Cisa

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) concedeu um prazo de quatro dias para que agências governamentais dos EUA protejam seus sistemas contra uma vulnerabilidade crítica no Ivanti Endpoint Manager Mobile (EPMM), identificada como CVE-2026-1340. Essa falha de injeção de código permite que atacantes não autorizados executem código remotamente em dispositivos EPMM expostos à Internet e não corrigidos. A Ivanti já havia alertado sobre essa e outra vulnerabilidade (CVE-2026-1281) em janeiro, quando lançou atualizações de segurança. A CISA incluiu a CVE-2026-1340 em seu catálogo de vulnerabilidades conhecidas e ordenou que as agências federais aplicassem patches até a meia-noite de 11 de abril. A agência destacou que esse tipo de vulnerabilidade é um vetor de ataque comum e representa riscos significativos para a segurança federal. A Ivanti, que fornece produtos de gerenciamento de ativos de TI para mais de 40.000 clientes, já teve outras vulnerabilidades exploradas em ataques zero-day nos últimos anos, afetando diversas agências governamentais ao redor do mundo.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam suas instâncias do FortiClient Enterprise Management Server (EMS) contra uma vulnerabilidade criticamente explorada, identificada como CVE-2026-35616. Esta falha, descoberta pela empresa de cibersegurança Defused, permite que atacantes contornem controles de autenticação e autorização, possibilitando a execução de comandos maliciosos. A Fortinet, fabricante do FortiClient, lançou correções de emergência e alertou que a vulnerabilidade está sendo ativamente explorada em ataques zero-day. A CISA incluiu a CVE-2026-35616 em seu catálogo de Vulnerabilidades Conhecidas e Explotadas (KEV) e exigiu que as agências federais aplicassem patches até a meia-noite de 9 de abril. Apesar de a ordem se aplicar apenas a agências federais, a CISA recomendou que todas as organizações, incluindo as do setor privado, priorizassem a correção dessa vulnerabilidade. Atualmente, cerca de 2.000 instâncias do FortiClient EMS estão expostas na internet, com mais de 1.400 IPs localizados nos EUA e na Europa, aumentando a urgência para a aplicação das correções.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais atualizassem seus dispositivos Citrix NetScaler devido a uma vulnerabilidade crítica (CVE-2026-3055) que está sendo ativamente explorada. Essa falha, identificada como resultado de validação insuficiente de entrada, permite que atacantes remotos não autenticados acessem informações sensíveis em dispositivos Citrix ADC ou Citrix Gateway configurados como provedores de identidade SAML. A CISA destacou que a vulnerabilidade representa um vetor de ataque frequente para agentes maliciosos e pode levar a uma tomada de controle total de dispositivos não corrigidos. Apesar de a Citrix ter emitido orientações detalhadas e atualizações de segurança, a CISA ainda não confirmou se os ataques estão em andamento. A agência também alertou que a correção deve ser priorizada por todas as organizações, incluindo o setor privado. A situação é crítica, especialmente considerando que a CISA já havia identificado outras vulnerabilidades da Citrix como exploradas no passado, aumentando a urgência para a aplicação de patches.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha crítica no F5 BIG-IP Access Policy Manager (APM) em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2025-53521, possui uma pontuação CVSS v4 de 9.3, permitindo que um ator malicioso execute código remotamente. Inicialmente classificada como uma vulnerabilidade de negação de serviço (DoS), a F5 reclassificou-a após novas informações em março de 2026. A empresa confirmou que a falha foi explorada nas versões vulneráveis do BIG-IP e forneceu indicadores para verificar se o sistema foi comprometido, incluindo alterações em arquivos e logs específicos. As versões afetadas incluem 17.5.0 a 17.5.1, 17.1.0 a 17.1.2, entre outras. Diante da exploração ativa, agências federais têm até 30 de março de 2026 para aplicar as correções necessárias. Especialistas alertam que a situação representa um risco significativamente maior do que o inicialmente comunicado, exigindo atenção imediata dos administradores de sistema.

