Vulnerabilidade

A QNAP Systems revelou uma vulnerabilidade crítica no seu software de backup NetBak Replicator, que pode permitir que atacantes locais executem código arbitrário em sistemas Windows afetados. Identificada como CVE-2025-57714, a falha se origina de um elemento de caminho de busca não citado na versão 4.5.x do NetBak Replicator. Quando o Windows tenta localizar executáveis em diretórios com espaços, sem as devidas aspas, um invasor pode inserir um executável malicioso em um caminho de maior prioridade. Isso pode resultar na execução do código do atacante em vez do programa legítimo, levando à execução não autorizada com privilégios elevados. A vulnerabilidade afeta usuários com acesso local e é especialmente preocupante em ambientes compartilhados, onde um ator malicioso pode escalar privilégios. A QNAP já lançou uma correção na versão 4.5.15.0807 e recomenda que as organizações atualizem imediatamente. Além disso, administradores devem implementar controles de acesso rigorosos e monitorar atividades suspeitas para mitigar riscos futuros.

A Oracle divulgou uma atualização emergencial para corrigir uma falha de segurança crítica em seu E-Business Suite, identificada como CVE-2025-61882, com uma pontuação CVSS de 9.8. Essa vulnerabilidade permite que um atacante não autenticado, com acesso à rede via HTTP, comprometa o componente de Processamento Concorrente da Oracle. A empresa alertou que, se explorada com sucesso, essa falha pode resultar em execução remota de código. O Chief Security Officer da Oracle, Rob Duhart, afirmou que a atualização foi lançada para mitigar potenciais explorações adicionais descobertas durante a investigação. A vulnerabilidade está relacionada a uma onda recente de ataques de roubo de dados do grupo Cl0p, que utilizou múltiplas falhas, incluindo algumas já corrigidas em atualizações anteriores. A Mandiant, subsidiária do Google, destacou que o Cl0p explorou essas vulnerabilidades para roubar grandes quantidades de dados de várias vítimas. Diante da exploração em massa de zero-days, as organizações devem verificar se já foram comprometidas, independentemente da aplicação do patch.

Uma vulnerabilidade de segurança agora corrigida no Zimbra Collaboration foi explorada como um zero-day em ataques cibernéticos direcionados ao Exército Brasileiro. Identificada como CVE-2025-27915, essa falha de cross-site scripting (XSS) armazenada permite a execução de código arbitrário devido à sanitização insuficiente de conteúdo HTML em arquivos de calendário ICS. Quando um usuário visualiza um e-mail com uma entrada ICS maliciosa, um código JavaScript embutido é executado, possibilitando que um atacante realize ações não autorizadas, como redirecionar e-mails para um endereço controlado por ele. A vulnerabilidade foi corrigida nas versões 9.0.0 Patch 44, 10.0.13 e 10.1.5, lançadas em 27 de janeiro de 2025. No entanto, um relatório da StrikeReady Labs, publicado em 30 de setembro de 2025, revelou que a falha foi explorada em ataques reais, onde atores desconhecidos se passaram pelo Escritório de Protocolo da Marinha da Líbia para atacar o Exército Brasileiro. O arquivo ICS continha um código JavaScript projetado para roubar dados, incluindo credenciais e e-mails, e adicionar regras de filtro maliciosas no Zimbra. O ataque destaca a necessidade urgente de monitoramento e atualização de sistemas para evitar compromissos semelhantes.

Pesquisadores das Universidades de Birmingham e KU Leuven identificaram uma nova vulnerabilidade chamada Battering RAM, que afeta processadores Intel e AMD, especialmente em ambientes de nuvem. O ataque utiliza um interposer, um dispositivo físico de baixo custo (cerca de R$ 265), que, ao ser ativado, redireciona endereços protegidos da memória para locais controlados por hackers. Isso compromete a segurança das Extensões de Guarda do Software Intel (SGX) e da Virtualização Encriptada Segura com Paginação Aninhada Segura da AMD (SEV-SNO), que são fundamentais para a criptografia de dados em nuvem. O ataque é especialmente preocupante para sistemas que utilizam memória RAM DDR4 e pode permitir que provedores de nuvem maliciosos ou insiders com acesso limitado insiram backdoors nas CPUs. Apesar de a Intel, AMD e Arm terem sido informadas sobre a vulnerabilidade, a proteção contra o Battering RAM exigiria um redesenho completo das medidas de segurança atuais. Essa descoberta segue uma pesquisa anterior sobre técnicas que vazam memória de máquinas virtuais em serviços de nuvem públicos.

A Microsoft está enfrentando um problema com o Microsoft Defender para Endpoint, que erroneamente classifica o firmware da BIOS de alguns computadores como desatualizado. Esse bug, identificado por pesquisadores da Redmond, afeta principalmente dispositivos da Dell, gerando alertas para os usuários sobre a necessidade de atualizações que, na verdade, não existem. A empresa já está trabalhando em um patch para corrigir essa falha, embora não tenha divulgado quantos usuários foram impactados ou as regiões mais afetadas. Além disso, a Microsoft também resolveu recentemente outros problemas, como crashes em dispositivos macOS e falsos positivos que bloqueavam links no Microsoft Teams e Exchange Online. Esses incidentes destacam a importância de monitorar e corrigir bugs em sistemas de segurança, especialmente em um cenário onde a integridade dos dispositivos é crucial para a proteção de dados e a conformidade com regulamentações como a LGPD.

Pesquisadores revelaram uma falha crítica de segurança em roteadores empresariais que utilizam o sistema DrayOS, permitindo que atacantes remotos não autenticados provoquem corrupção de memória, quedas de sistema e potencialmente executem código arbitrário. A vulnerabilidade está presente na Interface Web do Usuário (WebUI), que aceita requisições HTTP(S) sem validação adequada de entrada. Quando explorada, essa falha pode dar controle total sobre os dispositivos afetados, permitindo que os atacantes se movam mais profundamente nas redes corporativas. A exploração ocorre ao enviar requisições maliciosas para a WebUI em interfaces de rede com acesso remoto habilitado. A DrayTek já lançou atualizações de firmware para corrigir a vulnerabilidade, e os usuários são aconselhados a atualizar imediatamente para evitar riscos de exploração. Para mitigar a ameaça, recomenda-se desabilitar o acesso remoto à WebUI e implementar listas de controle de acesso (ACLs) que restrinjam o acesso a hosts confiáveis. Além disso, é importante realizar auditorias de patch e testes de penetração periódicos para garantir a segurança das interfaces de gerenciamento remoto.

