Vulnerabilidade

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica no software DELMIA Apriso da Dassault Systèmes em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-5086, possui uma pontuação CVSS de 9.0, indicando um alto nível de risco. O problema afeta versões do software desde 2020 até 2025 e pode permitir a execução remota de código, resultando em sérios riscos de segurança. A CISA alertou que tentativas de exploração estão ativas, com ataques originando-se de um endereço IP localizado no México. Os ataques envolvem o envio de uma solicitação HTTP a um endpoint específico, utilizando um payload codificado em Base64 que se decodifica para um executável malicioso. O malware identificado como ‘Trojan.MSIL.Zapchast.gen’ é projetado para espionar atividades do usuário, coletando informações sensíveis. Diante da exploração ativa, as agências do governo dos EUA foram orientadas a aplicar atualizações até 2 de outubro de 2025 para proteger suas redes.

A Samsung lançou suas atualizações mensais de segurança para o Android, incluindo um patch para uma vulnerabilidade crítica identificada como CVE-2025-21043, que possui uma pontuação CVSS de 8.8. Essa falha, relacionada a uma escrita fora dos limites no arquivo libimagecodec.quram.so, permite que atacantes remotos executem código arbitrário em dispositivos afetados. A vulnerabilidade impacta as versões 13, 14, 15 e 16 do Android e foi divulgada à Samsung em 13 de agosto de 2025. Embora a empresa não tenha fornecido detalhes sobre como a vulnerabilidade está sendo explorada, reconheceu que um exploit já está em circulação. Essa situação surge após a Google ter resolvido duas falhas de segurança em Android que também estavam sendo exploradas em ataques direcionados. A correção é essencial para proteger os usuários de dispositivos Samsung contra possíveis ataques que possam comprometer a segurança de seus dados.

Um novo exploit, denominado VMScape, foi revelado, demonstrando que os processadores AMD Zen e Intel Coffee Lake ainda são vulneráveis a ataques de execução especulativa de guest para host, apesar das mitig ações de hardware implementadas. Ao contrário de técnicas anteriores que exigiam modificações no código do hipervisor, o VMScape opera em implementações KVM baseadas em QEMU não modificadas, permitindo que um VM (máquina virtual) controlado por um atacante vaze memória do host a uma taxa de 32 bytes por janela de especulação.

Uma vulnerabilidade crítica foi descoberta nos sistemas Daikin Security Gateway, permitindo que atacantes contornem todos os controles de autenticação e acessem sistemas de controle industrial sem autorização. Identificada como CVE-2025-10127, essa falha representa um risco significativo para organizações que dependem da infraestrutura de segurança da Daikin, especialmente no setor de energia. A vulnerabilidade se origina de um mecanismo fraco de recuperação de senha, que não verifica adequadamente a identidade do usuário, permitindo que um invasor redefina credenciais administrativas ou acesse o sistema diretamente. Pesquisadores da CISA alertaram que a exploração bem-sucedida pode comprometer a confidencialidade, integridade e disponibilidade dos sistemas afetados. A Daikin não planeja emitir um patch formal, deixando a responsabilidade de proteção nas mãos das organizações. Recomendações incluem isolar dispositivos de controle de sistemas da internet e implementar medidas de segurança adicionais, como autenticação em múltiplas camadas e monitoramento contínuo de logs de acesso.

A Oracle lançou a versão 7.2.2 do VirtualBox, uma atualização crítica que visa resolver falhas na interface gráfica do usuário (GUI) que afetavam máquinas virtuais (VMs) em plataformas Windows, Linux e macOS. Publicada em 10 de setembro de 2025, essa atualização traz melhorias significativas na confiabilidade dos fluxos de trabalho de virtualização, proporcionando uma experiência de usuário mais estável. Entre as correções, destaca-se a solução para travamentos frequentes na interface do VirtualBox Manager, especialmente ao gerenciar VMs com múltiplos snapshots. Além disso, foram abordados problemas de congelamento no Linux durante a inicialização e ao adicionar novas VMs. A atualização também melhora o suporte a hosts ARM, reduzindo o uso excessivo de CPU em VMs ociosas e garantindo um desempenho mais confiável. Outras melhorias incluem suporte para novos adaptadores de rede e correções na manipulação de DNS, aumentando a estabilidade da rede. A Oracle recomenda que todos os usuários do VirtualBox atualizem imediatamente para evitar interrupções nas operações diárias das VMs.

Uma vulnerabilidade de segurança foi identificada no editor de código Cursor, que utiliza inteligência artificial. O problema ocorre porque a configuração de segurança chamada ‘Workspace Trust’ está desativada por padrão, permitindo que atacantes executem código arbitrário nos computadores dos usuários ao abrir repositórios maliciosos. A análise da Oasis Security destaca que, com essa configuração desativada, um arquivo malicioso ‘.vscode/tasks.json’ pode transformar a simples ação de abrir uma pasta em uma execução silenciosa de código malicioso. Isso pode resultar em vazamento de credenciais sensíveis ou comprometer todo o sistema do usuário. Para mitigar esse risco, os usuários devem ativar o ‘Workspace Trust’, abrir repositórios não confiáveis em editores de código alternativos e realizar auditorias antes de usar o Cursor. Além disso, a pesquisa aponta que a segurança em ferramentas de desenvolvimento baseadas em IA enfrenta desafios adicionais, como injeções de prompt e vulnerabilidades clássicas, que ampliam a superfície de ataque. A situação é preocupante, pois a segurança deve ser uma prioridade em um ambiente de desenvolvimento cada vez mais dependente de IA.

Uma vulnerabilidade crítica foi identificada no User-ID Credential Agent da Palo Alto Networks, afetando versões anteriores à 11.0.3 no Windows. Essa falha permite que senhas de contas de serviço sejam expostas em texto claro, especialmente quando configuradas com permissões elevadas, como as de Server Operator ou Domain Join. Um usuário de domínio não privilegiado pode explorar mecanismos de leitura de arquivos ou despejo de memória para obter essas senhas. O impacto varia conforme o nível de privilégio da conta de serviço: contas minimamente privilegiadas podem resultar em interrupções nas operações do User-ID, enquanto contas com privilégios elevados podem permitir controle total do servidor, incluindo manipulação de domínio e comprometimento da rede. A Palo Alto Networks já lançou um patch para corrigir a vulnerabilidade, e recomenda que administradores atualizem suas versões para 11.0.3 ou superiores. Enquanto isso, é aconselhável que as organizações verifiquem as permissões de logon local concedidas a usuários de domínio nos Controladores de Domínio e adotem práticas recomendadas para a criação de contas de serviço dedicadas e minimamente privilegiadas.

