessidade urgente de as equipes de segurança entenderem e protegerem esses sistemas de controle, pois, se um agente de IA pode executar comandos, também pode ser usado para realizar ataques. Um webinar está sendo oferecido para discutir esses riscos e como as organizações podem implementar controles práticos para garantir a segurança sem comprometer a velocidade de desenvolvimento.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade de alta severidade no Gogs, identificada como CVE-2025-8110, com uma pontuação CVSS de 8.7. Essa falha, relacionada a uma vulnerabilidade de travessia de caminho no editor de arquivos do repositório, pode permitir a execução de código malicioso. A CISA destacou que a vulnerabilidade permite que atacantes contornem proteções existentes, criando um repositório Git e utilizando a API PutContents para escrever dados em um link simbólico que aponta para um arquivo sensível, resultando na sobrescrição de arquivos de configuração do Git. A Wiz, empresa de segurança que descobriu a exploração em ataques zero-day, identificou 700 instâncias do Gogs comprometidas. Embora não existam patches disponíveis no momento, alterações de código necessárias foram feitas e aguardam a construção da nova imagem. Enquanto isso, os usuários do Gogs são aconselhados a desativar o registro aberto padrão e restringir o acesso ao servidor. Agências do governo dos EUA têm até 2 de fevereiro de 2026 para aplicar as mitig ações necessárias.

Pesquisadores de cibersegurança, incluindo a equipe da Censys, identificaram 11 falhas críticas na plataforma de código aberto Coolify, que permite a hospedagem de servidores de forma autônoma. Essas vulnerabilidades, que afetam aproximadamente 52.890 servidores globalmente, possibilitam que hackers contornem autenticações e executem códigos remotamente, resultando em controle total sobre os servidores comprometidos. Os países mais afetados incluem Alemanha, Estados Unidos, França e Brasil, com 4.200 servidores vulneráveis. As falhas variam desde injeções de comando em bancos de dados até problemas de configuração e má codificação, o que gera acesso indevido por diferentes vetores, como SSH e repositórios Git. Embora não tenham sido registradas explorações ativas até o momento, os especialistas recomendam que os usuários atualizem suas versões do Coolify o mais rápido possível, especialmente as versões afetadas, que vão até a 4.0.0-beta.450. As correções estão disponíveis nas versões mais recentes, mas algumas falhas ainda não possuem soluções conhecidas. A gravidade das vulnerabilidades exige atenção imediata dos administradores de servidores que utilizam a plataforma.

A Trend Micro anunciou a liberação de um patch crítico para sua plataforma Apex Central, que é uma solução de gerenciamento de segurança centralizada para empresas. A vulnerabilidade identificada como CVE-2025-69258 permitia a injeção de DLLs não autenticadas e a execução remota de código, com uma gravidade avaliada em 9.8/10. Essa falha poderia ser explorada por atacantes remotos sem qualquer interação do usuário, permitindo que códigos maliciosos fossem executados com privilégios elevados. Além da CVE-2025-69258, o patch também corrige outras duas vulnerabilidades, CVE-2025-69259 e CVE-2025-69260, que também podem ser exploradas por atacantes não autenticados. A Trend Micro recomenda que as empresas apliquem o patch imediatamente, uma vez que medidas temporárias, como desconectar sistemas da internet, não são soluções definitivas. A empresa também sugere que os clientes revisem o acesso remoto a sistemas críticos e atualizem suas políticas de segurança de perímetro.

Recentemente, a cibersegurança enfrentou desafios significativos, destacando como pequenas falhas podem resultar em grandes consequências. Um exemplo alarmante é a vulnerabilidade crítica na plataforma de automação n8n, identificada como CVE-2026-21858, que permite execução remota de código sem autenticação, potencialmente comprometendo sistemas inteiros. Essa falha, que afeta versões anteriores à 1.121.0, é particularmente preocupante para organizações que utilizam n8n para automatizar fluxos de trabalho sensíveis.

Além disso, o botnet Kimwolf, uma variante do malware Aisuru, infectou mais de dois milhões de dispositivos Android, explorando vulnerabilidades em redes de proxy residenciais. O malware utiliza o Android Debug Bridge (ADB) exposto para executar comandos remotamente, aumentando o risco de comprometimento de dispositivos em redes internas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) anunciou o encerramento de 10 diretrizes de emergência (EDs) emitidas entre 2019 e 2024, que visavam mitigar riscos cibernéticos enfrentados por agências federais. As diretrizes abordavam vulnerabilidades significativas, incluindo problemas relacionados ao DNS, Windows, SolarWinds e Microsoft Exchange. A CISA trabalhou em colaboração com agências federais para implementar as ações necessárias e garantir a resiliência da infraestrutura digital. A agência destacou que as ações exigidas foram implementadas com sucesso ou estão agora sendo aplicadas através da Diretiva Operacional Vinculante (BOD) 22-01, que visa reduzir riscos de vulnerabilidades conhecidas. O diretor interino da CISA, Madhu Gottumukkala, enfatizou a importância da colaboração para eliminar acessos persistentes e enfrentar ameaças emergentes, além de promover princípios de segurança desde o design. O fechamento dessas diretrizes reflete o compromisso da CISA com a segurança cibernética federal e a defesa contra riscos inaceitáveis, especialmente de atores estatais hostis.

A Trend Micro lançou atualizações de segurança para corrigir várias vulnerabilidades que afetam as versões on-premise do Apex Central para Windows, incluindo uma falha crítica que pode permitir a execução de código arbitrário. A vulnerabilidade, identificada como CVE-2025-69258, possui uma pontuação CVSS de 9.8, indicando seu alto risco. Essa falha permite que um atacante remoto não autenticado carregue uma DLL controlada por ele em um executável chave, resultando na execução de código com privilégios elevados. Além disso, duas outras vulnerabilidades, CVE-2025-69259 e CVE-2025-69260, ambas com pontuação CVSS de 7.5, podem causar condições de negação de serviço. As falhas foram descobertas pela Tenable em agosto de 2025, e a exploração requer que o atacante tenha acesso físico ou remoto ao endpoint vulnerável. A Trend Micro recomenda que os clientes apliquem as correções imediatamente e revisem o acesso remoto a sistemas críticos, além de manter políticas de segurança atualizadas.