A Obex, um coletivo de pesquisa em segurança, revelou uma técnica sofisticada que permite a adversários evitar a detecção ao impedir que bibliotecas dinâmicas (DLLs) específicas sejam carregadas em processos-alvo. Essa abordagem representa um risco significativo para soluções de segurança que dependem exclusivamente de hooks em modo de usuário ou inspeção obrigatória em processos, uma vez que essas técnicas não conseguem monitorar a atividade maliciosa. A pesquisa mostra que, ao controlar os parâmetros de lançamento do processo, atacantes podem especificar uma lista restrita de DLLs, bloqueando a inicialização de módulos de telemetria ou inspeção. Isso permite que malware seja executado sem ser detectado. Para mitigar essa vulnerabilidade, a pesquisa sugere a implementação de proteções em modo de kernel, que garantem a integridade do carregamento de bibliotecas, independentemente dos parâmetros de modo de usuário. A Obex enfatiza a necessidade de uma defesa em profundidade, onde múltiplas camadas de segurança são essenciais para enfrentar adversários sofisticados. As organizações devem adotar medidas complementares, como detecção de anomalias em rede e verificação de integridade da memória, para fortalecer suas defesas contra essas técnicas de evasão.

A NCC Group divulgou uma análise detalhada de uma vulnerabilidade crítica no VMware Workstation, que permite a exploração de uma máquina virtual (VM) comprometida para atacar o host. A falha está relacionada à lógica de manipulação do dispositivo virtual backdoor/RPC, onde entradas maliciosas podem causar corrupção de memória, possibilitando a execução de código controlado no processo do hipervisor do host. A vulnerabilidade é resultado de verificações de limites inadequadas no código de manipulação de sessões RPC, permitindo que um atacante, sem privilégios elevados, desencadeie uma escrita fora dos limites na memória do host. O exploit de prova de conceito (PoC) demonstra um caminho de exploração em quatro etapas, começando com a abertura de uma sessão RPC e culminando na execução de um payload malicioso. A VMware já lançou atualizações de segurança para corrigir essa falha, e é recomendado que administradores apliquem os patches imediatamente e restrinjam cargas de trabalho não confiáveis em instalações locais do Workstation. O monitoramento contínuo do processo do hipervisor é essencial para detectar tentativas de exploração em tempo real.

Uma falha crítica no Microsoft Defender for Endpoint resultou em uma onda de alertas falsos sobre vulnerabilidades de BIOS, afetando principalmente usuários de dispositivos Dell. O problema surgiu quando a lógica de detecção de vulnerabilidades do Defender começou a identificar erroneamente instalações de BIOS atualizadas como desatualizadas ou inseguras. Organizações em todo o mundo relataram receber repetidos avisos de que suas versões de BIOS estavam desatualizadas, mesmo quando estavam com o firmware mais recente fornecido pela Dell. Essa enxurrada de falsos positivos gerou confusão e frustração entre administradores e usuários finais, dificultando a distinção entre avisos de segurança legítimos e os alertas defeituosos do Defender. A Microsoft reconheceu o problema e está trabalhando em um patch para corrigir a lógica de comparação de versões, que deve ser implementado na próxima janela de manutenção. Enquanto isso, as equipes de TI são aconselhadas a verificar as versões de BIOS de forma independente, utilizando canais de suporte da Dell e interfaces de gerenciamento de sistema. Este incidente destaca a importância da precisão na detecção automatizada de vulnerabilidades em plataformas de segurança empresarial.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta gravidade, CVE-2025-4008, que afeta o Smartbedded Meteobridge, em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Com uma pontuação CVSS de 8.7, essa falha é um caso de injeção de comando na interface web do Meteobridge, permitindo que atacantes remotos não autenticados executem comandos arbitrários com privilégios elevados nos dispositivos afetados. A vulnerabilidade foi descoberta pela ONEKEY e relatada em fevereiro de 2025, sendo que a interface web do Meteobridge é acessível publicamente, o que facilita a exploração. A CISA recomenda que as agências federais dos EUA apliquem as atualizações necessárias até 23 de outubro de 2025. Além disso, outras quatro vulnerabilidades críticas foram adicionadas ao catálogo, incluindo falhas em dispositivos móveis da Samsung e no Jenkins. A atualização para a versão 6.2 do Meteobridge, lançada em 13 de maio de 2025, já aborda essa vulnerabilidade.

A Microsoft está investigando um bug que causa falhas no cliente de e-mail clássico do Outlook, afetando usuários do Microsoft 365 que utilizam o software em sistemas Windows. O problema impede o acesso ao serviço e, até o momento, a única solução disponível é através do suporte técnico da Microsoft, especificamente do Exchange Online. Os usuários afetados recebem uma mensagem de erro informando que o Outlook não pôde ser aberto devido a uma falha na autenticação da conta Exchange. A empresa recomenda que os usuários abram um chamado no portal de administrador do Microsoft 365 para que a equipe do Exchange Online possa solicitar uma correção. Além disso, a Microsoft sugere que os usuários façam uma captura de erro utilizando o proxy Fiddler, buscando pelo código de erro “LID: 49586 - Authentication concurrency limit is reached”. Enquanto a solução definitiva não é disponibilizada, a empresa orienta o uso do novo Outlook para Windows ou do Acesso Web do Outlook (OWA). Outras soluções temporárias incluem iniciar o Outlook em modo de segurança, criar um novo perfil e reparar arquivos de dados do Outlook. A situação é crítica, pois o bug afeta a produtividade dos usuários e a Microsoft já enfrentou problemas semelhantes anteriormente, relacionados a instabilidades em seus servidores.

A Splunk divulgou seis vulnerabilidades críticas que afetam diversas versões do Splunk Enterprise e do Splunk Cloud Platform, permitindo que atacantes executem código JavaScript não autorizado, acessem dados sensíveis e realizem ataques de falsificação de requisições do lado do servidor (SSRF). As vulnerabilidades, publicadas em 1º de outubro de 2025, impactam componentes do Splunk Web e exigem atenção imediata das organizações que utilizam a plataforma.

Dentre as vulnerabilidades, duas se destacam por permitir ataques de cross-site scripting (XSS), possibilitando a execução de JavaScript malicioso nos navegadores dos usuários. A CVE-2025-20367 é uma vulnerabilidade XSS refletida, enquanto a CVE-2025-20368 é uma vulnerabilidade XSS armazenada. Além disso, a CVE-2025-20366 permite que usuários com privilégios baixos acessem resultados de busca sensíveis. A vulnerabilidade mais severa, CVE-2025-20371, é uma SSRF não autenticada que pode ser explorada por atacantes para realizar chamadas de API REST em nome de usuários privilegiados.