Um novo ataque cibernético descoberto permite que usuários autenticados do ArgoCD, uma ferramenta popular de entrega contínua para Kubernetes, roubem credenciais do GitHub. O ataque explora a resolução de DNS do Kubernetes, enganando o servidor de repositório do ArgoCD a se conectar a um serviço controlado pelo atacante em vez do verdadeiro GitHub. Ao implantar um serviço malicioso, o atacante cria um registro DNS que redireciona o domínio github.com para um IP interno do cluster. Quando o ArgoCD busca manifestos via HTTPS, o atacante utiliza um certificado personalizado para inspecionar o cabeçalho de autorização e exfiltrar credenciais, incluindo tokens de autenticação e JWTs do GitHub. Para que o ataque seja bem-sucedido, a conta do ArgoCD comprometida deve ter permissões adequadas. O artigo também sugere medidas de mitigação, como aplicar princípios de menor privilégio e monitorar o tráfego interno. Essa vulnerabilidade é uma preocupação crescente, especialmente em um cenário onde a exfiltração de informações é um tema recorrente na cibersegurança.

Uma vulnerabilidade crítica no plugin etcd do CoreDNS foi revelada, permitindo que atacantes com acesso de escrita a daemons etcd fixem entradas de cache DNS indefinidamente, interrompendo atualizações de serviço. A falha, identificada como GHSA-93mf-426m-g6x9, resulta de um uso inadequado de identificadores de lease do etcd como valores de tempo de vida (TTL), levando a durações de cache extremas que podem durar anos. Usuários do CoreDNS versão 1.2.0 e superiores devem atualizar para a versão 1.12.4 imediatamente para mitigar esse problema de alta severidade. O erro ocorre na função TTL() do arquivo plugin/etcd/etcd.go, onde um ID de lease de 64 bits é tratado como um inteiro sem sinal de 32 bits, resultando em valores de TTL extremamente altos. Isso faz com que resolvers e clientes armazenem respostas DNS por períodos muito além do esperado, ignorando mudanças legítimas de serviço. Para explorar a vulnerabilidade, um atacante precisa apenas de privilégios de escrita no etcd, que podem ser obtidos por meio de contas de serviço comprometidas ou configurações inadequadas. A atualização do CoreDNS corrige o cálculo do TTL e introduz limites configuráveis para evitar durações de cache excessivas. É recomendado que operadores de instâncias vulneráveis apliquem o patch imediatamente e revisem os controles de acesso do etcd.

Uma nova vulnerabilidade de alta severidade (CVE-2025-59052) foi descoberta na funcionalidade de renderização do lado do servidor (SSR) do Angular, colocando em risco dados de usuários. Essa falha permite que atacantes acessem informações de outras sessões durante operações de alta concorrência. O problema se origina de uma condição de corrida global no injetor da plataforma SSR do Angular, que armazena dados específicos de cada requisição durante a renderização. Quando múltiplas requisições são processadas simultaneamente, o estado do injetor global pode ser compartilhado ou sobrescrito, resultando em vazamento de dados entre requisições. Isso significa que dados sensíveis, como tokens de autenticação e configurações de usuários, podem ser inadvertidamente retornados a usuários não autorizados. A exploração da falha não requer privilégios especiais ou interação do usuário, tornando-a um risco significativo para aplicações web de alto tráfego. O Angular já lançou correções automáticas para as versões 18, 19 e 20, e recomenda que as equipes desativem o SSR ou removam lógica assíncrona de funções de bootstrap personalizadas até que as atualizações sejam implementadas.

Uma vulnerabilidade crítica de execução remota de código (RCE) foi identificada no Cursor AI Code Editor, permitindo que atacantes executem comandos arbitrários na máquina de um desenvolvedor assim que uma pasta de projeto é aberta. Descoberta pela equipe de pesquisa da Oasis Security, a falha explora uma configuração padrão do Cursor que desativa o recurso ‘Workspace Trust’, semelhante ao do Visual Studio Code, mas que não solicita consentimento do usuário. Com isso, um invasor pode criar um repositório malicioso contendo um arquivo .vscode/tasks.json configurado para executar comandos automaticamente ao abrir a pasta comprometida. Isso pode resultar na instalação de backdoors, exfiltração de arquivos ou modificação de configurações do sistema, colocando em risco credenciais de alto privilégio armazenadas nas estações de trabalho dos desenvolvedores. A vulnerabilidade pode ser um ponto de partida para ataques em cadeia, comprometendo pipelines de CI/CD e infraestrutura em nuvem. A Cursor reconheceu o problema e planeja publicar orientações de segurança atualizadas, enquanto recomenda-se que equipes de desenvolvimento ativem manualmente o ‘Workspace Trust’ e evitem abrir repositórios não confiáveis em ambientes isolados.

Uma falha de segurança crítica foi identificada no ponto de acesso Bluetooth Amp’ed RF BT-AP 111, que expõe sua interface administrativa baseada em HTTP sem controles de autenticação. O dispositivo, que suporta até sete conexões Bluetooth simultâneas e oferece Universal Plug and Play (UPnP) em sua porta Ethernet, permite que qualquer dispositivo na mesma rede solicite o endpoint HTTP e visualize ou modifique configurações críticas. Essa vulnerabilidade, rastreada como CVE-2025-9994, permite que atacantes não autenticados alterem modos de emparelhamento Bluetooth, ajustem parâmetros de rede e até mesmo façam upload de firmware malicioso, comprometendo completamente o dispositivo. A ausência de autenticação contraria as diretrizes do NIST, que exigem controles de segurança para dispositivos Bluetooth. A situação é especialmente preocupante para organizações que utilizam o BT-AP 111 em ambientes mistos ou não confiáveis, pois isso pode permitir que atacantes estabeleçam pontos de acesso persistentes em redes corporativas. Até o momento, não há orientações de remediação ou atualizações de firmware disponíveis, e a recomendação é isolar os dispositivos em redes seguras e monitorar acessos HTTP.

Uma nova vulnerabilidade, identificada como CVE-2025-24132, foi revelada, permitindo que atacantes explorem os protocolos sem fio do Apple CarPlay para obter privilégios de root em sistemas multimídia de veículos. Apresentada na conferência DefCon, a falha é um estouro de buffer na SDK do AirPlay, destacando os riscos críticos que veículos conectados enfrentam e a necessidade urgente de uma implementação coordenada de patches na indústria automotiva. O ataque se aproveita do emparelhamento Bluetooth padrão ‘Just Works’, permitindo que um invasor se passe por um iPhone e solicite credenciais de Wi-Fi sem interação do usuário. Uma vez conectado, o atacante pode obter informações de configuração da rede e explorar a vulnerabilidade do AirPlay. Apesar de a Apple ter lançado versões corrigidas do SDK, a adoção dessas correções por montadoras é lenta, o que deixa milhões de veículos vulneráveis. A colaboração proativa entre fabricantes de equipamentos originais (OEMs) e fornecedores de software é essencial para mitigar esses riscos e garantir que todos os veículos com CarPlay recebam proteção em tempo hábil.