A Cybersecurity and Infrastructure Security Agency (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica, identificada como CVE-2026-33017, que afeta o framework Langflow, amplamente utilizado para a construção de agentes de inteligência artificial. Com uma pontuação de 9.3 em 10, essa falha permite a execução remota de código, possibilitando que atacantes criem fluxos públicos sem autenticação. A exploração começou rapidamente após a divulgação do aviso, com atividades de escaneamento automatizado iniciando em apenas 20 horas e a coleta de dados em 24 horas. O Langflow, um framework visual open-source com 145 mil estrelas no GitHub, é um alvo atrativo para hackers devido à sua popularidade. A CISA recomenda que administradores de sistemas atualizem para a versão 1.9.0 ou superior para mitigar a vulnerabilidade ou restrinjam o endpoint vulnerável. Embora a CISA não tenha classificado a exploração como relacionada a ransomware, a urgência da atualização é clara, especialmente para organizações sob a Diretiva Operacional Vinculativa (BOD) 22-01. A situação destaca a importância de monitorar o tráfego de saída e rotacionar credenciais em caso de atividades suspeitas.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA corrigissem três vulnerabilidades do iOS, que estão sendo exploradas em ataques de roubo de criptomoedas e ciberespionagem, utilizando o kit de exploração DarkSword. Pesquisadores do Google e da iVerify identificaram uma cadeia de seis vulnerabilidades, incluindo CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 e CVE-2025-43520, que permitem a execução remota de código em iPhones não corrigidos. Embora a Apple já tenha lançado patches para essas falhas, dispositivos rodando iOS entre as versões 18.4 e 18.7 ainda estão vulneráveis. O DarkSword está associado a grupos de ameaças, como UNC6748 e UNC6353, que realizam ataques direcionados a usuários de iPhone em sites comprometidos. A CISA alertou que essas vulnerabilidades representam riscos significativos e recomendou que todas as organizações, incluindo as do setor privado, priorizem a segurança de seus dispositivos. O alerta destaca a necessidade de ações imediatas para mitigar os riscos associados a essas falhas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu cinco vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas Exploited (KEV), afetando produtos da Apple, Craft CMS e Laravel Livewire. As falhas, que variam em pontuação CVSS de 7.8 a 10.0, exigem que agências federais realizem correções até 3 de abril de 2026. Entre as vulnerabilidades, destaca-se a CVE-2025-32432, uma falha de injeção de código no Craft CMS, que está sendo explorada ativamente desde fevereiro de 2025, permitindo a execução remota de código por atacantes. Além disso, três vulnerabilidades no WebKit e no kernel da Apple podem resultar em corrupção de memória e comprometimento do sistema. Relatórios indicam que um kit de exploração chamado DarkSword está utilizando essas falhas para implantar malwares como GHOSTBLADE e GHOSTKNIFE. A CISA enfatiza a urgência na aplicação de patches, especialmente em um cenário onde grupos de hackers, como o MuddyWater, estão intensificando suas atividades de espionagem cibernética, visando setores críticos e diplomáticos. A situação é alarmante, pois a combinação de técnicas de engenharia social e ferramentas avançadas de malware representa uma ameaça significativa para a segurança cibernética.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais corrijam uma vulnerabilidade de alta severidade, identificada como CVE-2026-20131, no Cisco Secure Firewall Management Center (FMC) até o dia 22 de março. A Cisco divulgou um boletim de segurança no dia 4 de março, alertando os administradores de sistemas sobre a necessidade de aplicar as atualizações de segurança imediatamente, uma vez que não existem soluções alternativas disponíveis. A falha permite que um atacante remoto não autenticado execute código Java arbitrário como root em dispositivos afetados, devido à deserialização insegura de um fluxo de bytes Java fornecido pelo usuário. A situação se agrava com a confirmação de que a vulnerabilidade está sendo ativamente explorada por grupos de ransomware, como o Interlock, que a utilizam desde o final de janeiro. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), destacando seu uso em campanhas de ransomware. Embora a ordem da CISA se aplique a agências federais, recomendações semelhantes são válidas para empresas privadas e governos estaduais e locais, dada a gravidade da situação.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para empresas americanas após um ataque cibernético devastador ao grupo Stryker, onde hackers iranianos do coletivo Handala comprometeram uma conta administrativa do Microsoft Intune. Os atacantes roubaram 50 terabytes de dados e apagaram quase 80 mil dispositivos da empresa em poucas horas, forçando-a a operar manualmente. A CISA recomenda que as empresas adotem práticas de segurança mais rigorosas, como o princípio do menor privilégio para funções administrativas, autenticação multifator resistente a phishing e aprovações de múltiplos administradores para mudanças sensíveis. O ataque é visto como uma retaliação a ações dos EUA e Israel contra o Irã, destacando a importância de fortalecer a segurança cibernética em um cenário de ameaças emergentes. As recomendações da CISA são aplicáveis não apenas ao Intune, mas a outros softwares de gerenciamento de endpoints, visando prevenir incidentes semelhantes.