Cibercriminosos estão aproveitando uma vulnerabilidade crítica em roteadores D-Link de gateway DSL que não recebem suporte há anos. A falha, identificada como CVE-2026-0625, afeta o endpoint dnscfg.cgi devido à má sanitização em uma biblioteca CGI, permitindo a execução remota de códigos maliciosos. Os modelos afetados incluem DSL-526B, DSL-2640B, DSL-2740R e DSL-2780B, todos considerados ’end-of-life’ desde 2020, o que significa que não receberão mais atualizações de firmware ou patches de segurança. A D-Link recomenda que os usuários desses dispositivos os substituam por modelos mais novos. A empresa ainda investiga se outros produtos podem ser impactados pela falha. Embora não se saiba quais hackers estão explorando a vulnerabilidade, a maioria das configurações permite apenas acesso LAN a interfaces administrativas. A exploração da falha pode ocorrer através de ataques baseados em navegador ou mirando dispositivos configurados para administração remota. A situação é preocupante, pois a falta de suporte para esses dispositivos pode expor redes a riscos significativos.

A Cisco lançou atualizações para corrigir uma vulnerabilidade de segurança de média gravidade no Identity Services Engine (ISE) e no ISE Passive Identity Connector (ISE-PIC), identificada como CVE-2026-20029, com uma pontuação CVSS de 4.9. Essa falha está relacionada ao recurso de licenciamento e pode permitir que um atacante remoto autenticado com privilégios administrativos acesse informações sensíveis. A vulnerabilidade decorre de uma análise inadequada de XML processada pela interface de gerenciamento baseada na web do Cisco ISE e do ISE-PIC. Um atacante poderia explorar essa falha ao fazer o upload de um arquivo malicioso para a aplicação, possibilitando a leitura de arquivos arbitrários do sistema operacional subjacente, o que deveria ser restrito até mesmo para administradores. A Cisco informou que não há soluções alternativas e que está ciente da disponibilidade de um código de prova de conceito (PoC) para a exploração da falha, embora não haja indícios de que tenha sido explorada ativamente. Além disso, a empresa também corrigiu outras duas vulnerabilidades de média gravidade relacionadas ao processamento de solicitações DCE/RPC, que poderiam permitir que um atacante remoto não autenticado causasse vazamento de informações ou reiniciasse o mecanismo de detecção Snort 3, afetando a disponibilidade.

O relatório ‘The State of Trusted Open Source’, elaborado pela Chainguard, oferece uma visão abrangente sobre o uso de software livre nas organizações modernas e os riscos associados. A análise de mais de 1800 projetos de imagens de contêiner e 10.100 instâncias de vulnerabilidades revelou que a popularidade de um projeto não necessariamente se correlaciona com o risco. Por exemplo, 98% das vulnerabilidades encontradas estavam fora dos 20 projetos mais populares, indicando que a maior parte da carga de segurança está em imagens menos visíveis. Além disso, a conformidade com regulamentações, como o FIPS, tem impulsionado a adoção de software seguro, com 44% dos clientes da Chainguard utilizando imagens FIPS em produção. O relatório também destaca que a velocidade de remediação é crucial para construir confiança, com a Chainguard resolvendo vulnerabilidades críticas em menos de 20 horas, o que é significativamente mais rápido do que os padrões do setor. Esses dados são essenciais para que as empresas brasileiras compreendam a importância de manter a segurança em toda a sua infraestrutura de software livre, especialmente em um cenário onde a conformidade e a segurança são cada vez mais exigidas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), afetando o Microsoft Office e o HPE OneView. A primeira, CVE-2009-0556, com uma pontuação CVSS de 8.8, é uma vulnerabilidade de injeção de código no PowerPoint que permite a execução remota de código por atacantes. A segunda, CVE-2025-37164, possui uma pontuação máxima de 10.0 e também permite a execução remota de código, afetando todas as versões do HPE OneView anteriores à versão 11.00. A HPE já disponibilizou correções para as versões afetadas. Embora a origem dos ataques ainda não esteja clara, a disponibilidade pública de um código de prova de conceito (PoC) para a CVE-2025-37164 aumenta o risco para as organizações que utilizam versões vulneráveis do software. A CISA recomenda que as agências federais apliquem as correções necessárias até 28 de janeiro de 2026 para proteger suas redes contra ameaças ativas.

O WhatsApp, um dos aplicativos de comunicação mais populares do mundo, corrigiu recentemente uma vulnerabilidade relacionada ao fingerprinting, que permitia a cibercriminosos identificar o dispositivo utilizado pelos usuários. Apesar da criptografia de ponta a ponta (E2EE) que protege a comunicação, falhas no design do aplicativo possibilitavam que hackers descobrissem informações sensíveis, como o sistema operacional do dispositivo. A correção foi implementada de forma silenciosa e incompleta, afetando inicialmente apenas a lógica de encriptação no Android, que agora se tornou randômica, dificultando a identificação do dispositivo. No entanto, outras plataformas ainda não receberam atualizações semelhantes, o que mantém a possibilidade de identificação. Pesquisadores de segurança, como Tal Be’ery, já haviam alertado sobre essa falha anteriormente, mas a Meta, empresa responsável pelo WhatsApp, não reconheceu a gravidade do problema. A falta de transparência e reconhecimento por parte da empresa em relação aos pesquisadores que reportaram a vulnerabilidade levanta preocupações sobre a privacidade dos usuários e a responsabilidade da plataforma em garantir a segurança de seus dados.