O Google Chrome lançou a versão 141, que inclui correções para 21 vulnerabilidades de segurança, abrangendo desde falhas de alta severidade, como estouros de buffer, até vulnerabilidades de baixa severidade. A atualização será disponibilizada automaticamente para usuários de Windows, macOS e Linux nas próximas semanas. Entre as falhas corrigidas, destacam-se CVEs como CVE-2025-11205 e CVE-2025-11206, que resultaram em recompensas significativas para os pesquisadores que as relataram. O Google implementou melhorias de segurança internas e campanhas de fuzzing contínuas para fortalecer a resiliência do navegador contra novas ameaças. Além das correções de segurança, a versão 141 traz melhorias de desempenho e otimizações que beneficiam especialmente dispositivos com menor capacidade de processamento. Os usuários são incentivados a atualizar o navegador o mais rápido possível para garantir a proteção contra essas vulnerabilidades. Para administradores de TI, recomenda-se testar a nova versão em ambientes controlados antes de uma implementação em larga escala.

Uma grave vulnerabilidade foi identificada na imagem oficial do Docker para o Termix, permitindo acesso não autenticado a credenciais SSH sensíveis. A configuração incorreta do proxy reverso Nginx faz com que o backend do Termix reconheça todas as solicitações como originadas do localhost, resultando em acesso irrestrito ao endpoint interno que expõe informações de hosts SSH, incluindo endereços de servidores, nomes de usuários e senhas. Essa falha, classificada como CVE-2025-59951, é uma violação de controle de acesso e pode ser explorada por qualquer usuário que consiga alcançar o proxy. Para mitigar o problema, os mantenedores do Termix devem implementar validações adequadas para os cabeçalhos X-Real-IP ou X-Forwarded-For e reforçar controles de autenticação. Organizações que utilizam versões da imagem do Termix entre release-0.1.1-tag e release-1.6.0-tag estão em risco e devem auditar suas implementações, rotacionar chaves SSH expostas e atualizar para uma versão corrigida assim que disponível.

Pesquisadores de segurança identificaram três vulnerabilidades críticas no firmware do roteador TOTOLINK X6000R, versão V9.4.0cu.1360_B20241207, lançado em 28 de março de 2025. Essas falhas permitem que atacantes não autenticados provoquem condições de negação de serviço, corrompam arquivos do sistema e executem comandos arbitrários no dispositivo. As vulnerabilidades são: CVE-2025-52905, que permite injeção de argumentos e negação de serviço; CVE-2025-52906, uma vulnerabilidade crítica de injeção de comandos que possibilita a execução remota de comandos; e CVE-2025-52907, que permite a corrupção de arquivos do sistema devido a uma lista de bloqueio incompleta. Todas as falhas estão relacionadas à interface web do roteador, especificamente no endpoint /cgi-bin/cstecgi.cgi, que não valida adequadamente as entradas. A TOTOLINK já lançou uma atualização de firmware para corrigir essas falhas e recomenda que todos os usuários atualizem imediatamente. Além disso, práticas de segurança adicionais, como a mudança de credenciais padrão e a segmentação de dispositivos IoT, são aconselhadas para mitigar riscos futuros.

Um estudo realizado por acadêmicos do Georgia Institute of Technology e da Purdue University revelou que as garantias de segurança do Intel Software Guard eXtensions (SGX) podem ser contornadas em sistemas DDR4, permitindo a descriptografia passiva de dados sensíveis. O SGX, que isola códigos e recursos confiáveis em um ambiente de execução confiável (TEE), foi projetado para proteger dados mesmo em sistemas comprometidos. No entanto, os pesquisadores demonstraram que um dispositivo interpositor pode ser utilizado para inspecionar fisicamente o tráfego de memória entre a CPU e o módulo de memória, extraindo chaves de atestação do SGX. Essa técnica, chamada WireTap, é semelhante ao ataque Battering RAM, mas foca na violação da confidencialidade. O ataque pode ser realizado com equipamentos acessíveis, embora o custo do setup do WireTap seja em torno de $1.000. A Intel respondeu afirmando que esse tipo de ataque está fora do escopo de seu modelo de ameaça, recomendando que servidores sejam operados em ambientes físicos seguros. A pesquisa levanta preocupações sobre a segurança de implementações de blockchain que utilizam SGX, como Phala Network e Secret Network, onde a confidencialidade e a integridade das transações podem ser comprometidas.

Uma grave falha de segurança foi identificada no serviço Red Hat OpenShift AI, que pode permitir que atacantes escalem privilégios e assumam o controle total da infraestrutura sob certas condições. O OpenShift AI é uma plataforma que gerencia o ciclo de vida de modelos de inteligência artificial preditiva e generativa em ambientes de nuvem híbrida. A vulnerabilidade, identificada como CVE-2025-10725, possui uma pontuação CVSS de 9.9, sendo classificada como ‘Importante’ pela Red Hat, uma vez que requer que o atacante esteja autenticado para comprometer o ambiente. Um atacante com privilégios baixos, como um cientista de dados utilizando um Jupyter notebook, pode elevar seus privilégios a um administrador completo do cluster, comprometendo a confidencialidade, integridade e disponibilidade do cluster. Isso pode resultar no roubo de dados sensíveis e na interrupção de serviços. As versões afetadas incluem Red Hat OpenShift AI 2.19 e 2.21. A Red Hat recomenda que os usuários evitem conceder permissões amplas a grupos de sistema e que as permissões para criar jobs sejam concedidas de forma mais granular, seguindo o princípio do menor privilégio.