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta para organizações americanas sobre a necessidade de fortalecer as configurações do Microsoft Intune, após um ataque cibernético que comprometeu os sistemas da Stryker Corporation, uma gigante da tecnologia médica. O ataque, reivindicado pelo grupo hacktivista Handala, resultou no roubo de 50 terabytes de dados e na utilização do comando de limpeza do Intune para apagar quase 80 mil dispositivos. Os hackers conseguiram criar uma nova conta de Administrador Global após comprometer uma conta de administrador existente. A CISA recomenda que as organizações adotem uma abordagem de menor privilégio para funções administrativas, implementem autenticação multifator (MFA) e exijam aprovação de múltiplos administradores para ações sensíveis, como a limpeza de dispositivos. Essas práticas visam aumentar a resiliência das organizações contra ataques semelhantes. O grupo Handala, vinculado ao Irã, é conhecido por suas operações de hacktivismo e por vazar dados sensíveis de sistemas comprometidos. O alerta da CISA destaca a importância de medidas proativas para proteger ambientes de gerenciamento de endpoints.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA protejam seus servidores contra uma vulnerabilidade ativamente explorada no Zimbra Collaboration Suite (ZCS), identificada como CVE-2025-66376. Essa falha de segurança, classificada como de alta severidade, resulta de uma vulnerabilidade de cross-site scripting (XSS) armazenada na interface Classic UI, permitindo que atacantes remotos não autenticados executem JavaScript arbitrário através de e-mails HTML maliciosos. A CISA deu um prazo de duas semanas para que as agências federais implementem correções, conforme a Diretiva Operacional Vinculante (BOD) 22-01. Embora a BOD se aplique apenas a agências federais, a CISA recomendou que todas as organizações, incluindo as do setor privado, realizem a correção dessa falha. O Zimbra já foi alvo de ataques anteriores, com hackers explorando vulnerabilidades para comprometer milhares de servidores de e-mail globalmente. A situação destaca a necessidade urgente de ações de mitigação para evitar possíveis sequestros de sessões e roubo de dados sensíveis.

A Cybersecurity and Infrastructure Security Agency (CISA) alertou sobre a exploração de uma vulnerabilidade crítica no Microsoft SharePoint, identificada como CVE-2026-20963. Essa falha de segurança afeta versões do SharePoint Enterprise Server 2016, SharePoint Server 2019 e SharePoint Server Subscription Edition. A exploração bem-sucedida permite que atacantes não autenticados executem código remotamente em servidores que não foram atualizados, utilizando uma fraqueza na desserialização de dados não confiáveis. A CISA incluiu essa vulnerabilidade em seu catálogo de falhas ativamente exploradas e ordenou que agências federais dos EUA, como o Departamento de Segurança Interna e o Departamento de Justiça, protegessem seus servidores até 21 de março. Embora a Microsoft tenha atualizado seu aviso sobre a CVE-2026-20963, ainda não confirmou sua exploração em ataques reais. A CISA também recomendou que todos os defensores de rede aplicassem as correções necessárias, uma vez que esse tipo de vulnerabilidade é um vetor de ataque comum para agentes maliciosos, representando riscos significativos para a segurança federal. Além disso, a CISA ordenou que agências federais corrigissem uma vulnerabilidade de cross-site scripting (XSS) no Zimbra Collaboration Suite, que também está sendo explorada.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências governamentais apliquem patches em duas vulnerabilidades críticas que estão sendo ativamente exploradas. A primeira, CVE-2025-66376, é uma vulnerabilidade de cross-site scripting (XSS) no Zimbra Collaboration Suite, que permite que atacantes abusem de diretrizes CSS em mensagens de e-mail HTML. A segunda, CVE-2026-20963, é uma vulnerabilidade de desserialização de dados não confiáveis no Microsoft Office SharePoint, permitindo que um invasor execute código remotamente. Ambas as falhas foram corrigidas em versões recentes dos softwares. O alerta da CISA é especialmente relevante após a descoberta de uma campanha de ataque, denominada Operação GhostMail, que utiliza a vulnerabilidade do Zimbra para roubar credenciais e dados sensíveis de usuários. Os atacantes, supostamente patrocinados pelo Estado russo, têm se concentrado em organizações ucranianas, mas a exploração dessas vulnerabilidades pode afetar usuários em todo o mundo, incluindo o Brasil. A CISA recomenda que as agências federais apliquem os patches até datas específicas para mitigar os riscos associados.