A Veeam lançou atualizações de segurança para seu software Backup & Replication, abordando múltiplas vulnerabilidades, incluindo uma falha crítica que pode permitir a execução remota de código (RCE). A vulnerabilidade, identificada como CVE-2025-59470, possui uma pontuação CVSS de 9.0 e permite que operadores de backup ou fita executem código malicioso como o usuário postgres ao enviar parâmetros manipulados. Os papéis de Backup e Tape Operator são considerados altamente privilegiados, o que aumenta o risco de exploração. Além dessa falha, outras três vulnerabilidades foram identificadas, com pontuações CVSS variando de 6.7 a 7.2, todas afetando versões do Backup & Replication 13.0.1.180 e anteriores. A Veeam recomenda que os usuários apliquem as correções imediatamente, embora não haja relatos de exploração ativa das falhas. A empresa classifica a gravidade da vulnerabilidade como alta, enfatizando a importância de seguir as diretrizes de segurança recomendadas para mitigar riscos.

A plataforma de automação de fluxo de trabalho de código aberto n8n alertou sobre uma vulnerabilidade de segurança de alta severidade, identificada como CVE-2026-21877, que pode permitir a execução remota de código (RCE) por usuários autenticados. Avaliada com a pontuação máxima de 10.0 no sistema CVSS, a falha pode resultar na total comprometimento da instância afetada. Tanto as implementações auto-hospedadas quanto as instâncias na nuvem da n8n estão vulneráveis. A vulnerabilidade foi corrigida na versão 1.121.3, lançada em novembro de 2025, e os usuários são aconselhados a atualizar imediatamente. Caso a atualização não seja viável, recomenda-se desabilitar o nó Git e restringir o acesso a usuários não confiáveis. Essa divulgação ocorre em um contexto onde a n8n já havia abordado outras falhas críticas, como CVE-2025-68613 e CVE-2025-68668, que também poderiam levar à execução de código sob certas condições. A descoberta foi feita pelo pesquisador de segurança Théo Lelasseux.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade de gravidade máxima na plataforma de automação de fluxos de trabalho n8n, identificada como CVE-2026-21858, com uma pontuação CVSS de 10.0. Descoberta por Dor Attias, a falha permite que atacantes remotos não autenticados obtenham controle total sobre instâncias vulneráveis. A vulnerabilidade explora uma falha de confusão no cabeçalho ‘Content-Type’, permitindo que um invasor acesse arquivos sensíveis no servidor e execute comandos arbitrários. Essa falha afeta todas as versões do n8n até a 1.65.0 e foi corrigida na versão 1.121.0, lançada em 18 de novembro de 2025. Nos últimos dias, o n8n também divulgou outras três vulnerabilidades críticas, aumentando a preocupação com a segurança da plataforma. A recomendação é que os usuários atualizem para a versão corrigida imediatamente e evitem expor o n8n à internet sem autenticação adequada. A gravidade da falha destaca a necessidade de uma abordagem proativa em cibersegurança, especialmente em ambientes que utilizam automação de fluxos de trabalho.

Uma nova vulnerabilidade crítica, identificada como CVE-2026-0625, foi descoberta em roteadores DSL da D-Link, com um alto índice de severidade de 9.3 no CVSS. Essa falha, que se refere a uma injeção de comandos no endpoint ‘dnscfg.cgi’, permite que atacantes remotos não autenticados injetem e executem comandos de shell arbitrários, resultando em execução remota de código. Os modelos afetados incluem DSL-2740R, DSL-2640B, DSL-2780B e DSL-526B, todos com status de fim de vida desde 2020. A D-Link está investigando a situação após um alerta da VulnCheck em dezembro de 2025, mas a identificação precisa dos modelos afetados é complexa devido a variações de firmware. A exploração ativa dessa vulnerabilidade foi registrada em novembro de 2025, e a empresa recomenda que os proprietários de dispositivos afetados considerem a substituição por modelos que recebam atualizações regulares de firmware e segurança. A falha expõe um mecanismo de configuração DNS que já foi utilizado em campanhas de sequestro de DNS em larga escala, permitindo que atacantes alterem silenciosamente as entradas de DNS, comprometendo a segurança de toda a rede conectada ao roteador.

Especialistas da Zenity Labs alertaram sobre uma nova extensão do Claude, assistente de IA da Anthropic, que opera no Google Chrome e pode expor dados pessoais dos usuários a riscos de segurança. A extensão, que foi lançada em versão beta, permite que a ferramenta interaja com outros sites sem supervisão humana, o que significa que, uma vez instalada, ela pode navegar e realizar ações em plataformas como Google Drive e Slack como se fosse o próprio usuário. Isso levanta preocupações sobre a segurança, pois a extensão permanece conectada continuamente, sem a possibilidade de ser desativada manualmente. Os pesquisadores observaram que a extensão pode acessar informações sensíveis, como tokens de login, e realizar ações prejudiciais, como excluir e-mails ou modificar arquivos, sem o conhecimento do usuário. Além disso, a proteção básica do Claude, que solicita permissão do usuário antes de realizar ações, falha em impedir essas atividades, levando a um cenário de ‘fadiga de aprovação’, onde os usuários clicam em ‘OK’ sem verificar as ações da IA. Essa situação destaca a necessidade urgente de uma revisão das práticas de segurança em relação a extensões de navegador e ferramentas de IA.

O CERT Coordination Center (CERT/CC) divulgou uma falha de segurança não corrigida que afeta o extensor de rede sem fio TOTOLINK EX200. A vulnerabilidade, identificada como CVE-2025-65606, permite que um atacante autenticado obtenha controle total do dispositivo. A falha está relacionada à lógica de tratamento de erros no upload de firmware, que pode levar à ativação de um serviço telnet com privilégios de root sem autenticação. Para explorar essa vulnerabilidade, o atacante precisa estar autenticado na interface de gerenciamento web do dispositivo. O CERT/CC alerta que a TOTOLINK não lançou patches para corrigir a falha e que o produto não está mais sendo mantido ativamente, com a última atualização de firmware ocorrendo em fevereiro de 2023. Em vista da falta de uma solução, os usuários são aconselhados a restringir o acesso administrativo a redes confiáveis e monitorar atividades anômalas.