Uma vulnerabilidade de alta severidade foi identificada na solução de Gestão de Identidade e Acesso (IAM) One Identity OneLogin, que pode expor segredos de cliente de aplicações OpenID Connect (OIDC) se explorada com sucesso. A falha, registrada como CVE-2025-59363, recebeu uma pontuação CVSS de 7.7 em 10.0 e é classificada como uma transferência incorreta de recursos entre esferas (CWE-669). Isso permite que um programa ultrapasse limites de segurança e acesse dados ou funções confidenciais sem autorização. De acordo com a Clutch Security, a vulnerabilidade permite que atacantes com credenciais API válidas enumerem e recuperem segredos de cliente para todas as aplicações OIDC dentro de um inquilino OneLogin. O problema decorre da configuração inadequada do endpoint de listagem de aplicações, que retorna dados além do esperado, incluindo os valores de client_secret. A exploração bem-sucedida dessa falha pode permitir que um invasor se passe por aplicações e acesse serviços integrados. A falta de restrições de IP e o controle de acesso baseado em funções (RBAC) ampliam o risco, permitindo que atacantes explorem a vulnerabilidade de qualquer lugar do mundo. A falha foi corrigida na versão 2025.3.0 do OneLogin, lançada em agosto de 2025, que tornou os valores de client_secret invisíveis. Não há evidências de que a vulnerabilidade tenha sido explorada ativamente.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) identificou uma vulnerabilidade crítica no Cisco IOS e IOS XE, classificada como CVE-2025-20352, que afeta o protocolo Simple Network Management Protocol (SNMP). Esta falha, resultante de um estouro de buffer baseado em pilha, está sendo ativamente explorada, permitindo que atacantes com acesso à rede provoquem condições de negação de serviço ou até mesmo execução remota de código. A CISA estabeleceu um prazo de remediação até 20 de outubro de 2025 para agências federais, enquanto empresas do setor privado são aconselhadas a acelerar a aplicação de patches para evitar interrupções. A vulnerabilidade pode ser explorada por atacantes de baixo privilégio para causar falhas nos equipamentos de rede, enquanto atacantes com privilégios elevados podem obter controle total do dispositivo afetado, possibilitando manipulação de tráfego e instalação de malware. A Cisco já disponibilizou medidas de mitigação e recomenda que os clientes apliquem atualizações de segurança imediatamente. A inclusão da CVE-2025-20352 no catálogo de vulnerabilidades conhecidas exploradas (KEV) da CISA indica que a exploração dessa falha pode se tornar uma prática comum entre cibercriminosos, tornando a rápida remediação essencial para a segurança das redes corporativas e governamentais.

A Cisco confirmou duas vulnerabilidades críticas em seus firewalls Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD), identificadas como CVE-2025-20333 e CVE-2025-20362. Ambas as falhas permitem que atacantes remotos executem código arbitrário em dispositivos não corrigidos. De acordo com relatórios, mais de 48.800 instâncias de ASA/FTD expostas permanecem sem patch, com os Estados Unidos liderando o número de dispositivos vulneráveis, seguidos por Alemanha, Brasil, Índia e Reino Unido. As vulnerabilidades comprometem a função de defesa de perímetro dos firewalls, permitindo que invasores contornem filtros de rede e acessem dados sensíveis. A Cisco recomenda que as organizações verifiquem suas versões de firewall e apliquem patches imediatamente, dado o alto risco associado, com pontuações CVSS de 9.8 e 9.1. As melhores práticas incluem restringir o acesso à interface de gerenciamento, reforçar credenciais e monitorar logs para atividades suspeitas. A falha em corrigir essas vulnerabilidades pode resultar em comprometimento total da rede e exfiltração de dados.

Pesquisadores da KU Leuven e da Universidade de Birmingham descobriram uma nova vulnerabilidade chamada Battering RAM, que permite contornar as defesas mais recentes dos processadores em nuvem da Intel e AMD. Utilizando um interposer de baixo custo, que pode ser montado por menos de 50 dólares, o ataque redireciona endereços de memória protegidos para locais controlados por atacantes, comprometendo dados criptografados. Essa falha afeta todos os sistemas que utilizam memória DDR4, especialmente aqueles que dependem de computação confidencial em ambientes de nuvem pública. O ataque explora as extensões de segurança de hardware da Intel (SGX) e a virtualização criptografada segura da AMD (SEV-SNP), permitindo acesso não autorizado a regiões de memória protegidas. Embora a Intel e a AMD tenham sido notificadas sobre a vulnerabilidade, ambas consideram ataques físicos fora do escopo de suas defesas atuais. A descoberta destaca as limitações dos designs de criptografia de memória escaláveis utilizados atualmente, que não incluem verificações de frescor criptográfico, e sugere que uma reestruturação fundamental da criptografia de memória é necessária para mitigar essa ameaça.

Uma nova vulnerabilidade de segurança, identificada como CVE-2025-41244, foi descoberta nas ferramentas VMware e no VMware Aria Operations, afetando diversas versões do VMware Cloud Foundation e VMware vSphere. Com um escore CVSS de 7.8, essa falha permite a escalada de privilégios locais, possibilitando que um usuário não privilegiado execute código em um contexto privilegiado, como o root, em máquinas virtuais (VMs) afetadas. A exploração da vulnerabilidade foi atribuída ao grupo de ameaças UNC5174, vinculado à China, que a utilizou desde outubro de 2024. A falha está relacionada a uma função chamada ‘get_version()’, que, devido a um padrão de expressão regular mal formulado, permite que binários maliciosos sejam executados em diretórios acessíveis a usuários não privilegiados. A VMware já lançou patches para mitigar a vulnerabilidade, mas a exploração em ambientes reais levanta preocupações sobre a segurança das infraestruturas que utilizam suas soluções. A situação exige atenção imediata de profissionais de segurança da informação, especialmente em contextos onde as tecnologias da VMware são amplamente utilizadas.

Pesquisadores de cibersegurança revelaram três vulnerabilidades críticas no assistente de inteligência artificial Gemini do Google, que, se exploradas, poderiam comprometer a privacidade dos usuários e permitir o roubo de dados. As falhas, coletivamente chamadas de ‘Gemini Trifecta’, incluem: uma injeção de prompt no Gemini Cloud Assist, que poderia permitir que atacantes manipulassem serviços em nuvem; uma injeção de busca no modelo de Personalização de Busca do Gemini, que poderia vazar informações salvas e dados de localização ao manipular o histórico de busca do Chrome; e uma falha de injeção indireta no Gemini Browsing Tool, que poderia exfiltrar dados do usuário para servidores externos. Após a divulgação responsável, o Google implementou medidas de segurança, como a interrupção da renderização de hyperlinks nas respostas de resumo de logs. A Tenable, empresa de segurança, destacou que a situação evidencia que a IA pode ser utilizada como veículo de ataque, não apenas como alvo, enfatizando a necessidade de visibilidade e controle rigoroso sobre ferramentas de IA em ambientes corporativos.

Um vendedor conhecido como “SebastianPereiro” anunciou em um fórum da dark web a venda de um exploit de execução remota de código (RCE) para o Veeam Backup & Replication, identificado como o “Bug de Junho de 2025”. Este exploit afeta especificamente as versões 12.x do Veeam, incluindo 12, 12.1, 12.2, 12.3 e 12.3.1, e permite que qualquer conta válida do Active Directory acesse a vulnerabilidade. Uma vez autenticado, um atacante pode executar códigos arbitrários no servidor de backup, o que pode resultar em manipulação ou exclusão de backups, exfiltração de dados ou movimentação lateral na rede da organização. Até o momento, a Veeam não divulgou um aviso ou patch para a vulnerabilidade identificada como CVE-2025-23121, e não há provas de conceito disponíveis publicamente. A falta de medidas de segurança adequadas pode comprometer a recuperação de desastres e facilitar ataques de ransomware. As equipes de segurança devem verificar imediatamente suas versões do Veeam, aplicar princípios de menor privilégio e implementar autenticação multifatorial para mitigar riscos. A situação é crítica, e a vigilância contínua sobre as atualizações da Veeam é essencial.