O GitLab lançou atualizações de patch (18.3.2, 18.2.6 e 18.1.6) para suas edições Community e Enterprise, abordando vulnerabilidades críticas que podem resultar em negação de serviço (DoS) e ataques de Server-Side Request Forgery (SSRF). As instalações autogeridas devem atualizar imediatamente, pois a versão do GitLab.com já está corrigida. A vulnerabilidade mais grave (CVE-2025-6454) permite que usuários autenticados injetem sequências maliciosas em cabeçalhos personalizados de Webhook, potencialmente desencadeando requisições internas indesejadas. Com um CVSS de 8.5, essa falha representa um risco significativo à confidencialidade e integridade dos dados. Além disso, duas falhas de DoS de alta severidade (CVE-2025-2256 e CVE-2025-1250) podem permitir que atacantes esgotem recursos do sistema. O GitLab recomenda que os administradores atualizem suas instalações sem demora, garantindo a segurança contra esses riscos. As versões afetadas vão da 7.8 até antes das versões de patch mencionadas, e a atualização é essencial para evitar a exploração dessas vulnerabilidades.

No dia 10 de setembro de 2025, a Microsoft lançou uma atualização de segurança que corrige 80 falhas em seu software, incluindo uma vulnerabilidade já conhecida publicamente. Dentre as 80 falhas, oito foram classificadas como Críticas e 72 como Importantes. Nenhuma das vulnerabilidades foi explorada como zero-day. A maioria das falhas (38) está relacionada a elevação de privilégios, seguida por execução remota de código (22), divulgação de informações (14) e negação de serviço (3). A vulnerabilidade mais crítica, CVE-2025-55234, com um CVSS de 8.8, refere-se a um problema de elevação de privilégios no SMB do Windows, que pode permitir ataques de relay. A Microsoft também destacou a importância de auditorias adicionais para garantir a compatibilidade do cliente SMB. Outras vulnerabilidades notáveis incluem CVE-2025-54914, uma falha crítica no Azure Networking, e CVE-2025-55232, que afeta o Microsoft HPC Pack. A atualização também aborda falhas no BitLocker, que podem permitir que atacantes contornem proteções de criptografia. A Microsoft recomenda medidas adicionais, como habilitar TPM+PIN para aumentar a segurança do BitLocker.

A Sophos divulgou uma vulnerabilidade crítica de bypass de autenticação que afeta sua série de Pontos de Acesso Sem Fio AP6, permitindo que atacantes não autorizados obtenham privilégios administrativos. A falha, identificada como CVE-2025-10159, foi descoberta durante testes internos de segurança e já foi corrigida na versão mais recente do firmware. A vulnerabilidade impacta dispositivos que executam versões de firmware anteriores à 1.7.2563 (MR7). Atacantes que conseguem acessar o endereço IP de gerenciamento do ponto de acesso podem explorar essa falha para contornar os mecanismos de autenticação, comprometendo a segurança da rede. Uma vez que um invasor obtém privilégios administrativos, ele pode alterar configurações de rede, interceptar comunicações sem fio e implantar firmware malicioso. A Sophos implementou atualizações automáticas para a maioria dos clientes, mas aqueles que optaram por não usar essa configuração devem atualizar manualmente o firmware para se proteger contra essa vulnerabilidade. Administradores de rede são aconselhados a verificar suas versões de firmware e aplicar o patch imediatamente para evitar possíveis brechas de segurança.

A SAP lançou atualizações de segurança para corrigir várias falhas, incluindo três vulnerabilidades críticas no SAP NetWeaver. A primeira, CVE-2025-42944, com uma pontuação CVSS de 10.0, é uma vulnerabilidade de desserialização que permite a um atacante não autenticado executar comandos do sistema operacional ao enviar um payload malicioso para uma porta aberta. A segunda, CVE-2025-42922, com pontuação de 9.9, permite que um usuário autenticado não administrativo faça o upload de arquivos arbitrários. A terceira, CVE-2025-42958, com pontuação de 9.1, envolve uma falha de verificação de autenticação que pode permitir que usuários não autorizados acessem informações sensíveis e funcionalidades administrativas. Além disso, uma vulnerabilidade de validação de entrada no SAP S/4HANA (CVE-2025-42916) foi identificada, permitindo que atacantes com acesso privilegiado excluam o conteúdo de tabelas de banco de dados. Embora não haja evidências de que essas falhas tenham sido exploradas ativamente, é crucial que os usuários apliquem as atualizações o mais rápido possível para garantir a proteção adequada.

A Adobe emitiu um alerta sobre uma vulnerabilidade crítica, identificada como CVE-2025-54236, que afeta suas plataformas Adobe Commerce e Magento Open Source. Com uma pontuação CVSS de 9.1, a falha é classificada como um problema de validação inadequada de entrada, permitindo que atacantes possam assumir o controle de contas de clientes através da API REST do Commerce. A vulnerabilidade impacta diversas versões do Adobe Commerce e Magento, incluindo versões anteriores a 2.4.9-alpha2 e 2.4.8-p2, entre outras. Embora a Adobe não tenha conhecimento de explorações ativas, a empresa lançou um hotfix e implementou regras de firewall de aplicação web (WAF) para proteger os ambientes contra tentativas de exploração. A empresa de segurança Sansec comparou essa vulnerabilidade a outras falhas significativas na história do Magento, como o Shoplift e o CosmicSting. Além disso, a Adobe também corrigiu uma vulnerabilidade crítica no ColdFusion, que poderia permitir gravações arbitrárias no sistema de arquivos. É essencial que os comerciantes que utilizam essas plataformas tomem medidas imediatas para mitigar os riscos associados a essa vulnerabilidade.

A Zoom Video Communications anunciou uma atualização de segurança que corrige várias falhas em seu software, incluindo o Zoom Workplace e clientes para Windows e macOS. A atualização aborda uma vulnerabilidade crítica de ‘Autorização Ausente’ (CVE-2025-49459) que pode permitir que atacantes realizem ações sem a devida permissão, comprometendo dados sensíveis e a integridade do sistema. Além disso, foram corrigidas diversas vulnerabilidades de severidade média, como problemas de autorização e injeção de argumentos, que podem permitir que usuários excedam níveis de acesso permitidos. A empresa recomenda fortemente que os usuários instalem a versão mais recente imediatamente para se proteger contra possíveis explorações. A atualização é especialmente urgente, considerando que a Zoom já havia corrigido uma falha crítica no mês anterior. A recorrência de vulnerabilidades de alto impacto destaca os riscos de manter software desatualizado, que pode deixar tanto usuários individuais quanto ambientes corporativos vulneráveis a ataques, como exfiltração de dados e compromissos totais do sistema.