Pesquisadores de segurança da Koi alertaram sobre um risco significativo em forks populares do Microsoft Visual Studio Code (VS Code), como Cursor e Windsurf. Esses ambientes de desenvolvimento integrados (IDEs) recomendam extensões que não estão registradas no Open VSX, o que pode permitir que atacantes publiquem pacotes maliciosos sob esses nomes. A recomendação de extensões pode ocorrer de duas formas: notificações quando arquivos específicos são abertos ou sugestões baseadas em programas já instalados. O problema é que as extensões recomendadas não existem no Open VSX, e qualquer um pode registrar esses nomes e carregar o que quiser. Um exemplo é a extensão PostgreSQL, que atraiu mais de 500 instalações, levando a um risco de roubo de dados sensíveis. Após a divulgação responsável, algumas plataformas já implementaram correções, e o Eclipse Foundation removeu contribuições não oficiais do Open VSX. Este incidente destaca a necessidade de cautela ao baixar pacotes e a importância de verificar a origem das extensões recomendadas.

Usuários do pacote npm ‘@adonisjs/bodyparser’ são alertados para atualizar para a versão mais recente após a descoberta de uma vulnerabilidade crítica de segurança, identificada como CVE-2026-21440, com uma pontuação CVSS de 9.2. Essa falha é um problema de travessia de caminho que afeta o mecanismo de manipulação de arquivos multipart do AdonisJS, um framework Node.js utilizado para desenvolver aplicações web e servidores de API com TypeScript. A vulnerabilidade permite que um atacante remoto escreva arquivos arbitrários no servidor, caso consiga explorar um endpoint de upload acessível. O problema reside na função ‘MultipartFile.move(location, options)’, onde a falta de sanitização do nome do arquivo pode permitir que um invasor forneça um nome de arquivo malicioso, levando a uma possível execução remota de código (RCE). A falha foi corrigida nas versões 10.1.2 e 11.0.0-next.6. Além disso, uma vulnerabilidade semelhante foi identificada no pacote jsPDF, também com uma pontuação CVSS de 9.2, que permite a leitura de arquivos arbitrários no sistema de arquivos local. As correções para ambas as vulnerabilidades foram lançadas recentemente, e os desenvolvedores são aconselhados a aplicar as atualizações imediatamente.

Uma nova vulnerabilidade crítica foi descoberta na plataforma de automação de workflows n8n, permitindo que um atacante autenticado execute comandos arbitrários no sistema subjacente. Identificada como CVE-2025-68668, a falha apresenta uma pontuação de 9.9 no sistema de pontuação CVSS e é classificada como uma falha no mecanismo de proteção. A vulnerabilidade afeta as versões do n8n de 1.0.0 até, mas não incluindo, 2.0.0. Um usuário autenticado com permissão para criar ou modificar workflows pode explorar essa falha para executar comandos no sistema operacional onde o n8n está rodando. A n8n já lançou a versão 2.0.0, que corrige o problema. Para mitigar a vulnerabilidade, a n8n recomenda desabilitar o Code Node e a execução de Python, além de configurar o uso de um sandbox baseado em task runner. Essa falha se junta a outra vulnerabilidade crítica recentemente divulgada, CVE-2025-68613, que também permite a execução de código arbitrário em certas circunstâncias.

O início de 2026 trouxe à tona uma série de ameaças cibernéticas que exploram a confiança dos usuários em sistemas considerados estáveis. Um dos principais focos é a botnet RondoDox, que utiliza a vulnerabilidade React2Shell (CVE-2025-55182) para comprometer dispositivos da Internet das Coisas (IoT) e aplicações web. Com um CVSS de 10.0, essa falha ainda afeta cerca de 84 mil dispositivos, principalmente nos EUA.

Além disso, o Trust Wallet sofreu um ataque na sua extensão do Chrome, resultando na perda de aproximadamente 8,5 milhões de dólares. O ataque foi atribuído a uma brecha na cadeia de suprimentos, onde segredos do GitHub foram expostos. Outro grupo, DarkSpectre, foi identificado como responsável por uma campanha de malware em extensões de navegador, afetando mais de 8,8 milhões de usuários ao longo de sete anos.

A IBM divulgou informações sobre uma vulnerabilidade crítica no IBM API Connect, identificada como CVE-2025-13915, que permite a atacantes remotos contornar mecanismos de autenticação e obter acesso não autorizado ao aplicativo. Com uma pontuação de 9.8 no sistema CVSS, essa falha afeta as versões 10.0.8.0 a 10.0.8.5 do software. A empresa recomenda que os clientes baixem um patch disponível no Fix Central e apliquem a correção conforme a versão utilizada. Para aqueles que não puderem instalar a correção imediatamente, a IBM sugere desabilitar o registro de autoatendimento no Developer Portal para minimizar a exposição à vulnerabilidade. Embora não haja evidências de exploração ativa da falha, a recomendação é que os usuários apliquem as correções o mais rápido possível para garantir a proteção adequada. O IBM API Connect é uma solução amplamente utilizada por diversas organizações, incluindo bancos e companhias aéreas, o que torna a vulnerabilidade ainda mais preocupante para o setor.

A Agência de Cibersegurança de Cingapura (CSA) emitiu um alerta sobre uma vulnerabilidade de alta severidade no software de e-mail SmarterTools SmarterMail, identificada como CVE-2025-52691, que possui uma pontuação CVSS de 10.0. Essa falha permite o upload arbitrário de arquivos, possibilitando a execução de código remoto sem necessidade de autenticação. A exploração bem-sucedida dessa vulnerabilidade pode permitir que atacantes não autenticados façam upload de arquivos maliciosos no servidor de e-mail, potencialmente levando à execução de código. O SmarterMail é uma alternativa a soluções de colaboração empresarial, como o Microsoft Exchange, e é utilizado por provedores de hospedagem. A vulnerabilidade afeta as versões Build 9406 e anteriores, tendo sido corrigida na Build 9413, lançada em 9 de outubro de 2025. A CSA recomenda que os usuários atualizem para a versão mais recente (Build 9483, lançada em 18 de dezembro de 2025) para garantir proteção adequada. Embora não haja relatos de exploração ativa da falha, a gravidade da vulnerabilidade justifica a atualização imediata dos sistemas afetados.