Recentemente, a Broadcom divulgou o aviso VMSA-2025-0016, que aborda três vulnerabilidades significativas nos produtos VMware vCenter Server e NSX. Essas falhas, classificadas como importantes, permitem que atacantes maliciosos manipulem cabeçalhos SMTP e enumere nomes de usuários válidos, criando oportunidades para ataques direcionados, como phishing e movimentação lateral na rede.

As vulnerabilidades incluem: CVE-2025-41250, que permite a injeção de cabeçalhos SMTP por usuários com permissão para criar tarefas agendadas no vCenter; CVE-2025-41251, que expõe um mecanismo fraco de recuperação de senhas no NSX, permitindo que atacantes não autenticados verifiquem a existência de nomes de usuários; e CVE-2025-41252, que utiliza diferenças sutis no tempo de resposta do login do NSX para inferir nomes de usuários válidos.

A Apple lançou uma atualização de segurança para o macOS Sequoia 15.7.1, corrigindo uma vulnerabilidade crítica no sistema de parsing de fontes, identificada como CVE-2025-43400. Essa falha permite que arquivos de fontes maliciosos provoquem operações de escrita fora dos limites, resultando em corrupção de memória e possíveis crashes de aplicativos. Embora não haja relatos de exploração ativa até o momento, a vulnerabilidade afeta diversas plataformas da Apple, incluindo iOS e iPadOS, evidenciando a interconexão dos componentes do sistema operacional da empresa. A atualização foi disponibilizada em 29 de setembro de 2025 e é crucial que os usuários a instalem imediatamente, especialmente em ambientes corporativos onde arquivos de fontes podem ser processados automaticamente. A natureza da vulnerabilidade sugere que, se explorada, poderia ser utilizada como um ponto de partida para ataques mais sofisticados, como execução remota de código. Portanto, a Apple recomenda que todos os usuários verifiquem suas configurações de atualização para garantir que a correção seja aplicada.

Uma nova vulnerabilidade crítica, identificada como CVE-2025-41244, afeta o VMware Tools e o VMware Aria Operations, permitindo que usuários não privilegiados executem código com privilégios de root sem autenticação. Essa falha, explorada ativamente pelo grupo de ameaças UNC5174 desde outubro de 2024, resulta de padrões de expressão regular excessivamente amplos no componente get-versions.sh, que pode ser manipulado para executar binários maliciosos. O ataque ocorre em ambientes de nuvem híbrida, onde a execução de um binário malicioso em diretórios graváveis, como /tmp/httpd, pode levar a um shell de root. Para mitigar essa vulnerabilidade, recomenda-se que as organizações apliquem patches imediatamente, monitorem processos e restrinjam permissões de gravação em diretórios vulneráveis. A gravidade da situação exige uma resposta rápida para proteger as infraestruturas críticas contra ameaças persistentes avançadas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica no utilitário de linha de comando Sudo, que impacta sistemas Linux e Unix-like, em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-32463, possui uma pontuação CVSS de 9.3 e afeta versões do Sudo anteriores à 1.9.17p1. A vulnerabilidade foi revelada pelo pesquisador Rich Mirch da Stratascale em julho de 2025 e permite que atacantes locais utilizem a opção -R (–chroot) do Sudo para executar comandos arbitrários como root, mesmo que não estejam listados no arquivo sudoers.

O GoAnywhere MFT, uma solução popular de transferência de arquivos gerenciada, apresenta uma vulnerabilidade crítica, identificada como CVE-2025-10035, que permite a injeção de comandos através do servlet de licença. Essa falha foi classificada com a severidade máxima de 10/10 e está sendo explorada ativamente por atacantes, conforme evidências credíveis encontradas pelos pesquisadores da WatchTowr Labs. A exploração da vulnerabilidade começou antes da divulgação pública, com registros de ataques datando de 10 de setembro de 2025, oito dias antes do aviso oficial da Fortra, empresa responsável pelo GoAnywhere. Para mitigar os riscos, os usuários são aconselhados a atualizar para a versão corrigida mais recente (7.8.4) ou a versão de Sustentação (7.6.3). Aqueles que não puderem aplicar o patch devem isolar o sistema do GoAnywhere da internet pública. A falha é especialmente preocupante, pois no início de 2023, um ataque semelhante resultou no roubo de dados de várias organizações, com o grupo de ransomware Cl0p reivindicando a responsabilidade. Portanto, a urgência em aplicar as correções é crítica para evitar possíveis brechas de segurança e vazamentos de dados.

Uma nova vulnerabilidade de execução remota de código (RCE) sem interação do usuário foi descoberta no WhatsApp, afetando dispositivos iOS, macOS e iPadOS. A falha, identificada como CVE-2025-55177, permite que atacantes enviem uma imagem DNG maliciosa que, ao ser processada automaticamente pelo aplicativo, compromete completamente o dispositivo da vítima. O ataque ocorre em duas etapas: primeiro, uma falha lógica no manuseio de mensagens do WhatsApp permite que um invasor falsifique a origem de uma mensagem e insira um arquivo DNG malicioso na conversa. Em seguida, uma segunda vulnerabilidade, CVE-2025-43300, no parser de arquivos DNG, causa corrupção de memória, permitindo que o invasor execute código arbitrário. A exploração é silenciosa, sem necessidade de interação do usuário, tornando a detecção extremamente difícil. Tanto o WhatsApp quanto a Apple estão cientes das vulnerabilidades e estão trabalhando em correções. Usuários são aconselhados a atualizar seus aplicativos assim que as correções forem disponibilizadas e a ter cautela ao receber mensagens multimídia não solicitadas. A situação destaca a complexidade de proteger aplicativos de mensagens contra vetores de ataque que exploram formatos de arquivo aparentemente seguros.