Uma vulnerabilidade crítica, identificada como SessionReaper (CVE-2025-54236), foi descoberta no Magento, levando a Adobe a interromper seu ciclo regular de atualizações para lançar um patch de emergência. Essa falha é considerada uma das mais severas na história do Magento, comparável a incidentes anteriores como Shoplift e TrojanOrder. A vulnerabilidade permite que atacantes, com acesso autenticado, manipulem configurações administrativas e injetem códigos maliciosos através da API do Magento. A exploração dessa falha pode ocorrer rapidamente, uma vez que ferramentas automatizadas de escaneamento devem ser utilizadas para identificar instâncias não corrigidas logo após a publicação do patch. A Adobe notificou seus clientes do Commerce Cloud em 4 de setembro, mas os usuários de Magento open source só foram informados em 9 de setembro, levantando preocupações sobre a transparência na distribuição de atualizações de segurança. Para mitigar os riscos, os comerciantes devem aplicar o patch imediatamente, revisar credenciais de administrador e implementar autenticação multifatorial. O cenário destaca a necessidade urgente de vigilância e defesa em camadas para proteger as lojas Magento contra essa vulnerabilidade crítica.

A Ivanti divulgou atualizações críticas para o Ivanti Endpoint Manager (EPM) devido a duas vulnerabilidades de execução remota de código, identificadas como CVE-2025-9712 e CVE-2025-9872. Ambas as falhas, que afetam as versões 2024 SU3 e 2022 SU8 do software, resultam de uma validação inadequada de nomes de arquivos. Um atacante não autenticado pode criar nomes de arquivos maliciosos que, ao serem manipulados por um usuário, podem levar à execução de código arbitrário. Ambas as vulnerabilidades possuem uma pontuação CVSS de 8.8, indicando um alto impacto em confidencialidade, integridade e disponibilidade. A Ivanti recomenda que os clientes instalem as atualizações de segurança disponíveis para mitigar os riscos. É importante ressaltar que a versão 2022 SU8 atingirá o fim de sua vida útil em outubro de 2025, o que significa que não receberá mais correções de segurança. Portanto, as organizações que ainda utilizam essa versão devem planejar uma atualização para a versão 2024 ou uma alternativa suportada para garantir a conformidade de segurança.

A Ivanti divulgou um aviso de segurança em setembro de 2025, alertando sobre onze vulnerabilidades em seu portfólio de Acesso Seguro, que inclui o Connect Secure, Policy Secure e ZTA Gateways. Dentre as falhas, seis são de severidade média e cinco de alta severidade, com destaque para problemas de bypass de autorização e CSRF (Cross-Site Request Forgery). Essas vulnerabilidades permitem que usuários autenticados com privilégios limitados modifiquem configurações restritas, possibilitando a escalada de privilégios. Além disso, atacantes não autenticados podem induzir vítimas a executar ações sensíveis com mínima interação. A Ivanti recomenda que os administradores apliquem patches ou mitigações imediatamente para proteger a infraestrutura de acesso remoto. As falhas incluem também problemas de negação de serviço e injeção de texto refletido, que, embora classificadas como de severidade média, podem facilitar ataques mais amplos. A empresa aconselha que portais administrativos não sejam acessíveis publicamente para reduzir a exposição a riscos. Os patches estão disponíveis para as versões afetadas, e a Ivanti agradece ao pesquisador de segurança Nikolay Semov pela colaboração na identificação de uma das falhas.

Uma nova técnica de exploração foi desenvolvida para a vulnerabilidade crítica do kernel Linux, identificada como CVE-2024-50264, que afeta o subsistema AF_VSOCK em versões do kernel a partir da 4.8. Essa vulnerabilidade permite que atacantes não privilegiados provoquem uma condição de uso após a liberação (UAF) no objeto virtio_vsock_sock durante operações de conexão de socket. Embora defesas anteriores, como a aleatorização de caches e o endurecimento de buckets SLAB, tenham dificultado a exploração, pesquisadores demonstraram que uma combinação de novos métodos e temporização precisa pode contornar essas mitigativas. Utilizando o framework de teste open-source kernel-hack-drill, os pesquisadores criaram uma cadeia de exploração que interrompe a chamada de sistema connect() com um sinal POSIX ‘imortal’, permitindo a exploração sem encerrar o processo. Após a liberação do objeto vulnerável, o ataque utiliza uma abordagem de alocação cruzada para recuperar o objeto e corromper estruturas críticas do kernel, permitindo a elevação de privilégios. Com a CVE-2024-50264 agora considerada explorável em kernels endurecidos, é crucial que as equipes de segurança priorizem a implementação de patches e reavaliem as estratégias de endurecimento de objetos do kernel.

Pesquisadores da empresa ERNW descobriram uma vulnerabilidade crítica no Windows Hello, sistema de login que utiliza reconhecimento facial, permitindo que hackers acessem computadores usando o rosto de outra pessoa. Denominado Faceplant, o ataque foi apresentado na conferência Black Hat 2025. O método envolve o cadastro do rosto do hacker em um computador que gera um modelo biométrico. Após isso, os criminosos extraem e injetam esse modelo na base de dados biométrica da vítima, permitindo que se passem pelo usuário legítimo. Essa técnica é mais sofisticada que o ataque anterior, conhecido como Face Swap, que trocava identificadores entre contas já cadastradas. Para realizar o ataque, o hacker precisa de permissões de administrador, que podem ser obtidas através de malwares ou phishing. Para se proteger, recomenda-se desconfiar de mensagens suspeitas e utilizar autenticação em dois fatores.

Um grupo de pesquisadores de segurança cibernética demonstrou uma nova técnica que utiliza a poluição de parâmetros HTTP para contornar firewalls de aplicações web (WAFs) e executar scripts maliciosos em aplicações ASP.NET. A técnica se baseia no comportamento de concatenação de strings de consulta do ASP.NET, onde parâmetros duplicados são mesclados em uma única entrada separada por vírgulas. Ao distribuir fragmentos de carga útil em múltiplos parâmetros, os pesquisadores conseguiram ocultar operações maliciosas das regras de detecção convencionais dos WAFs.

Uma vulnerabilidade crítica foi identificada na plataforma Argo CD, amplamente utilizada para entrega contínua em ambientes Kubernetes. Essa falha permite que tokens de API com permissões básicas de projeto acessem credenciais sensíveis de repositórios, incluindo nomes de usuário e senhas. A vulnerabilidade, designada como GHSA-786q-9hcg-v9ff, foi revelada pelo pesquisador de segurança Michael Crenshaw e afeta todas as versões do Argo CD a partir da 2.2.0-rc1.