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta para que agências governamentais dos EUA protejam suas instâncias do Wing FTP Server contra uma vulnerabilidade ativa, identificada como CVE-2025-47813. Essa falha permite que atacantes com privilégios baixos descubram o caminho completo da instalação local do aplicativo em servidores não corrigidos. O Wing FTP Server é um software de servidor FTP multiplataforma, utilizado por mais de 10.000 clientes, incluindo grandes empresas como a Força Aérea dos EUA e a Sony. A vulnerabilidade foi corrigida na versão 7.4.4, lançada em maio de 2025, juntamente com outras falhas críticas que podem levar à execução remota de código e ao vazamento de informações. A CISA enfatizou que essa vulnerabilidade é um vetor de ataque comum e representa riscos significativos para a segurança federal. Embora o alerta se aplique principalmente a agências federais, a CISA incentivou também o setor privado a aplicar as correções necessárias o mais rápido possível, dada a gravidade da situação.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais corrijam três vulnerabilidades de segurança no iOS, que estão sendo exploradas em ataques de ciberespionagem e roubo de criptomoedas, utilizando o kit de exploração Coruna. Pesquisadores do Google Threat Intelligence Group (GTIG) identificaram que o Coruna utiliza uma cadeia de exploits que ataca 23 vulnerabilidades do iOS, muitas das quais foram utilizadas em ataques zero-day. As falhas não afetam versões recentes do iOS e são bloqueadas se o usuário estiver em modo de navegação privada ou com o modo de bloqueio ativado. O Coruna permite que atacantes contornem a autenticação de código, escapem de sandbox e executem código remotamente no WebKit, elevando permissões a privilégios de Kernel. O kit foi observado em uso por diversos grupos de ameaças, incluindo um grupo suspeito de estar vinculado ao estado russo e um ator de ameaças da China. A CISA incluiu as vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e ordenou que as agências federais protejam seus dispositivos até 26 de março. Embora a ordem se aplique apenas a agências federais, a CISA recomenda que todas as organizações, incluindo empresas do setor privado, priorizem a correção dessas falhas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), afetando produtos da Hikvision e da Rockwell Automation. A primeira, CVE-2017-7921, com uma pontuação CVSS de 9.8, refere-se a uma falha de autenticação inadequada em diversos produtos da Hikvision, permitindo que um usuário malicioso eleve privilégios e acesse informações sensíveis. A segunda, CVE-2021-22681, também com pontuação 9.8, diz respeito a credenciais insuficientemente protegidas em produtos da Rockwell, permitindo que um usuário não autorizado contorne mecanismos de verificação e altere configurações. A CISA recomenda que agências federais atualizem seus softwares até 26 de março de 2026, enfatizando que essas vulnerabilidades são vetores frequentes de ataque e representam riscos significativos. Embora a CVE-2017-7921 tenha sido associada a tentativas de exploração, não há relatos públicos sobre ataques relacionados à CVE-2021-22681. A CISA alerta que todas as organizações devem priorizar a remediação dessas vulnerabilidades como parte de suas práticas de gerenciamento de vulnerabilidades.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma nova vulnerabilidade crítica, CVE-2026-22719, no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Essa falha, com uma pontuação CVSS de 8.1, permite que atacantes não autenticados executem comandos arbitrários, potencialmente levando à execução remota de código durante a migração assistida de produtos no VMware Aria Operations. A vulnerabilidade foi identificada como uma injeção de comando e afeta produtos como VMware Cloud Foundation e VMware vSphere Foundation 9.x.x.x, além do VMware Aria Operations 8.x. A correção foi disponibilizada nas versões 9.0.2.0 e 8.18.6, respectivamente. Para clientes que não podem aplicar o patch imediatamente, a Broadcom oferece um script de contorno. Embora a Broadcom tenha reconhecido relatos de exploração ativa da vulnerabilidade, ainda não há detalhes sobre a natureza dos ataques ou os responsáveis. As agências do Federal Civilian Executive Branch (FCEB) têm até 24 de março de 2026 para aplicar as correções. A situação exige atenção imediata, especialmente considerando o potencial impacto em ambientes corporativos que utilizam essas tecnologias.