A Fortinet, empresa multinacional de cibersegurança, enfrenta ataques digitais há cinco anos, com foco em uma vulnerabilidade no sistema FortiOS, que compromete a autenticação de dois fatores (2FA) e os firewalls da companhia. A falha foi inicialmente identificada na VPN FortiGate e permite que hackers acessem contas legítimas sem ativar o segundo fator de autenticação, utilizando uma simples alteração no nome de usuário, como mudar a primeira letra de minúscula para maiúscula. Essa vulnerabilidade se agrava devido a uma má configuração do sistema, onde a autenticação local não diferencia letras maiúsculas e minúsculas, resultando em acessos não autorizados. Apesar das atualizações lançadas pela Fortinet e recomendações para desativar a diferenciação de letras, os ataques continuam a ser uma preocupação constante. Em abril de 2021, autoridades alertaram sobre o uso do FortiOS para atacar governos, destacando a gravidade da situação. A exploração contínua dessa falha representa um risco significativo para empresas que utilizam as soluções da Fortinet, especialmente em um cenário onde vulnerabilidades de dia zero são comuns.

Pesquisadores das empresas OX Security e Wiz.io identificaram uma vulnerabilidade crítica no MongoDB, conhecida como MongoBleed (CVE-2025-14847), que já foi explorada em ataques a diversos sites e serviços, incluindo a Ubisoft. Essa falha permite que hackers acessem e vazem informações sensíveis da memória de servidores MongoDB, como senhas e chaves de API, sem necessidade de autenticação. A vulnerabilidade foi revelada em 24 de dezembro de 2025 e afeta todas as versões suportadas do MongoDB, da 3.6 à 8.2.2. A Ubisoft, que utiliza MongoDB em seus serviços, teve que interromper temporariamente o acesso ao jogo Rainbow Six Siege e seu marketplace devido a um ataque que explorou essa brecha. Para mitigar os riscos, as organizações que utilizam MongoDB devem atualizar suas versões imediatamente ou desativar a compressão zlib, que é a causa da vulnerabilidade. A primeira exploração pública foi demonstrada em 25 de dezembro, evidenciando a gravidade da situação e a necessidade urgente de ações corretivas.

O cenário de cibersegurança em 2025 foi marcado por uma série de incidentes que revelaram a vulnerabilidade de ferramentas amplamente utilizadas. Entre os principais eventos, destaca-se a exploração da vulnerabilidade CVE-2025-14847 no MongoDB, que afeta mais de 87 mil instâncias globalmente, permitindo que atacantes não autenticados acessem dados sensíveis. Além disso, um ataque à extensão do Chrome do Trust Wallet resultou em perdas de aproximadamente US$ 7 milhões, após a publicação de uma versão maliciosa da extensão. Outro incidente significativo foi a campanha de espionagem cibernética do grupo Evasive Panda, que utilizou envenenamento de DNS para implantar o malware MgBot em alvos na Turquia, China e Índia. A violação de dados da LastPass em 2022 também teve consequências prolongadas, com a exploração de senhas fracas resultando em um roubo de criptomoedas de pelo menos US$ 35 milhões. Por fim, um pacote malicioso no repositório npm, que se passava por uma API do WhatsApp, foi baixado mais de 56 mil vezes, permitindo que atacantes interceptassem mensagens dos usuários. Esses eventos ressaltam a necessidade urgente de atualizações e monitoramento contínuo das infraestruturas de TI.

Uma vulnerabilidade crítica no MongoDB, identificada como CVE-2025-14847, está sendo ativamente explorada, com mais de 87 mil instâncias potencialmente vulneráveis em todo o mundo. Com uma pontuação CVSS de 8.7, a falha permite que atacantes não autenticados vazem dados sensíveis da memória do servidor MongoDB. O problema está relacionado à implementação da descompressão de mensagens zlib no MongoDB, que é a configuração padrão. Ao enviar pacotes de rede malformados, um atacante pode extrair fragmentos de dados privados, incluindo informações de usuários, senhas e chaves de API. Embora a exploração exija o envio de um grande volume de requisições, o tempo disponível para o atacante aumenta a quantidade de dados que podem ser coletados. A empresa de segurança Wiz alerta que 42% dos ambientes em nuvem têm pelo menos uma instância do MongoDB em versões vulneráveis. Para mitigar o problema, recomenda-se atualizar para versões seguras do MongoDB e desativar a compressão zlib. Além disso, é aconselhável restringir a exposição da rede dos servidores MongoDB e monitorar logs em busca de conexões anômalas.

Uma falha de segurança de alta gravidade foi identificada no MongoDB, permitindo que usuários não autenticados leiam memória heap não inicializada. A vulnerabilidade, classificada como CVE-2025-14847 com uma pontuação CVSS de 8.7, resulta de um tratamento inadequado de inconsistências no parâmetro de comprimento. Isso ocorre quando um programa não lida corretamente com situações em que um campo de comprimento não corresponde ao tamanho real dos dados associados. A falha afeta várias versões do MongoDB, incluindo as versões 8.2.0 a 8.2.3, 8.0.0 a 8.0.16, e versões anteriores até a 3.6. A MongoDB já lançou correções nas versões 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 e 4.4.30. Caso a atualização imediata não seja viável, recomenda-se desabilitar a compressão zlib no servidor MongoDB. A exploração dessa falha pode resultar na divulgação de dados sensíveis que podem auxiliar um atacante em futuras explorações.