O problema ocorre no endpoint da API de detalhes do projeto (/api/v1/projects/{project}/detailed), onde tokens com permissões padrão podem recuperar credenciais sem a necessidade de acesso explícito a segredos. Isso representa uma séria escalada de privilégios, pois tokens destinados a operações rotineiras de aplicação obtêm acesso não autorizado a dados de autenticação sensíveis. A falha não se limita apenas a permissões de nível de projeto, mas também se estende a qualquer token com permissões de obtenção de projeto, aumentando o impacto potencial em implementações empresariais do Argo CD.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre uma vulnerabilidade crítica no WhatsApp, identificada como CVE-2025-55177, que já está sendo explorada por cibercriminosos em campanhas de ataque. Essa falha de zero-day afeta a funcionalidade de sincronização de dispositivos do aplicativo, permitindo que atacantes manipulem mensagens de sincronização e forcem dispositivos a processar conteúdo malicioso. O problema reside em uma verificação de autorização incorreta no framework de sincronização entre dispositivos, classificada como CWE-863. A CISA estabeleceu um prazo até 23 de setembro para que agências federais e organizações de infraestrutura crítica implementem correções. A exploração dessa vulnerabilidade pode levar a acessos não autorizados, exfiltração de dados e instalação de malware, ampliando significativamente o risco para os usuários do WhatsApp. A natureza silenciosa do ataque, que não requer interação do usuário, torna a conscientização tradicional ineficaz contra essa ameaça.

Uma falha crítica de segurança foi identificada no Apache Jackrabbit, um sistema de repositório de conteúdo baseado em Java, que pode colocar milhares de aplicações empresariais em risco de execução remota de código (RCE). A vulnerabilidade, rastreada como CVE-2025-58782, afeta os componentes Apache Jackrabbit Core e JCR Commons, sendo classificada como importante. O problema decorre da desserialização insegura de dados não confiáveis por meio de buscas de repositório baseadas em JNDI, permitindo que atacantes executem código arbitrário em sistemas vulneráveis.

A Microsoft enfrenta crescente escrutínio após a revelação de que a empresa utilizou engenheiros baseados na China para corrigir falhas no SharePoint, um produto que foi alvo de hackers apoiados pelo Estado. O ataque cibernético afetou centenas de empresas e agências governamentais dos EUA, incluindo o Departamento de Segurança Interna (DHS) e a Administração Nacional de Segurança Nuclear (NNSA). As vulnerabilidades permitiram que os invasores acessassem completamente o conteúdo do SharePoint, executando código remotamente e implantando ransomware. Embora a Microsoft tenha emitido um patch rapidamente, ele foi insuficiente para conter os ataques. A empresa confirmou a participação de uma equipe de engenharia da China, mas afirmou que o trabalho era supervisionado por engenheiros dos EUA. Especialistas em cibersegurança expressaram preocupações sobre as leis chinesas que permitem que agências estatais exijam cooperação de empresas privadas, levantando temores sobre a coleta de inteligência. Em resposta à pressão, a Microsoft anunciou que encerrará o uso de engenheiros da China em projetos do Pentágono e está avaliando sua presença em outros projetos governamentais. A empresa também planeja descontinuar o suporte para o SharePoint On-Premises em julho de 2026, incentivando a migração para seu serviço em nuvem, Azure.

Recentemente, a TP-Link confirmou uma vulnerabilidade crítica em vários modelos de roteadores, que ainda não possui correção. A falha, identificada pelo pesquisador Mehrun da ByteRay, é uma vulnerabilidade de zero-day relacionada à sobrecarga de buffer no Protocolo de Gerenciamento CPE WAN (CWMP). Essa falha permite a execução remota de códigos maliciosos, especialmente quando o tamanho dos buffers ultrapassa 3072 bytes. Os atacantes podem explorar essa vulnerabilidade através de um servidor CWMP malicioso, comprometendo roteadores que utilizam credenciais padrão ou firmwares desatualizados. Modelos como Archer AX10 e AX1500 já foram confirmados como vulneráveis, e a TP-Link está desenvolvendo um patch para modelos fora da Europa. Enquanto isso, recomenda-se que os usuários alterem as senhas padrão, desativem o CWMP se não for necessário e atualizem seus dispositivos para a versão mais recente do firmware. A situação é preocupante, especialmente considerando que botnets têm explorado falhas em roteadores para disseminar malware e roubar credenciais, como observado em ataques recentes.

Agências do Federal Civilian Executive Branch (FCEB) dos EUA foram alertadas para atualizar suas instâncias do Sitecore até 25 de setembro de 2025, devido a uma vulnerabilidade crítica identificada como CVE-2025-53690, com um CVSS de 9.0. Essa falha permite a execução remota de código através da deserialização de dados não confiáveis, explorando chaves de máquina ASP.NET expostas. A Mandiant, que descobriu a exploração ativa, observou que a vulnerabilidade foi utilizada em ataques que começaram a ser documentados em dezembro de 2024. Os atacantes, que demonstraram um conhecimento profundo do produto comprometido, conseguiram escalar privilégios e realizar movimentos laterais na rede, resultando em roubo de dados. Para mitigar essa ameaça, as organizações são aconselhadas a rotacionar suas chaves de máquina ASP.NET e verificar suas configurações. A situação destaca a importância de não utilizar chaves padrão expostas em documentações públicas, uma prática que deixou muitas implementações vulneráveis a ataques de deserialização de ViewState.