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade do VMware Aria Operations, identificada como CVE-2026-22719, em seu catálogo de Vulnerabilidades Conhecidas e Exploradas, indicando que a falha está sendo utilizada em ataques. A Broadcom, responsável pela VMware, confirmou que está ciente de relatos sobre a exploração da vulnerabilidade, mas não conseguiu confirmar a veracidade das informações. A falha, que permite a injeção de comandos por atacantes não autenticados, pode resultar na execução remota de código durante a migração assistida do produto. A vulnerabilidade foi divulgada e corrigida em 24 de fevereiro de 2026, com uma pontuação CVSS de 8.1, sendo considerada importante. A CISA exige que as agências civis federais tratem o problema até 24 de março de 2026. A Broadcom também disponibilizou um script temporário para mitigar a falha, que deve ser executado como root em cada nó do Aria Operations. Especialistas recomendam que as organizações apliquem os patches de segurança ou implementem as soluções alternativas o mais rápido possível, especialmente se a exploração estiver em andamento.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou novas informações sobre o RESURGE, um implante malicioso utilizado em ataques de zero-day que exploram a vulnerabilidade CVE-2025-0282, visando dispositivos Ivanti Connect Secure. O RESURGE é descrito como um arquivo de objeto compartilhado Linux de 32 bits que permite comunicação encoberta com o atacante, utilizando técnicas sofisticadas de evasão e autenticação em nível de rede. O malware pode sobreviver a reinicializações, criar webshells para roubo de credenciais, criar contas, redefinir senhas e escalar privilégios. A vulnerabilidade crítica foi explorada desde dezembro de 2024 por um ator de ameaças vinculado à China, conhecido internamente como UNC5221. O RESURGE se destaca por sua capacidade de permanecer latente em sistemas até que um ator remoto tente se conectar ao dispositivo comprometido, o que o torna uma ameaça ativa e difícil de detectar. A CISA recomenda que administradores de sistemas utilizem os indicadores de comprometimento (IoCs) atualizados para identificar e remover infecções do RESURGE em dispositivos Ivanti.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma nova vulnerabilidade, identificada como CVE-2026-25108, ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Com uma pontuação CVSS v4 de 8.7, essa falha de injeção de comandos do sistema operacional pode permitir que um usuário autenticado execute comandos arbitrários através de requisições HTTP especialmente elaboradas. A vulnerabilidade afeta as versões 4.2.1 a 4.2.8 e 5.0.0 a 5.0.10 do FileZen, um produto de transferência de arquivos da Soliton Systems K.K. A exploração bem-sucedida dessa falha só é possível se a opção de verificação de antivírus do FileZen estiver ativada. A empresa já recebeu relatos de danos causados por essa vulnerabilidade. Para mitigar o risco, os usuários são aconselhados a atualizar para a versão 5.0.11 ou posterior e a trocar todas as senhas de usuários, uma vez que um atacante pode logar com contas reais. A CISA recomenda que as agências federais dos EUA apliquem as correções necessárias até 17 de março de 2026.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) identificou duas vulnerabilidades críticas no Roundcube Webmail, um cliente de e-mail amplamente utilizado, especialmente em servidores que operam com cPanel. A primeira, CVE-2025-49113, é uma falha de execução remota de código que está sendo ativamente explorada por agentes maliciosos, com mais de 84.000 instalações vulneráveis. A segunda vulnerabilidade, CVE-2025-68461, permite ataques de cross-site scripting (XSS) por atacantes remotos e não autenticados, utilizando a tag animate em documentos SVG. Ambas as falhas foram adicionadas ao catálogo de vulnerabilidades conhecidas da CISA, que exige que as agências federais dos EUA apliquem patches em suas instalações em até três semanas. O Roundcube já lançou versões atualizadas (1.6.12 e 1.5.12) para corrigir essas falhas. A CISA também monitora outras vulnerabilidades no Roundcube, que têm sido alvo de grupos de cibercrime e ameaças patrocinadas por estados, como o grupo russo Winter Vivern. A situação é crítica, e a CISA recomenda a atualização imediata das instalações afetadas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas falhas de segurança do software de webmail Roundcube em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), devido a evidências de exploração ativa. As vulnerabilidades são: CVE-2025-49113, com uma pontuação CVSS de 9.9, que permite a execução remota de código por usuários autenticados devido à falta de validação do parâmetro _from em uma URL; e CVE-2025-68461, com pontuação CVSS de 7.2, que permite a execução de scripts entre sites via a tag animate em documentos SVG. Ambas as falhas foram corrigidas, a primeira em junho de 2025 e a segunda em dezembro do mesmo ano. A empresa de cibersegurança FearsOff, que descobriu a CVE-2025-49113, alertou que a vulnerabilidade foi rapidamente explorada e disponibilizada para venda em um curto espaço de tempo após a divulgação pública. Embora não haja informações sobre os responsáveis pela exploração, o histórico de ataques a software de email sugere que atores de ameaças de nações, como APT28, possam estar envolvidos. As agências do Federal Civilian Executive Branch (FCEB) têm até 13 de março de 2026 para remediar as vulnerabilidades identificadas, a fim de proteger suas redes contra essa ameaça ativa.