Nesta semana, o cenário de cibersegurança foi marcado por diversas ameaças significativas. Entre os principais destaques, duas falhas de segurança em firewalls da Cisco foram exploradas por grupos de hackers, resultando na entrega de novos tipos de malware, como RayInitiator e LINE VIPER. Essas falhas, CVE-2025-20362 e CVE-2025-20333, possuem pontuações CVSS de 6.5 e 9.9, respectivamente, e permitem a execução de código malicioso em dispositivos vulneráveis. Além disso, o grupo de espionagem cibernética Nimbus Manticore, alinhado ao Irã, ampliou suas operações para atacar infraestruturas críticas na Europa, utilizando variantes de malware como MiniJunk e MiniBrowse. Outro ponto alarmante foi a campanha de DDoS do botnet ShadowV2, que visa contêineres Docker mal configurados na AWS, transformando ataques em um negócio por encomenda. Em resposta a essas ameaças, a Cloudflare conseguiu mitigar um ataque DDoS recorde, que atingiu 22.2 Tbps. Por fim, vulnerabilidades em servidores da Supermicro foram identificadas, permitindo a instalação remota de firmware malicioso, o que representa um risco elevado para a segurança de dados. As organizações devem priorizar a aplicação de patches e a revisão de suas configurações de segurança para evitar compromissos.

Uma vulnerabilidade de dia zero, ou zero-day, refere-se a uma falha de segurança recém-descoberta que ainda não foi corrigida pelos desenvolvedores. O termo ‘dia zero’ indica que não há tempo para uma correção antes que a vulnerabilidade possa ser explorada por hackers. Esses cibercriminosos podem criar malwares para explorar essas falhas, comprometendo dados de usuários e sistemas. A exploração geralmente ocorre através de engenharia social, como e-mails de phishing, e pode resultar em invasões prolongadas, já que muitos usuários não atualizam seus sistemas rapidamente após a liberação de patches. A Kaspersky identifica diversos atores que exploram essas vulnerabilidades, incluindo cibercriminosos, hacktivistas e espiões corporativos. Exemplos notáveis incluem falhas no navegador Chrome e na plataforma Zoom, além do famoso worm Stuxnet, que afetou o programa nuclear do Irã. Para mitigar riscos, é crucial que os usuários mantenham seus sistemas atualizados e adotem práticas de segurança, como o uso de firewalls e antivírus.

Uma vulnerabilidade crítica foi identificada no SUSE Rancher Manager, permitindo que atacantes bloqueiem contas administrativas por meio de manipulação de nomes de usuário. Essa falha, resultante de uma validação inadequada no sistema de gerenciamento de usuários, possibilita que usuários mal-intencionados com permissões de atualização alterem nomes de usuários, impedindo o acesso de administradores legítimos. Existem dois vetores principais de ataque: a tomada de conta, onde um usuário pode alterar o nome de outro para ‘admin’, e o bloqueio direto de contas administrativas. A exploração dessa vulnerabilidade pode causar interrupções significativas nas operações de gerenciamento de plataformas, deixando sistemas críticos sem supervisão adequada. A SUSE já disponibilizou correções nas versões v2.12.2, v2.11.6, v2.10.10 e v2.9.12, que implementam validações para impedir a modificação de nomes de usuário após a atribuição inicial. Para organizações que não podem atualizar imediatamente, recomenda-se a implementação de controles de acesso rigorosos. A auditoria regular de permissões e o monitoramento de alterações não autorizadas são essenciais para detectar tentativas de exploração antes que causem danos operacionais.

O Formbricks, uma plataforma de análise de código aberto, apresenta uma vulnerabilidade crítica que permite redefinições de senha não autorizadas. A falha está relacionada ao manuseio de JSON Web Tokens (JWT), onde os tokens são decodificados sem verificações de assinatura ou expiração. Isso possibilita que atacantes criem tokens arbitrários e sequestram contas de usuários. A vulnerabilidade se origina do uso inadequado da operação de decodificação (jwt.decode) em vez da verificação completa (jwt.verify), resultando na falta de validação da assinatura do token, tempo de expiração, emissor e público-alvo. Um atacante, ao obter um identificador de usuário válido, pode gerar um token com o cabeçalho alg: “none” e, em seguida, usar esse token para redefinir a senha da conta da vítima. O impacto dessa falha é significativo, pois permite não apenas a redefinição de senhas, mas também o controle de outras funcionalidades baseadas em contas, levando ao roubo de dados e manipulação de registros analíticos. Para mitigar essa vulnerabilidade, os desenvolvedores devem substituir todas as chamadas jwt.decode por jwt.verify e implementar medidas adicionais de segurança, como limitação de taxa e monitoramento de solicitações incomuns.

Pesquisadores de cibersegurança identificaram a primeira instância de um servidor do Model Context Protocol (MCP) malicioso em uso, o que eleva os riscos na cadeia de suprimentos de software. O código malicioso foi inserido em um pacote npm chamado ‘postmark-mcp’, que imitava uma biblioteca legítima da Postmark Labs. A versão comprometida, 1.0.16, foi lançada em 17 de setembro de 2025, e desde então, o pacote tem enviado cópias de todos os e-mails enviados através do servidor MCP para um servidor pessoal do desenvolvedor. O pacote foi removido do npm, mas já havia sido baixado 1.643 vezes. O CTO da Koi Security, Idan Dardikman, destacou que a simplicidade do ataque, que consistia em uma única linha de código, revela a fragilidade do ecossistema de software aberto. Os desenvolvedores que utilizaram o pacote são aconselhados a removê-lo imediatamente e a revisar logs de e-mail para identificar possíveis vazamentos de informações. A situação ressalta a necessidade de medidas de segurança mais rigorosas em ambientes empresariais que utilizam soluções de código aberto.

Uma falha de segurança na versão 3.0.3 do Apache Airflow permitiu que usuários com permissões de leitura acessassem informações confidenciais, como senhas e tokens, que deveriam ser restritas a usuários com privilégios de edição. Essa vulnerabilidade, identificada como CVE-2025-54831, ocorreu devido a um erro na camada de serialização do ORM, que não filtrou adequadamente os campos sensíveis nas respostas da API e na interface do usuário. A situação é preocupante, especialmente em ambientes onde permissões de leitura são amplamente concedidas para monitoramento e auditoria, pois usuários mal-intencionados ou contas comprometidas podem explorar essa falha para acessar credenciais de conexão e, consequentemente, sistemas críticos. Em resposta, a equipe de desenvolvimento lançou a versão 3.0.4, que reestabelece o controle de acesso adequado, garantindo que campos sensíveis permaneçam ocultos para usuários não autorizados. As organizações são aconselhadas a atualizar imediatamente para a nova versão, rotacionar credenciais expostas e revisar permissões de acesso para mitigar riscos futuros.