A TP-Link lançou atualizações de firmware para corrigir duas vulnerabilidades críticas em seus roteadores de pequeno escritório e home office (SOHO), especificamente nos modelos Archer C7 e TL-WR841N/ND. As falhas, identificadas como CVE-2025-50224 e CVE-2025-9377, foram exploradas por um grupo de ameaças cibernéticas chinês conhecido como Quad7, que utilizou um botnet para realizar ataques de password-spraying contra contas do Microsoft 365. A CVE-2025-50224 é uma vulnerabilidade de bypass de autenticação com severidade média (6.5/10), enquanto a CVE-2025-9377 é uma vulnerabilidade de execução remota de comando (RCE) com severidade alta (8.6/10). Apesar de os roteadores estarem em status de fim de vida (EoL), a gravidade das falhas levou a TP-Link a emitir atualizações. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) também emitiu avisos sobre essas vulnerabilidades, incluindo a CVE-2025-9377 em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), dando um prazo de três semanas para que agências aplicassem os patches ou substituíssem o hardware. A situação é alarmante, pois qualquer usuário de roteadores afetados está em risco, e muitos provedores de serviços de internet (ISPs) têm distribuído esses dispositivos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) elevou a prioridade de uma nova vulnerabilidade zero-day no componente Android Runtime, classificando-a como de alta gravidade. A falha, identificada como CVE-2025-48543, resulta de um erro de uso após a liberação de memória, permitindo que atacantes escapem do sandbox do Chrome e executem código arbitrário, potencialmente elevando privilégios a nível root em dispositivos Android. A CISA recomenda que organizações e usuários finais implementem medidas de mitigação até 25 de setembro de 2025 para evitar possíveis violações de dados ou controle não autorizado de dispositivos. A vulnerabilidade é especialmente preocupante devido à ampla adoção do Android, que opera bilhões de dispositivos globalmente, expondo dados pessoais e credenciais a agentes maliciosos. As recomendações incluem verificar atualizações de firmware, endurecer configurações do Android Runtime e implementar diretrizes operacionais para monitoramento. Embora não haja evidências de ligação com campanhas de ransomware, a urgência para a aplicação de patches é destacada, uma vez que sistemas não corrigidos permanecerão vulneráveis a acessos não autorizados e exfiltração de dados.

Uma vulnerabilidade de alta severidade no SAP S/4HANA, identificada como CVE-2025-42957 e com um score CVSS de 9.9, está sendo ativamente explorada. Essa falha permite que um usuário com privilégios baixos, que possua acesso mínimo ao SAP, realize injeção de código remoto, resultando em uma tomada de controle total do sistema. A vulnerabilidade foi descoberta pelo SecurityBridge em 27 de junho de 2025 e divulgada de forma responsável à SAP, que lançou correções em 11 de agosto de 2025. No entanto, tentativas de exploração já foram observadas no mundo real. Para que um ataque seja bem-sucedido, é necessário apenas um usuário SAP válido com acesso a um módulo RFC vulnerável e a autorização S_DMIS com atividade 02. Uma vez explorada, a falha permite ao atacante executar código ABAP arbitrário, modificar ou excluir registros no banco de dados SAP, criar novos usuários administrativos com privilégios totais e até implantar ransomware. As organizações que utilizam SAP S/4HANA, tanto em ambientes on-premise quanto em nuvem privada, devem aplicar as atualizações de segurança imediatamente para mitigar esse risco crítico.

Uma vulnerabilidade crítica de segurança, identificada como CVE-2025-42957, está afetando o software SAP S/4HANA, amplamente utilizado para gestão empresarial. Com uma pontuação CVSS de 9.9, essa falha permite a injeção de código ABAP arbitrário por atacantes com privilégios de usuário, comprometendo a confidencialidade, integridade e disponibilidade do sistema. A exploração bem-sucedida pode levar a sérias consequências, como a modificação de bancos de dados, criação de contas de superusuário e instalação de ransomware. A empresa SecurityBridge alertou que a exploração ativa já foi observada, afetando tanto as edições on-premise quanto as de nuvem privada. Embora a exploração em larga escala ainda não tenha sido detectada, a facilidade de engenharia reversa do patch torna a situação alarmante. As organizações são aconselhadas a aplicar os patches imediatamente, monitorar logs em busca de chamadas RFC suspeitas e implementar medidas de segmentação e backup adequadas. Recomenda-se também a implementação do SAP UCON para restringir o uso de RFC e revisar o acesso ao objeto de autorização S_DMIS.

No final de agosto de 2025, houve um aumento significativo na atividade de reconhecimento direcionada a dispositivos Cisco Adaptive Security Appliance (ASA), com mais de 25.000 IPs únicos realizando varreduras no caminho de login da web do ASA. A empresa de inteligência de segurança GreyNoise identificou que 16.794 IPs únicos participaram dessas tentativas de acesso, com 14.000 deles compartilhando a mesma assinatura TLS e TCP, indicando uma infraestrutura de varredura unificada. A maioria das varreduras teve origem no Brasil (64%), com os alvos principais localizados nos Estados Unidos (97%). Essas atividades de escaneamento são frequentemente precursoras da divulgação pública de novas vulnerabilidades (CVEs), e a pesquisa sugere que as explosões de escaneamento podem indicar uma divulgação iminente de vulnerabilidades no ASA. Organizações, mesmo aquelas com sistemas atualizados, são aconselhadas a bloquear proativamente IPs maliciosos identificados para reduzir o risco de serem alvo de campanhas de exploração. O artigo destaca a importância de não expor interfaces de gerenciamento do ASA diretamente à Internet e de implementar autenticação multifator para acesso remoto.

Pesquisadores de segurança revelaram uma vulnerabilidade de estouro de buffer baseada em heap no Driver de Serviço WOW Thunk de Streaming do Kernel do Windows, identificado como CVE-2025-53149. A falha, localizada no componente ksthunk.sys, foi divulgada de forma responsável à Microsoft, que já lançou um patch para corrigir a vulnerabilidade. Essa falha crítica permite que atacantes executem código arbitrário com privilégios elevados por meio de solicitações IOCTL (Input/Output Control) maliciosas. A vulnerabilidade se origina na função CKSAutomationThunk::HandleArrayProperty(), que não valida corretamente os tamanhos dos buffers de saída durante operações de recuperação de propriedades de dispositivos multimídia. O problema ocorre quando o código não verifica adequadamente o comprimento do buffer de saída em relação ao tamanho real dos dados retornados, resultando em uma condição de estouro de buffer. Para explorar essa vulnerabilidade, os atacantes precisam criar solicitações IOCTL direcionadas a dispositivos multimídia que implementam os manipuladores de propriedades afetados. A Microsoft implementou validações adicionais no código para mitigar o risco de exploração. Organizações que utilizam sistemas Windows com hardware multimídia especializado devem priorizar a aplicação das atualizações de segurança de agosto de 2025 para evitar riscos de exploração associados a essa vulnerabilidade.

A Microsoft reconheceu que a atualização de segurança de agosto de 2025 (KB5063878) está gerando prompts inesperados do Controle de Conta de Usuário (UAC) para usuários não administradores ao tentar reparar ou atualizar certos aplicativos. Essa mudança foi implementada para reforçar a segurança do Windows Installer, corrigindo uma vulnerabilidade (CVE-2025-50173) que poderia ser explorada por atacantes. Como consequência, programas comuns, como AutoCAD e Civil 3D, agora solicitam aprovação de administrador para operações que antes eram realizadas sem essa necessidade. Além disso, aplicativos mais antigos, como o Office 2010, podem falhar completamente quando executados em contas padrão. A Microsoft planeja, em atualizações futuras, permitir que administradores de TI aprovem aplicativos específicos para realizar essas operações de reparo sem interrupções constantes. Até que essa solução seja implementada, os usuários devem estar cientes de que a exigência de permissões administrativas não indica um problema com os aplicativos, mas sim uma medida de segurança adicional do Windows.