Um alerta recente da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) revelou que várias câmeras de segurança da Honeywell apresentam uma falha crítica de segurança, classificada com um escore de 9.8/10. Essa vulnerabilidade, identificada como CVE-2026-1670, permite que atacantes não autenticados acessem feeds de vídeo e até assumam contas de usuários. A falha é caracterizada pela ‘falta de autenticação para funções críticas’, o que significa que um invasor pode alterar o endereço de e-mail de recuperação e comprometer ainda mais a rede alvo. A lista de modelos afetados inclui câmeras utilizadas em ambientes empresariais de médio porte, que são comuns em operações industriais e de infraestrutura crítica. A CISA recomenda que os proprietários das câmeras apliquem patches de segurança imediatamente e adotem medidas adicionais, como isolar redes de controle e utilizar VPNs seguras para acesso remoto. Embora a falha ainda não tenha sido explorada ativamente, a divulgação pode incentivar cibercriminosos a buscar sistemas vulneráveis. Portanto, a situação exige atenção urgente dos responsáveis pela segurança cibernética.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais corrijam uma vulnerabilidade crítica da Dell em seus sistemas em um prazo de três dias. A falha, identificada como CVE-2026-22769, está sendo explorada ativamente por um grupo de hackers suspeito de ser ligado à China, conhecido como UNC6201. Essa vulnerabilidade, que envolve credenciais hardcoded no Dell RecoverPoint, uma solução para backup e recuperação de máquinas virtuais VMware, permite que os atacantes acessem redes de vítimas e implantem malwares, incluindo uma nova backdoor chamada Grimbolt. A CISA incluiu essa falha em seu catálogo de Vulnerabilidades Conhecidas e Explotadas (KEV), destacando a urgência de mitigações. Além disso, a CISA também alertou sobre outra vulnerabilidade crítica em instâncias do BeyondTrust Remote Support, exigindo ações rápidas para proteger as redes. A situação ressalta a importância de uma resposta ágil a vulnerabilidades críticas, especialmente em um cenário onde grupos de hackers estão cada vez mais sofisticados e ativos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre uma vulnerabilidade crítica em diversos produtos de CCTV da Honeywell, que pode permitir acesso não autorizado a feeds de câmeras e sequestro de contas. Identificada pelo pesquisador Souvik Kanda e classificada como CVE-2026-1670, a falha é categorizada como ‘falta de autenticação para função crítica’ e recebeu uma pontuação de severidade crítica de 9.8. A vulnerabilidade permite que um atacante não autenticado altere o endereço de e-mail de recuperação associado a uma conta de dispositivo, possibilitando o sequestro da conta e o acesso não autorizado às imagens das câmeras. A CISA recomenda que os usuários minimizem a exposição de dispositivos de controle em suas redes, utilizando firewalls e métodos seguros de acesso remoto, como VPNs atualizadas. Embora a Honeywell ainda não tenha publicado um aviso sobre a CVE-2026-1670, os usuários são aconselhados a entrar em contato com a equipe de suporte da empresa para orientações sobre correções. Até o momento, não há relatos conhecidos de exploração pública dessa vulnerabilidade.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu quatro novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), destacando a exploração ativa dessas falhas. Entre elas, a CVE-2026-2441, uma vulnerabilidade de uso após a liberação no Google Chrome, com uma pontuação CVSS de 8.8, que pode permitir que atacantes remotos explorem a corrupção de heap através de uma página HTML manipulada. Outra vulnerabilidade, a CVE-2024-7694, afeta o TeamT5 ThreatSonar Anti-Ransomware, permitindo o upload de arquivos maliciosos. A CVE-2020-7796, com uma pontuação CVSS de 9.8, é uma falha de falsificação de solicitação do lado do servidor (SSRF) no Zimbra Collaboration Suite, que pode dar acesso não autorizado a informações sensíveis. Por fim, a CVE-2008-0015, uma vulnerabilidade de estouro de buffer no controle ActiveX do Windows, também foi adicionada. A CISA recomenda que as agências federais apliquem correções até 10 de março de 2026 para garantir proteção adequada.