Uma vulnerabilidade crítica no sistema Microsoft Entra ID foi descoberta, permitindo que cibercriminosos acessassem inquilinos virtuais sem deixar rastros. Identificada pelo especialista Dirk-Jan Mollema, a falha, classificada como CVE-2025-55241, envolvia dois elementos: os Tokens de Autor, que são tokens de autenticação não documentados, e um bug de Elevação de Privilégios. Esses tokens, emitidos por um sistema legado, não eram verificados por controles de segurança comuns, permitindo acesso não autorizado a dados sensíveis e configurações de outras organizações. Mollema demonstrou que, utilizando informações publicamente disponíveis, era possível gerar tokens e acessar ambientes alheios, criando usuários e alterando senhas sem gerar logs. A Microsoft reconheceu a vulnerabilidade em julho de 2025 e lançou patches para corrigi-la em setembro. A falha destaca a importância de descontinuar sistemas obsoletos e reforçar a segurança em serviços amplamente utilizados, como o Azure AD Graph.

Uma vulnerabilidade crítica, classificada com CVSS 9.4, foi descoberta na plataforma Agentforce AI da Salesforce, permitindo que atacantes realizem injeções de comandos maliciosos através de formulários Web-to-Lead. Essa falha, chamada ‘ForcedLeak’, pode resultar na exfiltração de dados sensíveis de clientes. O problema foi identificado por pesquisadores da Noma Labs, que alertaram os usuários da Salesforce sobre a necessidade urgente de aplicar patches. A vulnerabilidade afeta a funcionalidade Web-to-Lead, que captura automaticamente informações de leads durante campanhas de marketing. Os atacantes exploram a falha inserindo instruções maliciosas em campos aparentemente inofensivos, que são posteriormente executadas pelo agente AI da Salesforce. A falha se deve a falhas de validação de contexto, comportamento permissivo do modelo e uma política de segurança de conteúdo que permitiu o uso de um domínio expirado para a transmissão de dados. A Salesforce já lançou correções e recomenda medidas de mitigação, como a validação rigorosa de entradas e a auditoria de dados existentes. Este incidente destaca os desafios de segurança únicos apresentados por agentes de IA em ambientes empresariais, exigindo que as organizações adotem estruturas de segurança centradas em IA para proteger contra novos vetores de ataque.

A Cisco divulgou um aviso de segurança crítico (ID cisco-sa-http-code-exec-WmfP3h3O) sobre uma vulnerabilidade de execução remota de código que afeta várias plataformas da empresa. Revelada em 25 de setembro de 2025, a falha (CVE-2025-20363) impacta o Cisco Secure Firewall Adaptive Security Appliance (ASA), o Cisco Secure Firewall Threat Defense (FTD) e diversos sistemas operacionais baseados em IOS. Com uma pontuação CVSS 3.1 de 9.0, a vulnerabilidade permite que atacantes não autenticados ou com privilégios baixos obtenham privilégios de root, o que pode levar à completa compromissão do dispositivo.

A empresa de cibersegurança watchTowr Labs revelou que uma vulnerabilidade crítica no software Fortra GoAnywhere Managed File Transfer (MFT), identificada como CVE-2025-10035, está sendo explorada ativamente desde 10 de setembro de 2025, uma semana antes de sua divulgação pública. Essa falha, classificada com CVSS 10.0, permite a injeção de comandos sem autenticação devido a uma vulnerabilidade de desserialização no License Servlet. A exploração envolve o envio de requisições HTTP manipuladas para interagir com o servlet exposto, possibilitando a execução remota de código (RCE). A empresa também identificou uma cadeia de três problemas, incluindo uma falha de controle de acesso conhecida desde 2023. Os atacantes têm utilizado essa vulnerabilidade para criar contas de administrador e carregar cargas adicionais maliciosas. A atividade dos atacantes foi rastreada até um IP associado a ataques de força bruta. Dada a gravidade da situação, é crucial que os usuários do Fortra GoAnywhere apliquem as correções disponíveis imediatamente.

A Cisco emitiu um alerta sobre duas vulnerabilidades críticas em seu software de firewall, afetando o Cisco Secure Firewall Adaptive Security Appliance (ASA) e o Cisco Secure Firewall Threat Defense (FTD). As falhas, identificadas como CVE-2025-20333 e CVE-2025-20362, têm pontuações CVSS de 9.9 e 6.5, respectivamente. A primeira permite que um atacante remoto autenticado execute código arbitrário como root, enquanto a segunda possibilita que um atacante não autenticado acesse endpoints restritos. Ambas as vulnerabilidades estão sendo ativamente exploradas, com a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitindo uma diretiva de emergência para que agências federais identifiquem e mitiguem possíveis compromissos. A CISA também associou a exploração a um ator de ameaças conhecido como ArcaneDoor, que já demonstrou capacidade de manipular a memória ROM dos dispositivos. A Cisco recomenda que os usuários apliquem patches imediatamente para evitar compromissos em suas redes.

Uma vulnerabilidade crítica foi identificada na ferramenta de compartilhamento de arquivos ZendTo, permitindo que usuários autenticados realizem a travessia de caminhos do sistema e acessem ou modifiquem arquivos sensíveis de outros usuários. A falha, rastreada como CVE-2025-34508, afeta as versões 6.15-7 e anteriores do ZendTo. Um atacante pode explorar essa vulnerabilidade para ler logs do servidor, dados de usuários ou arquivos críticos da aplicação. A ZendTo lançou um patch na versão 6.15-8, e os administradores são aconselhados a atualizar imediatamente para evitar acessos não autorizados. A vulnerabilidade ocorre devido à falta de sanitização adequada dos parâmetros ‘chunkName’ e ’tmp_name’, permitindo que um invasor forneça um ’tmp_name’ malicioso que redireciona arquivos do servidor para seu diretório pessoal. Isso pode resultar em roubo de dados e até mesmo em condições de negação de serviço, caso arquivos essenciais sejam removidos ou corrompidos. A situação destaca a importância de validar e sanitizar entradas de usuários, além de implementar um controle rigoroso de permissões de arquivos.

Uma vulnerabilidade crítica nas plataformas Cisco IOS e IOS XE permite que um atacante remoto não autenticado contorne a autenticação TACACS+, potencialmente concedendo controle administrativo total sobre roteadores e switches afetados. Identificada como CVE-2025-20160, a falha possui uma pontuação CVSS 3.1 de 8.1 e resulta de uma validação inadequada da configuração do segredo compartilhado do TACACS+. A vulnerabilidade se manifesta quando o TACACS+ é ativado sem um segredo compartilhado, permitindo que um invasor, posicionado na rede, leia pacotes TACACS+ não criptografados ou se faça passar pelo servidor TACACS+ enviando respostas manipuladas. Isso pode levar à divulgação não autorizada de credenciais e dados de configuração, além de permitir o controle total do dispositivo, o que representa riscos severos à segurança da rede e à continuidade operacional. Embora a Cisco não tenha observado exploração ativa, recomenda a atualização imediata para versões corrigidas do software. Administradores devem auditar suas configurações TACACS+ para garantir que cada entrada de servidor inclua um segredo válido e programar uma atualização para uma versão corrigida conforme sua janela de manutenção.