Em 3 de setembro de 2025, a equipe de desenvolvimento do Django lançou três atualizações de segurança para corrigir uma vulnerabilidade de injeção SQL de alta gravidade, identificada como CVE-2025-57833. Essa falha afeta as versões 5.2.6, 5.1.12 e 4.2.24 do popular framework web em Python, especificamente na funcionalidade FilteredRelation. A vulnerabilidade permite que atacantes maliciosos explorem o sistema utilizando dicionários especialmente elaborados como argumentos de palavras-chave passados para os métodos QuerySet.annotate() ou QuerySet.alias(). O impacto potencial inclui a execução remota de código e comprometimento severo de dados, tornando a atualização imediata essencial. A equipe de segurança do Django recomenda que todos os usuários atualizem para as versões mais recentes, que estão disponíveis para download com assinaturas digitais para garantir a autenticidade. Essa situação ressalta a importância da comunidade de segurança em identificar e relatar ameaças, além de reforçar a necessidade de práticas de divulgação responsável para proteger os usuários antes que as vulnerabilidades se tornem amplamente conhecidas.

Em 4 de setembro de 2025, Mandiant e Sitecore divulgaram uma vulnerabilidade zero-day, identificada como CVE-2025-53690, que afeta produtos populares da Sitecore. A falha permite a execução remota de código, explorando chaves de máquina ASP.NET expostas para criar payloads maliciosos no ViewState, comprometendo servidores e permitindo infiltração na rede. A vulnerabilidade, originada em guias de implantação legados, impacta diversas implementações locais e gerenciadas por clientes, levando a Sitecore a emitir avisos urgentes e patches. Os atacantes, ao explorar essa falha, conseguiram comprometer servidores e realizar reconhecimento profundo da rede, utilizando ferramentas como WEEPSTEEL e EARTHWORM para coletar informações do sistema. Em resposta, a Sitecore recomendou a rotação das chaves de máquina e a ativação da validação e criptografia do ViewState. Organizações que utilizam ASP.NET devem adotar essas práticas para se proteger contra ameaças semelhantes, uma vez que a falha pode ter implicações significativas na segurança e conformidade, especialmente em relação à LGPD.

O FBI emitiu um alerta sobre uma campanha em andamento de operadores cibernéticos do Serviço Federal de Segurança da Rússia (FSB), conhecida como Centro 16, que visa equipamentos de rede legados. A exploração de uma vulnerabilidade não corrigida, CVE-2018-0171, na funcionalidade Smart Install (SMI) da Cisco, permite que atacantes remotos acessem arquivos de configuração dos dispositivos e, em alguns casos, injetem modificações maliciosas que garantem acesso não autorizado persistente. Essa vulnerabilidade, divulgada pela primeira vez em 2018, afeta dispositivos Cisco que utilizam o SMI sem exigir autenticação do usuário. O FBI observou que os operadores russos estão atacando milhares de dispositivos de rede associados a organizações dos EUA em setores críticos, como sistemas de controle industrial e tecnologia operacional, levantando preocupações sobre possíveis interrupções em serviços essenciais. O FBI recomenda que as organizações apliquem imediatamente atualizações de software da Cisco, desativem o SMI onde não for possível aplicar atualizações e implementem monitoramento contínuo de arquivos de configuração. A situação destaca a importância de práticas rigorosas de higiene cibernética, especialmente em um cenário onde a infraestrutura de rede está envelhecendo e as atividades patrocinadas pelo estado estão se intensificando.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou quatro avisos em 2 de setembro de 2025, alertando sobre vulnerabilidades recém-descobertas em sistemas de controle industrial (ICS) que podem ser exploradas em ataques cibernéticos. Essas falhas afetam produtos de empresas como Delta Electronics, Fuji Electric, SunPower e Hitachi Energy, destacando a crescente ameaça enfrentada por utilidades e operadores de infraestrutura crítica em todo o mundo.

O primeiro aviso refere-se a uma vulnerabilidade de travessia de diretório no software EIP Builder da Delta Electronics, que pode permitir que atacantes realizem operações não autorizadas. O segundo alerta destaca um estouro de buffer no FRENIC-Loader 4 da Fuji Electric, que pode levar à execução arbitrária de código. O terceiro aviso menciona uma falha de bypass de autenticação na plataforma de gerenciamento de inversores solares PVS6 da SunPower, permitindo que atacantes alterem configurações críticas. Por fim, o quarto aviso aborda várias vulnerabilidades nos relés de proteção Relion da Hitachi Energy, incluindo operações não autorizadas via interface Modbus.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou duas vulnerabilidades críticas que afetam roteadores TP-Link ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). As falhas, CVE-2023-50224 e CVE-2025-9377, têm sido exploradas ativamente. A primeira, com um CVSS de 6.5, permite a bypass de autenticação no serviço httpd do modelo TL-WR841N, resultando na exposição de credenciais armazenadas. A segunda, com um CVSS de 8.6, é uma vulnerabilidade de injeção de comandos do sistema operacional que pode levar à execução remota de código em modelos como o Archer C7 e TL-WR841N. Embora a TP-Link tenha lançado atualizações de firmware em novembro de 2024, os modelos afetados já atingiram o status de fim de vida (EoL) e não recebem mais suporte ativo. A CISA recomenda que as agências federais implementem as mitig ações necessárias até 24 de setembro de 2025. A atividade maliciosa associada a essas vulnerabilidades está ligada a um botnet conhecido como Quad7, utilizado por um ator de ameaças vinculado à China. A falta de relatórios públicos sobre a exploração dessas falhas não diminui a urgência de ações corretivas.

A Tesco, uma das maiores redes de supermercados do Reino Unido, processou a Broadcom e um revendedor da VMware, buscando £100 milhões em danos por suposta violação de contrato relacionada a licenças de software. A disputa surgiu após a aquisição de licenças perpétuas para os produtos VMware vSphere Foundation e Cloud Foundation em janeiro de 2021, que deveriam incluir suporte e atualizações até 2026, com a opção de extensão por mais quatro anos. No entanto, após a compra da VMware, a Broadcom interrompeu o suporte a essas licenças perpétuas, direcionando os clientes para modelos de assinatura mais lucrativos. A Tesco argumenta que essa nova estratégia de preços a força a pagar valores excessivos por um software pelo qual já havia pago. A empresa afirma que a interrupção do suporte pode impactar suas operações, já que o software da VMware é fundamental para cerca de 40.000 cargas de trabalho em seus servidores, incluindo sistemas de caixa. Além disso, a Tesco incluiu a Computacenter como co-ré na ação. A situação é preocupante, pois a substituição do software VMware poderia ser custosa e arriscada, levando a mais interrupções nas operações. Outras empresas, como AT&T e Siemens, também apresentaram queixas semelhantes contra a Broadcom, que defende sua estratégia de assinatura como padrão da indústria.