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam suas instâncias do BeyondTrust Remote Support contra uma vulnerabilidade crítica, identificada como CVE-2026-1731, em um prazo de três dias. Essa falha de execução remota de código, resultante de uma injeção de comando do sistema operacional, afeta versões anteriores ao Remote Support 25.3.1 e Privileged Remote Access 24.3.4. Embora a BeyondTrust tenha corrigido suas instâncias SaaS em 2 de fevereiro de 2026, clientes que utilizam versões on-premise precisam aplicar os patches manualmente. A exploração bem-sucedida dessa vulnerabilidade permite que atacantes não autenticados executem comandos do sistema operacional, potencialmente comprometendo sistemas, acessando dados de forma não autorizada e causando interrupções nos serviços. A CISA incluiu a vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas e Explotadas (KEV) e alertou que dispositivos não corrigidos devem ser considerados comprometidos. Este incidente destaca a necessidade urgente de ações corretivas por parte de administradores de sistemas, especialmente em um contexto onde falhas anteriores da BeyondTrust já foram exploradas por grupos de ciberespionagem, como o Silk Typhoon, vinculado ao governo chinês.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA protejam seus sistemas contra uma vulnerabilidade crítica no Microsoft Configuration Manager (ConfigMgr), identificada como CVE-2024-43468. Essa falha, que foi corrigida em outubro de 2024, permite que atacantes remotos não autenticados executem comandos arbitrários com altos privilégios no servidor e na base de dados do ConfigMgr. A vulnerabilidade foi relatada pela empresa de segurança Synacktiv, que também divulgou um código de exploração em novembro de 2024, indicando que a falha está sendo ativamente explorada. A CISA alertou que essas vulnerabilidades são vetores frequentes de ataque e representam riscos significativos para a segurança das agências federais. Embora a ordem se aplique apenas a agências federais, a CISA recomendou que todas as organizações, incluindo o setor privado, tomem medidas para proteger seus sistemas contra essa vulnerabilidade. As agências têm até 5 de março para aplicar os patches necessários, conforme a Diretiva Operacional Vinculativa (BOD) 22-01.

Recentemente, um grave problema de segurança foi descoberto nos produtos BeyondTrust Remote Support (RS) e Privileged Remote Access (PRA), com a vulnerabilidade CVE-2026-1731 recebendo uma pontuação de 9.9 no CVSS. Essa falha permite que atacantes não autenticados executem comandos no sistema operacional ao enviar requisições especialmente elaboradas. A exploração dessa vulnerabilidade foi observada em tempo real, com os atacantes utilizando a função get_portal_info para extrair informações antes de estabelecer um canal WebSocket. A BeyondTrust já lançou patches para corrigir a falha nas versões mais recentes de seus produtos. Além disso, a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) adicionou quatro outras vulnerabilidades ao seu catálogo de Exploited Vulnerabilities, incluindo falhas em sistemas da Apple e SolarWinds, que também estão sendo ativamente exploradas. O cenário destaca a rapidez com que as vulnerabilidades podem ser exploradas, exigindo que as organizações implementem correções rapidamente para proteger seus sistemas contra acessos não autorizados e possíveis interrupções de serviço.

A Microsoft identificou uma intrusão em múltiplas etapas que explorou instâncias expostas do SolarWinds Web Help Desk (WHD) para obter acesso inicial e se mover lateralmente pela rede de organizações. A equipe de pesquisa de segurança da Microsoft não conseguiu confirmar se as falhas exploradas foram as recentemente divulgadas (CVE-2025-40551 e CVE-2025-40536) ou uma vulnerabilidade já corrigida (CVE-2025-26399). As falhas mencionadas têm pontuações CVSS altas, indicando um risco significativo. A CISA dos EUA adicionou a CVE-2025-40551 ao seu catálogo de vulnerabilidades conhecidas exploradas, exigindo que agências federais aplicassem correções até 6 de fevereiro de 2026. Os atacantes conseguiram executar código remotamente e realizar ações como roubo de credenciais e ataques DCSync, simulando um controlador de domínio para extrair hashes de senhas. Para mitigar esses riscos, recomenda-se que as organizações mantenham suas instâncias do WHD atualizadas, removam ferramentas RMM não autorizadas e isolem máquinas comprometidas. A Microsoft enfatiza a importância de um monitoramento eficaz e da aplicação de patches em serviços expostos à internet.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração de uma vulnerabilidade crítica, identificada como CVE-2026-24423, no SmarterMail, um servidor de e-mail e plataforma de colaboração autogerida. Essa falha permite a execução remota de código sem autenticação, afetando versões anteriores à build 9511 do software. O SmarterMail, amplamente utilizado por provedores de serviços gerenciados (MSPs) e pequenas e médias empresas, possui cerca de 15 milhões de usuários em 120 países. A vulnerabilidade foi descoberta por pesquisadores de segurança e corrigida pela SmarterTools em 15 de janeiro. A CISA incluiu a CVE-2026-24423 em seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), destacando que a exploração pode permitir que atacantes direcionem a instância do SmarterMail para servidores HTTP maliciosos, resultando na execução de comandos indesejados. Além disso, foi identificada uma outra falha de bypass de autenticação, que permite a redefinição de senhas de administrador sem verificação. A CISA recomenda que as entidades federais apliquem as atualizações de segurança ou interrompam o uso do produto até 26 de fevereiro de 2026.