Api Security

Grupo ToddyCat utiliza malware Umbrij para acessar e-mails corporativos

O grupo de ameaças avançadas conhecido como ToddyCat desenvolveu um novo malware chamado Umbrij, que visa comprometer o acesso a e-mails corporativos hospedados no Gmail por meio da API do Google. Segundo um relatório da Kaspersky, o Umbrij utiliza o protocolo OAuth 2.0 para obter tokens de autorização, permitindo que os atacantes acessem recursos de e-mail de forma furtiva. O malware opera em navegadores baseados em Chromium, explorando sessões ativas do Gmail. Ao lançar o navegador em modo headless e se conectar a uma porta de depuração remota, o Umbrij consegue capturar o código de autorização OAuth e trocá-lo por um token de acesso, comprometendo assim as comunicações de e-mail corporativas. O ataque é facilitado por técnicas como DLL side-loading, onde executáveis legítimos são abusados para iniciar o malware. A Kaspersky recomenda que as organizações revisem os códigos de autorização concedidos a aplicações e revoguem acessos não utilizados para mitigar os riscos. A automação do Umbrij aumenta a escala e a frequência dos ataques, evidenciando as habilidades técnicas avançadas do grupo ToddyCat.

Vulnerabilidade crítica no Progress Kemp LoadMaster permite execução remota

Uma vulnerabilidade crítica no Progress Kemp LoadMaster, identificada como CVE-2026-8037, permite que atacantes não autenticados executem comandos arbitrários como root ao enviar uma solicitação manipulada para sua API. Com uma pontuação CVSS de 9.8, essa falha é especialmente perigosa, pois reside em uma função que deveria sanitizar a entrada do usuário, mas falha em limpar um buffer de memória e não adiciona um terminador nulo ao final da string sanitizada. Isso permite que um invasor controle o que está na memória adjacente e injete comandos maliciosos. A vulnerabilidade afeta versões GA v7.2.63.1 e anteriores, e LTSF v7.2.54.17 e anteriores, quando a API está habilitada. A Progress lançou correções em 4 de junho de 2026, e até o momento, não há relatos de exploração ativa. No entanto, a publicação de um conceito de prova por pesquisadores da watchTowr Labs destaca a urgência de aplicar as atualizações. Além disso, a Progress também corrigiu uma segunda falha crítica relacionada ao bypass de WAF. Dada a gravidade da situação, é aconselhável que os administradores atualizem suas versões do LoadMaster imediatamente.

Ameaça de Exploração de Vulnerabilidade no PraisonAI

Recentemente, uma vulnerabilidade crítica foi identificada no PraisonAI, um framework de orquestração multi-agente de código aberto. A falha, classificada como CVE-2026-44338, possui um escore CVSS de 7.3 e se refere à falta de autenticação, permitindo que qualquer pessoa acesse endpoints sensíveis sem a necessidade de um token. O servidor API legado, baseado em Flask, vem com a autenticação desativada por padrão, expondo funcionalidades protegidas. A exploração dessa vulnerabilidade pode resultar em enumeração não autenticada do arquivo de agentes e ativação de fluxos de trabalho configurados, além de consumo indevido de quotas de modelo/API. A falha afeta todas as versões do pacote Python do PraisonAI, com correção disponível na versão 4.6.34. A Sysdig, empresa de segurança em nuvem, relatou que tentativas de exploração foram observadas apenas quatro horas após a divulgação pública da vulnerabilidade, destacando a rapidez com que atores maliciosos estão adotando novas falhas. Os usuários são aconselhados a aplicar as correções imediatamente, auditar implantações existentes e revisar atividades suspeitas relacionadas ao uso do PraisonAI.

Fortinet lança patches para falha crítica no FortiClient EMS

A Fortinet divulgou patches fora do ciclo regular para uma vulnerabilidade crítica no FortiClient EMS, identificada como CVE-2026-35616, com uma pontuação CVSS de 9.1. Essa falha permite que atacantes não autenticados contornem controles de acesso da API, possibilitando a execução de comandos maliciosos. A vulnerabilidade afeta as versões 7.4.5 a 7.4.6 do FortiClient EMS e já foi observada em exploração ativa. A empresa recomenda que os usuários apliquem um hotfix imediatamente, uma vez que a exploração dessa falha pode resultar em escalonamento de privilégios. A descoberta foi feita por pesquisadores da Defused Cyber e Nguyen Duc Anh, que notaram tentativas de exploração em honeypots desde 31 de março de 2026. Este incidente ocorre pouco tempo após outra vulnerabilidade crítica no mesmo produto, o que levanta preocupações sobre a segurança contínua do FortiClient EMS. A Fortinet alerta que a exploração de vulnerabilidades tende a aumentar durante feriados, quando as equipes de segurança estão menos atentas. Portanto, é crucial que as organizações afetadas tratem essa situação como uma emergência e atualizem seus sistemas o mais rápido possível.

Vazamento de chaves de API do Google Cloud expõe dados sensíveis

Uma nova pesquisa da Truffle Security revelou que chaves de API do Google Cloud, geralmente usadas para fins de faturamento, podem ser exploradas para autenticar em endpoints sensíveis do Gemini e acessar dados privados. A investigação identificou quase 3.000 chaves de API do Google (com o prefixo ‘AIza’) embutidas em códigos de cliente, permitindo que atacantes acessem arquivos carregados, dados em cache e gerem cobranças indevidas. O problema surge quando usuários ativam a API do Gemini em um projeto do Google Cloud, o que concede acesso não intencional a essas chaves. Isso permite que qualquer atacante que colete essas chaves em sites as utilize para fins maliciosos, incluindo o roubo de quotas e acesso a arquivos sensíveis. Além disso, a criação de novas chaves de API no Google Cloud é, por padrão, ‘sem restrições’, aumentando o risco. Embora o Google tenha reconhecido o problema e implementado medidas para bloquear chaves vazadas, a situação destaca a necessidade de vigilância contínua e revisão de permissões em APIs. Organizações são aconselhadas a verificar suas chaves de API e rotacioná-las se estiverem acessíveis publicamente.

Vulnerabilidade crítica no OneLogin expõe segredos de aplicações OIDC

Uma vulnerabilidade de alta severidade foi identificada na solução de Gestão de Identidade e Acesso (IAM) One Identity OneLogin, que pode expor segredos de cliente de aplicações OpenID Connect (OIDC) se explorada com sucesso. A falha, registrada como CVE-2025-59363, recebeu uma pontuação CVSS de 7.7 em 10.0 e é classificada como uma transferência incorreta de recursos entre esferas (CWE-669). Isso permite que um programa ultrapasse limites de segurança e acesse dados ou funções confidenciais sem autorização. De acordo com a Clutch Security, a vulnerabilidade permite que atacantes com credenciais API válidas enumerem e recuperem segredos de cliente para todas as aplicações OIDC dentro de um inquilino OneLogin. O problema decorre da configuração inadequada do endpoint de listagem de aplicações, que retorna dados além do esperado, incluindo os valores de client_secret. A exploração bem-sucedida dessa falha pode permitir que um invasor se passe por aplicações e acesse serviços integrados. A falta de restrições de IP e o controle de acesso baseado em funções (RBAC) ampliam o risco, permitindo que atacantes explorem a vulnerabilidade de qualquer lugar do mundo. A falha foi corrigida na versão 2025.3.0 do OneLogin, lançada em agosto de 2025, que tornou os valores de client_secret invisíveis. Não há evidências de que a vulnerabilidade tenha sido explorada ativamente.