Pesquisadores da Cisco Talos identificaram mais de 1.100 instâncias do framework Ollama, utilizado para hospedar modelos de linguagem, acessíveis publicamente na internet. Aproximadamente 20% desses servidores estavam operando sem qualquer forma de autenticação, tornando-os vulneráveis a ataques severos. Em uma varredura rápida usando o Shodan, foram encontrados 1.139 endpoints expostos, dos quais 214 permitiam consultas de modelos sem credenciais. Essa falta de controle de acesso possibilita ataques de extração de modelo e a injeção de conteúdo malicioso. Mesmo os 80% restantes, que estavam inativos no momento da descoberta, apresentam riscos significativos, como uploads não autorizados de modelos e ataques de exaustão de recursos. A análise geoespacial revelou que a maioria dos servidores expostos está localizada nos Estados Unidos, China e Alemanha, evidenciando falhas na segurança da infraestrutura de IA. Para mitigar essas vulnerabilidades, recomenda-se a implementação de mecanismos de autenticação robustos, isolamento de rede e auditorias regulares de exposição. Essas medidas são essenciais para proteger a integridade dos modelos de IA e evitar abusos.

O artigo de Arthur Capella discute os riscos de segurança na nuvem, destacando que a evolução dessa tecnologia, embora traga benefícios, também aumenta as oportunidades para atacantes. O Relatório de Riscos de Segurança na Nuvem 2025 da Tenable revela que erros comuns, como credenciais esquecidas e configurações inadequadas, expõem dados críticos diariamente. O autor enfatiza a necessidade de uma abordagem proativa para a segurança, que inclua visibilidade unificada dos ativos, configurações seguras por padrão, monitoramento constante e priorização na correção de vulnerabilidades. Essas práticas são essenciais para proteger ambientes em constante mudança e garantir que as empresas possam inovar com confiança. A segurança não deve ser vista como um obstáculo, mas como um facilitador para a adoção de novas tecnologias, permitindo que as organizações avancem no mundo digital de forma segura.

Uma grave vulnerabilidade de segurança foi identificada no extensor de alcance sem fio TP-Link TL-WA855RE, permitindo que atacantes maliciosos comprometam completamente a segurança do dispositivo e obtenham acesso administrativo não autorizado. Classificada como CWE-306 (Falta de Autenticação para Função Crítica), essa falha representa uma ameaça significativa à segurança da infraestrutura de rede. O problema permite que atacantes não autenticados, operando na mesma rede, executem um reset de fábrica e sequência de reinicialização ao enviar uma solicitação POST TDDP_RESET especialmente elaborada. Isso contorna todos os mecanismos de autenticação existentes, permitindo que os atacantes redefinam o dispositivo para as configurações de fábrica e estabeleçam novas credenciais administrativas. A vulnerabilidade explora a implementação do protocolo TDDP (TP-Link Device Discovery Protocol) no firmware do TL-WA855RE. Especialistas recomendam a descontinuação imediata dos dispositivos afetados, especialmente se estiverem fora do suporte. Para organizações que não podem substituir o equipamento imediatamente, a segmentação de rede e o monitoramento de atividades suspeitas são medidas recomendadas para mitigar riscos temporariamente.

A Apache Software Foundation anunciou a correção de uma vulnerabilidade crítica no Apache DolphinScheduler, uma plataforma popular de orquestração de fluxos de trabalho distribuídos. Classificada como ‘Permissões Padrão Incorretas’, a falha afeta todas as versões anteriores à 3.2.2 e foi avaliada com baixa severidade. A vulnerabilidade resulta de configurações inadequadas de permissões padrão, permitindo acesso não autorizado a dados sensíveis e funções administrativas. Embora detalhes técnicos sobre o mecanismo de exploração não tenham sido divulgados, a falha pode permitir que atacantes contornem controles de acesso e obtenham privilégios elevados. A versão 3.3.1 já está disponível e deve ser instalada imediatamente pelos usuários afetados, evitando a versão intermediária 3.2.2. Além da atualização, é recomendado que as organizações revisem suas configurações de permissão e realizem auditorias para detectar acessos não autorizados. A Apache enfatiza a importância de manter versões atualizadas e participar de programas de reporte de segurança.

Em setembro de 2025, o Google lançou atualizações de segurança para corrigir 120 vulnerabilidades no sistema operacional Android, incluindo duas falhas críticas que já foram exploradas em ataques direcionados. As vulnerabilidades CVE-2025-38352 e CVE-2025-48543, ambas relacionadas a escalonamento de privilégios, permitem que um invasor obtenha acesso elevado sem a necessidade de permissões adicionais ou interação do usuário. O Google não divulgou detalhes sobre como essas falhas foram utilizadas em ataques reais, mas indicou que há evidências de exploração limitada e direcionada. Além dessas, foram corrigidas várias outras vulnerabilidades que afetam componentes do Framework e do Sistema, incluindo falhas de execução remota de código e negação de serviço. Para facilitar a implementação das correções, o Google disponibilizou dois níveis de patch de segurança, permitindo que parceiros do Android abordem rapidamente as vulnerabilidades comuns. A empresa enfatizou a importância de que todos os parceiros implementem as correções recomendadas. Este cenário destaca a necessidade de vigilância contínua e atualização dos sistemas para mitigar riscos de segurança.

Recentemente, a ferramenta de segurança ofensiva HexStrike AI, que utiliza inteligência artificial para automatizar a descoberta de vulnerabilidades, está sendo explorada por atores maliciosos para tirar proveito de falhas de segurança recém-divulgadas. De acordo com um relatório da Check Point, esses indivíduos estão utilizando a plataforma, que integra mais de 150 ferramentas de segurança, para realizar ataques em sistemas vulneráveis, como os da Citrix. A ferramenta, que deveria fortalecer a defesa cibernética, está sendo rapidamente adaptada para fins de exploração, aumentando a eficiência dos ataques e reduzindo o tempo entre a divulgação pública de falhas e sua exploração em massa. A Check Point alerta que essa situação representa uma mudança significativa na forma como as vulnerabilidades são exploradas, permitindo que ataques sejam realizados de maneira automatizada e em larga escala. Os pesquisadores também destacam que agentes de cibersegurança baseados em IA, como o PentestGPT, apresentam riscos elevados de injeção de comandos, transformando ferramentas de segurança em vetores de ataque. A recomendação imediata é que as organizações atualizem e reforcem seus sistemas para mitigar esses riscos.