O boletim semanal de cibersegurança destaca as últimas ameaças digitais, incluindo a atualização de firmware da SonicWall para remover malware rootkit em dispositivos SMA 100, após a descoberta de ataques por um ator identificado como UNC6148. Além disso, uma vulnerabilidade crítica (CVE-2025-10184) foi encontrada em smartphones OnePlus, permitindo que aplicativos maliciosos acessem mensagens de texto sem permissão do usuário. O CISA também relatou uma violação em uma agência federal dos EUA, onde hackers exploraram uma falha no GeoServer para comprometer a rede. A prisão de membros do grupo Scattered Spider, que usou engenharia social para realizar ataques, e o uso de arquivos SVG maliciosos em campanhas de phishing na América Latina, como AsyncRAT, também foram abordados. Essas informações ressaltam a necessidade de atualização constante e vigilância em cibersegurança, especialmente para empresas que operam em ambientes digitais complexos.

Pesquisadores de cibersegurança revelaram uma falha crítica no Salesforce Agentforce, uma plataforma para criação de agentes de inteligência artificial (IA), que pode permitir que atacantes exfiltratem dados sensíveis do sistema de gerenciamento de relacionamento com o cliente (CRM) da empresa. Nomeada de ForcedLeak, a vulnerabilidade possui uma pontuação CVSS de 9.4 e afeta organizações que utilizam a funcionalidade Web-to-Lead do Salesforce. O ataque ocorre por meio de uma injeção de prompt indireta, onde instruções maliciosas são inseridas em campos de dados externos, levando o sistema a gerar conteúdos proibidos ou a realizar ações não intencionais. O processo envolve cinco etapas, começando com o envio de um formulário Web-to-Lead contendo uma descrição maliciosa, seguido pelo processamento desse lead por um funcionário interno que utiliza um comando padrão de IA. A falha permite que dados sensíveis sejam transmitidos para um domínio controlado pelo atacante. A Salesforce já tomou medidas para mitigar a vulnerabilidade, resegurando o domínio expirado e implementando um mecanismo de lista de URLs confiáveis. Os usuários são aconselhados a auditar dados existentes e implementar validações rigorosas de entrada para detectar possíveis injeções de prompt.

Uma vulnerabilidade crítica foi identificada no componente de compartilhamento de arquivos ksmbd do Kernel Linux, permitindo que atacantes remotos executem código arbitrário com privilégios totais do kernel. Classificada como CVE-2025-38561, a falha afeta distribuições Linux que utilizam a implementação do servidor SMB ksmbd. Embora a autenticação válida seja necessária, a exploração bem-sucedida pode levar a uma completa compromissão do sistema, tornando a aplicação de patches urgente para administradores e fornecedores.

A comunidade de cibersegurança está em alerta devido a uma vulnerabilidade em câmeras da Hikvision, que tem sido explorada por atacantes para acessar informações sensíveis. Nos últimos dias, registros de honeypots mostraram um aumento nas tentativas de acesso ao endpoint /System/deviceInfo, utilizando um parâmetro ‘auth’ com credenciais codificadas em Base64. O valor decodificado, ‘admin:11’, sugere o uso de técnicas de força bruta para explorar senhas fracas, permitindo que invasores acessem informações críticas do dispositivo.

O SetupHijack é uma nova ferramenta de pesquisa em segurança de código aberto que explora condições de corrida e manipulação insegura de arquivos em processos de instalação do Windows para obter escalonamento de privilégios. A ferramenta monitora diretórios graváveis, como %TEMP%, %APPDATA% e %USERPROFILE%\Downloads, substituindo executáveis de instaladores por cargas úteis fornecidas pelo atacante, que são executadas com direitos elevados antes que as verificações de integridade sejam concluídas.

Os instaladores do Windows frequentemente colocam temporariamente executáveis em locais graváveis antes da execução. O SetupHijack opera no contexto de um usuário não privilegiado, escaneando continuamente esses diretórios. Quando um arquivo alvo aparece, a ferramenta rapidamente o substitui por uma carga útil personalizada, criando uma janela de corrida (TOCTOU). Se o processo privilegiado executar o arquivo sequestrado antes de verificar sua autenticidade, a carga útil do atacante é executada com privilégios de SYSTEM ou Administrador.

A Cisco emitiu um alerta sobre uma vulnerabilidade de alta severidade, identificada como CVE-2025-20352, que afeta o software IOS e IOS XE. Com uma pontuação CVSS de 7.7, essa falha pode permitir que um atacante remoto execute código arbitrário ou cause uma condição de negação de serviço (DoS) em dispositivos afetados. A vulnerabilidade está relacionada ao protocolo SNMP (Simple Network Management Protocol) e foi descoberta após a violação de credenciais de administrador local. Para explorar a falha, um atacante precisa enviar um pacote SNMP malicioso a um dispositivo vulnerável, sendo que as condições para a exploração variam conforme o nível de privilégios do atacante. A Cisco recomenda que apenas usuários confiáveis tenham acesso SNMP e sugere a execução do comando “show snmp host” para monitoramento. A falha afeta todas as versões do SNMP e dispositivos como os switches Meraki MS390 e Cisco Catalyst 9300. A correção já está disponível na versão 17.15.4a do Cisco IOS XE, e a empresa alerta que não há soluções alternativas para mitigar a vulnerabilidade.

Uma vulnerabilidade na ferramenta Deep Research do ChatGPT, descoberta pela Radware, permitia que dados do Gmail de usuários fossem coletados sem que eles precisassem clicar em qualquer link. O recurso, lançado em fevereiro, foi projetado para realizar pesquisas mais robustas e rápidas, mas, ao se conectar às contas do Gmail, expôs informações pessoais como nome e endereço. A Radware testou a falha enviando e-mails a si mesmos com instruções ocultas, que permitiram que a IA coletasse dados e os enviasse a um endereço controlado pelos pesquisadores. A OpenAI, responsável pelo ChatGPT, corrigiu a falha em 3 de setembro e afirmou que não há evidências de que a vulnerabilidade tenha sido explorada por hackers. No entanto, a possibilidade de uso de dados para ataques de phishing no futuro permanece. A empresa ressaltou que a segurança é uma prioridade e que a análise da Radware contribuiu para a melhoria das ferramentas. Este incidente destaca a necessidade de vigilância contínua em relação à segurança de ferramentas de IA, especialmente aquelas que interagem com dados sensíveis dos usuários.