Uma falha de segurança crítica foi identificada no LangChain Core, um pacote Python essencial para aplicações que utilizam modelos de linguagem. A vulnerabilidade, classificada como CVE-2025-68664 e com um CVSS de 9.3, permite que atacantes explorem funções de serialização, como dumps() e dumpd(), para injetar dados maliciosos e potencialmente roubar segredos sensíveis. O problema reside na falta de escape de dicionários que contêm chaves ’lc’, que são usadas internamente pelo LangChain. Isso pode resultar na extração de segredos de variáveis de ambiente e na execução de código arbitrário. Para mitigar a vulnerabilidade, a equipe do LangChain lançou um patch que altera as configurações padrão, bloqueando a execução de templates Jinja2 e desativando a carga automática de segredos do ambiente. Além disso, uma falha semelhante foi encontrada no LangChain.js, com a CVE-2025-68665, que também permite a extração de segredos. Dada a gravidade da situação, os usuários são fortemente aconselhados a atualizar para versões corrigidas o mais rápido possível.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança nos gravadores de vídeo em rede (NVRs) Digiever DS-2105 Pro em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), devido a evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2023-52163, possui uma pontuação CVSS de 8.8 e está relacionada a uma injeção de comando que permite a execução remota de código após autenticação. Segundo a CISA, a falha se deve a uma vulnerabilidade de autorização ausente, que pode ser explorada através do arquivo time_tzsetup.cgi. Relatórios da Akamai e Fortinet indicam que a vulnerabilidade está sendo utilizada por agentes de ameaças para implantar botnets como Mirai e ShadowV2. A falha, juntamente com um bug de leitura de arquivo arbitrário (CVE-2023-52164, CVSS 5.1), permanece sem correção, uma vez que o dispositivo atingiu o status de fim de vida (EoL). A CISA recomenda que as agências do governo federal dos EUA adotem as devidas mitig ações ou descontinuem o uso do produto até 12 de janeiro de 2025, para proteger suas redes contra ameaças ativas.

A Fortinet alertou sobre a exploração ativa de uma vulnerabilidade de cinco anos, identificada como CVE-2020-12812, que afeta o FortiOS SSL VPN. Essa falha de autenticação inadequada permite que usuários loguem sem serem solicitados a fornecer um segundo fator de autenticação, caso a combinação de letras do nome de usuário seja alterada. O problema ocorre quando a autenticação de dois fatores (2FA) está habilitada em configurações específicas, como quando o método de autenticação é remoto (por exemplo, LDAP). A vulnerabilidade foi identificada como uma falha de correspondência sensível a maiúsculas e minúsculas entre autenticações locais e remotas. A Fortinet recomenda que as organizações atualizem para as versões mais recentes do FortiOS e desativem a sensibilidade a maiúsculas nos nomes de usuário para mitigar o risco. A falha já foi explorada por diversos agentes de ameaça, e o governo dos EUA a incluiu em sua lista de vulnerabilidades críticas em 2021. As empresas que utilizam o FortiOS devem agir rapidamente para evitar que usuários administrativos ou de VPN sejam autenticados sem 2FA.

Um estudo recente da NordPass e da Comparitech revelou que a Geração Z, apesar de ser a primeira geração de nativos digitais, está adotando práticas de segurança fracas ao escolher senhas. A pesquisa, que analisou dados de violações de segurança entre setembro de 2024 e setembro de 2025, mostrou que as senhas mais utilizadas por jovens incluem sequências numéricas simples como ‘12345’, ‘123456’ e até a palavra ‘password’. Essa escolha reflete uma tendência preocupante, onde a facilidade de lembrar senhas supera a necessidade de segurança. Daniel Barbosa, pesquisador de segurança da ESET, destaca que essa geração, mesmo mais conectada, não está adotando boas práticas de segurança digital. Além disso, o estudo revelou que 25% das senhas analisadas são fracas, afetando não apenas a Geração Z, mas também Millennials, Geração X e Baby Boomers. Para mitigar esses riscos, especialistas recomendam a criação de senhas mais complexas e o uso de gerenciadores de senhas, evitando a repetição de credenciais em diferentes contas.

Os ataques de canal lateral são uma técnica sofisticada utilizada por cibercriminosos para extrair informações sensíveis, como chaves criptográficas, sem precisar invadir diretamente um sistema. Em vez de explorar vulnerabilidades de software, esses ataques se concentram na análise do comportamento físico de componentes de hardware durante o processamento de dados. Os hackers podem monitorar o consumo de energia, o tempo de resposta, a emissão de radiação eletromagnética e até mesmo os sons emitidos pelos dispositivos para deduzir informações valiosas. Exemplos notáveis incluem as vulnerabilidades Spectre e Meltdown, que afetaram processadores modernos e revelaram a fragilidade das implementações de segurança física. Embora a maioria dos ataques de canal lateral exija que o atacante esteja fisicamente próximo do alvo, dispositivos de Internet das Coisas (IoT) e ambientes de nuvem são particularmente vulneráveis. Para se proteger, recomenda-se a atualização constante de sistemas operacionais e a implementação de medidas como blindagem eletromagnética e algoritmos de tempo constante. No entanto, para usuários comuns, identificar esses ataques pode ser extremamente difícil, já que não há sinais visíveis de comprometimento.

Uma vulnerabilidade crítica foi identificada na plataforma de automação de workflows n8n, classificada como CVE-2025-68613, com um alto índice de severidade de 9.9 no CVSS. Essa falha permite que usuários autenticados executem código arbitrário em um contexto de execução inadequadamente isolado, o que pode levar à total comprometimento da instância afetada, incluindo acesso não autorizado a dados sensíveis e modificação de workflows. A vulnerabilidade afeta todas as versões do n8n a partir da 0.211.0 até antes da 1.120.4. As versões corrigidas incluem 1.120.4, 1.121.1 e 1.122.0. Com mais de 103 mil instâncias potencialmente vulneráveis, a maioria localizadas nos EUA, Alemanha, França, Brasil e Cingapura, é essencial que os usuários apliquem as atualizações imediatamente. Caso a aplicação do patch não seja viável, recomenda-se restringir as permissões de criação e edição de workflows a usuários confiáveis e implementar o n8n em um ambiente seguro com privilégios de sistema e acesso à rede limitados.

A WatchGuard Technologies anunciou a correção de uma vulnerabilidade crítica de execução remota de código (RCE) em seus firewalls Firebox, identificada como CVE-2025-14733. Essa falha, com uma pontuação de severidade de 9.3/10, permite que atacantes não autenticados executem código arbitrário remotamente, afetando firewalls que operam com Fireware OS 11.x e versões posteriores. A vulnerabilidade impacta tanto a VPN de Usuário Móvel quanto a VPN de Escritório Remoto quando configuradas com um par de gateway dinâmico. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu essa falha em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), estabelecendo um prazo até 26 de dezembro para que agências federais apliquem o patch ou interrompam o uso dos dispositivos vulneráveis. Para aqueles que não podem aplicar a correção imediatamente, a WatchGuard recomenda desativar as VPNs dinâmicas e ajustar as políticas de firewall como medidas paliativas. A empresa já havia corrigido uma falha semelhante meses atrás, evidenciando a necessidade de vigilância contínua em suas soluções de segurança.

Recentemente, as ameaças cibernéticas demonstraram que os atacantes não precisam de grandes invasões para causar danos significativos. Eles estão mirando em ferramentas cotidianas, como firewalls e extensões de navegador, transformando pequenas falhas em brechas sérias. A verdadeira ameaça não é apenas um ataque de grande escala, mas sim centenas de ataques silenciosos que exploram sistemas confiáveis dentro das redes. Na última semana, produtos de segurança de empresas como Fortinet, SonicWall e Cisco foram alvo de ataques que exploraram vulnerabilidades críticas, como a CVE-2025-20393, que permite a execução remota de código. Além disso, uma extensão do Chrome chamada Urban VPN Proxy foi flagrada coletando dados de usuários de chatbots de IA, afetando mais de 8 milhões de instalações. Outro ataque significativo foi o da botnet Kimwolf, que comprometeu 1,8 milhão de TVs Android em todo o mundo. Esses incidentes ressaltam a importância de manter sistemas atualizados e monitorar continuamente as redes para evitar que falhas não corrigidas se tornem pontos de entrada para invasores.

A vulnerabilidade React2Shell (CVE-2025-55182), classificada como crítica, está sendo explorada por grupos de hackers ligados à China e à Coreia do Norte, comprometendo centenas de sistemas em todo o mundo. A falha, que afeta os Componentes de Servidor do React (RCS), permite a execução de comandos arbitrários e a instalação de malware, incluindo mineradores de criptomoedas. A Microsoft alertou que a exploração da vulnerabilidade se intensificou após a divulgação pública, com ataques direcionados a setores variados, como serviços financeiros, logística, varejo e instituições governamentais. Os atacantes buscam estabelecer persistência e realizar espionagem cibernética. A Coreia do Norte, em particular, está utilizando um malware sofisticado chamado EtherRAT, que combina técnicas de várias campanhas anteriores. É crucial que as organizações atualizem suas versões do React para 19.0.1, 19.1.2 ou 19.2.1 imediatamente para mitigar os riscos associados a essa vulnerabilidade.

Diversas agências de segurança, como a CERT-FR da França, a NCSC do Reino Unido e a CISA dos Estados Unidos, emitiram alertas sobre os riscos associados ao uso de redes Wi-Fi públicas em dispositivos móveis, tanto Android quanto iOS. A principal recomendação é desativar o Wi-Fi quando não estiver em uso, uma vez que as redes públicas são alvos frequentes de ataques, como o ‘adversary-in-the-middle’ (AITM). Esses ataques podem ocorrer através de pontos de acesso falsos, conhecidos como ‘Evil Twin’, que interceptam dados e injetam malwares. Além disso, a conexão a pontos de carregamento USB comprometidos também representa um risco, podendo permitir a invasão de celulares. A vulnerabilidade da rede 2G, que possui algoritmos de criptografia quebrados, também foi destacada, assim como falhas em tecnologias como Bluetooth e NFC. Para se proteger, é aconselhável desativar Wi-Fi e Bluetooth quando não estiver conectado a redes confiáveis, usar bloqueadores de dados USB e limitar a instalação de aplicativos a lojas oficiais. O uso de VPNs em redes públicas e a reinicialização frequente do dispositivo também são práticas recomendadas para aumentar a segurança.

A WatchGuard anunciou a correção de uma vulnerabilidade crítica em seu sistema operacional Fireware OS, identificada como CVE-2025-14733, com uma pontuação CVSS de 9.3. Essa falha, classificada como um ‘out-of-bounds write’, afeta o processo iked e permite que atacantes remotos não autenticados executem código arbitrário. A vulnerabilidade impacta configurações de VPN para usuários móveis e filiais que utilizam IKEv2, especialmente quando configuradas com um gateway dinâmico. Mesmo após a exclusão dessas configurações, o dispositivo pode permanecer vulnerável se uma VPN de filial para um gateway estático estiver ativa. A WatchGuard observou tentativas de exploração em tempo real, com IPs específicos associados a esses ataques. A empresa recomenda que os administradores desativem as VPNs dinâmicas e apliquem as atualizações de segurança imediatamente. O incidente destaca a importância de monitorar e proteger sistemas críticos, especialmente em um cenário onde a exploração ativa está em andamento.

Modelos de placas-mãe de fabricantes como ASRock, ASUS, GIGABYTE e MSI estão expostos a uma vulnerabilidade de segurança que permite ataques de acesso direto à memória (DMA) durante a fase de inicialização do sistema. Essa falha, identificada por pesquisadores da Riot Games, está relacionada a uma discrepância na proteção DMA, onde o firmware indica que a proteção está ativa, mas não configura corretamente a Unidade de Gerenciamento de Memória de Entrada e Saída (IOMMU) no início do processo de boot. Isso possibilita que dispositivos PCIe maliciosos, com acesso físico ao sistema, leiam ou modifiquem a memória antes que as proteções do sistema operacional sejam ativadas. As vulnerabilidades identificadas incluem CVE-2025-14304, CVE-2025-11901, CVE-2025-14302 e CVE-2025-14303, todas com uma pontuação CVSS de 7.0, indicando um risco alto. É crucial que usuários e administradores apliquem as atualizações de firmware assim que disponíveis para mitigar essa ameaça, especialmente em ambientes onde o acesso físico não pode ser controlado. A falha destaca a importância de uma configuração correta do firmware, mesmo em sistemas que não são tipicamente utilizados em data centers.

Pesquisadores de segurança revelaram três vulnerabilidades críticas no protocolo de Integridade e Criptografia de Dados (IDE) do padrão PCIe 5.0, afetando CPUs da Intel e AMD. As falhas, identificadas como CVE-2025-9612, CVE-2025-9613 e CVE-2025-9614, comprometem a comunicação entre componentes essenciais como CPUs, GPUs e SSDs NVMe. Embora a severidade das falhas tenha sido classificada como baixa, pois requerem acesso físico ou de baixo nível à interface PCIe, elas representam um risco significativo para ambientes corporativos que dependem desse protocolo para a segurança de dados sensíveis. A Intel e a AMD já alertaram sobre a vulnerabilidade em seus processadores de servidor, como os Intel Xeon 6 e AMD EPYC 9005. O CERT Coordination Center recomenda que fabricantes e usuários apliquem atualizações de firmware rapidamente para mitigar os riscos. Em data centers, onde o isolamento de dados é crucial, essas falhas podem permitir a exposição de informações confidenciais, enquanto usuários comuns não devem sentir impacto imediato.

Os automóveis modernos, cada vez mais conectados por tecnologias como Wi-Fi e Bluetooth, estão se tornando alvos de hackers, especialmente aqueles que utilizam o chip Unisoc UIS7862A. Este chip, que integra um modem para conexões 3G, 4G e 5G, apresenta uma vulnerabilidade crítica no protocolo RLC 3G, identificada pela empresa Securelist. A falha está relacionada ao mecanismo de fragmentação de pacotes de dados, que não realiza uma checagem adequada de limites, permitindo que um pacote malicioso transborde o buffer e comprometa o sistema operacional do veículo. Uma vez dentro do sistema, os cibercriminosos podem assumir o controle total do carro, acessando dados do usuário e executando códigos maliciosos. Essa situação levanta preocupações significativas sobre a segurança dos veículos conectados, que se assemelham a dispositivos de Internet das Coisas (IoT) com rodas. A vulnerabilidade destaca a necessidade urgente de medidas de segurança mais robustas para proteger os sistemas automotivos contra invasões digitais.

A Hewlett Packard Enterprise (HPE) anunciou a correção de uma vulnerabilidade crítica no seu software OneView, que pode permitir a execução remota de código por usuários não autenticados. Identificada como CVE-2025-37164, essa falha recebeu a pontuação máxima de 10.0 no CVSS, indicando seu alto potencial de risco. O problema afeta todas as versões anteriores à 11.00 do OneView, que é uma ferramenta de gerenciamento de infraestrutura de TI. A HPE disponibilizou um hotfix para as versões 5.20 a 10.20, mas é importante ressaltar que esse hotfix deve ser reaplicado após atualizações específicas. Embora a empresa não tenha relatado a exploração da vulnerabilidade em ambientes reais, recomenda-se que os usuários apliquem as correções o mais rápido possível para garantir a segurança de seus sistemas. Além disso, em junho, a HPE já havia lançado atualizações para corrigir outras oito vulnerabilidades em sua solução StoreOnce, que também poderiam resultar em execução remota de código. A situação destaca a importância da gestão de patches e da vigilância contínua em ambientes corporativos.

A Cisco alertou sobre uma vulnerabilidade zero-day de gravidade máxima no software Cisco AsyncOS, que está sendo ativamente explorada por um grupo de ameaças persistentes avançadas (APT) da China, conhecido como UAT-9686. A falha, identificada como CVE-2025-20393, permite que atacantes executem comandos arbitrários com privilégios de root em dispositivos afetados, comprometendo a segurança do sistema operacional subjacente. A vulnerabilidade afeta todas as versões do Cisco AsyncOS, mas a exploração só é possível se o recurso de Quarentena de Spam estiver habilitado e acessível pela internet. A Cisco recomenda que os usuários verifiquem a configuração de seus dispositivos e adotem medidas de segurança, como limitar o acesso à internet e monitorar o tráfego de logs. A CISA dos EUA incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades conhecidas, exigindo que agências federais implementem mitigação até 24 de dezembro de 2025. Além disso, a GreyNoise relatou uma campanha coordenada de tentativas de login automatizadas em infraestruturas de autenticação de VPN, destacando a necessidade de vigilância contínua contra ataques cibernéticos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma vulnerabilidade crítica, identificada como CVE-2025-59374, ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Com uma pontuação CVSS de 9.3, essa falha é classificada como uma ‘vulnerabilidade de código malicioso embutido’, resultante de uma violação na cadeia de suprimentos. A CISA alertou que versões específicas do cliente ASUS Live Update foram distribuídas com modificações não autorizadas, permitindo que atacantes realizassem ações indesejadas em dispositivos que atendiam a certas condições. Essa vulnerabilidade remete a um ataque à cadeia de suprimentos que ocorreu em 2019, quando um grupo de ameaças persistentes avançadas (APT) comprometeu servidores da ASUS, visando um grupo restrito de usuários. A ASUS já corrigiu a falha na versão 3.6.8 do software, mas a CISA recomendou que as agências federais descontinuem o uso do Live Update até 7 de janeiro de 2026, após o anúncio do fim do suporte ao software em 4 de dezembro de 2025. A empresa enfatizou seu compromisso com a segurança de software e a importância de atualizações em tempo real para proteger os dispositivos.

A SonicWall anunciou a correção de uma vulnerabilidade crítica em seus dispositivos Secure Mobile Access (SMA) da série 100, identificada como CVE-2025-40602, com uma pontuação CVSS de 6.6. Essa falha permite a escalada de privilégios locais devido a uma autorização insuficiente no console de gerenciamento do aparelho. As versões afetadas incluem 12.4.3-03093 e anteriores, além de 12.5.0-02002 e anteriores, com correções disponíveis nas versões 12.4.3-03245 e 12.5.0-02283, respectivamente. A SonicWall alertou que essa vulnerabilidade está sendo explorada ativamente, especialmente em combinação com outra falha crítica, CVE-2025-23006, que permite a execução remota de código não autenticado com privilégios de root. Essa última falha foi corrigida em janeiro de 2025. A descoberta das vulnerabilidades foi creditada a pesquisadores do Google Threat Intelligence Group. Dada a gravidade da situação, é crucial que os usuários dos dispositivos SMA 100 apliquem as correções imediatamente para evitar possíveis comprometimentos.