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu uma diretiva para que as agências do Poder Executivo Civil Federal (FCEB) fortaleçam a gestão do ciclo de vida dos dispositivos de rede de borda e removam aqueles que não recebem mais atualizações de segurança dos fabricantes. Essa medida visa reduzir a dívida técnica e minimizar o risco de comprometimento, uma vez que atores de ameaças patrocinados por estados têm utilizado esses dispositivos como uma via de acesso preferencial para invadir redes-alvo. Dispositivos de borda incluem balanceadores de carga, firewalls, roteadores, switches e dispositivos IoT, que são vulneráveis a ataques cibernéticos. A CISA criou uma lista de dispositivos sem suporte e estabeleceu um cronograma para que as agências atualizem ou desativem esses dispositivos, com prazos que variam de três a 24 meses. A diretiva destaca que dispositivos não suportados representam um risco significativo para os sistemas federais e devem ser removidos das redes empresariais para fortalecer a resiliência cibernética.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma nova diretiva operacional vinculativa que obriga agências federais a identificar e desativar dispositivos de rede que não recebem mais atualizações de segurança dos fabricantes. A CISA alertou que dispositivos de rede com fim de suporte, como roteadores e firewalls, deixam os sistemas federais vulneráveis a novas explorações e expõem a riscos inaceitáveis. A diretiva, chamada BOD 26-02, exige que as agências federais retirem imediatamente hardware e software obsoletos e realizem um inventário de todos os dispositivos em sua lista de fim de suporte em um prazo de três meses. Além disso, as agências têm 12 meses para descomissionar dispositivos que já estavam fora de suporte antes da emissão da diretiva. A CISA também recomenda que todas as organizações sigam essas orientações para proteger seus sistemas contra grupos de ameaças que visam dispositivos de rede. Embora a diretiva se aplique apenas a agências federais dos EUA, a CISA enfatiza a importância de ações proativas para evitar a exploração de vulnerabilidades em dispositivos de rede.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais corrijam uma vulnerabilidade do GitLab, identificada como CVE-2021-39935, que está sendo ativamente explorada em ataques. Essa falha, que permite a execução de requisições do lado do servidor (SSRF), foi corrigida pela GitLab em dezembro de 2021, mas ainda afeta versões do software que vão da 10.5 até a 14.5.2. A CISA alertou que usuários não autorizados poderiam acessar a API CI Lint, comprometendo a segurança das configurações de CI/CD. Embora a ordem se aplique apenas a agências federais, a CISA recomendou que todas as organizações, incluindo as do setor privado, priorizem a correção de suas vulnerabilidades. Atualmente, mais de 49 mil dispositivos com a impressão digital do GitLab estão expostos online, a maioria na China. A GitLab é amplamente utilizada, com mais de 30 milhões de usuários registrados, incluindo grandes empresas como Nvidia e Goldman Sachs. Além disso, a CISA também destacou uma vulnerabilidade crítica no SolarWinds Web Help Desk, exigindo correções em um prazo de três dias. A situação ressalta a necessidade urgente de ações de segurança cibernética em todos os setores.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma falha crítica no SolarWinds Web Help Desk (WHD) ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), classificando-a como ativamente explorada em ataques. A vulnerabilidade, identificada como CVE-2025-40551, possui uma pontuação CVSS de 9.8 e refere-se a uma deserialização de dados não confiáveis, que pode permitir a execução remota de código sem necessidade de autenticação. A SolarWinds lançou correções para essa e outras falhas na versão 2026.1 do WHD. Além disso, outras vulnerabilidades críticas em sistemas como Sangoma FreePBX e GitLab também foram adicionadas ao catálogo da CISA. Embora não haja informações públicas sobre como a CVE-2025-40551 está sendo explorada, o alerta destaca a rapidez com que os atores de ameaças estão se movendo para explorar falhas recém-divulgadas. Agências federais dos EUA devem corrigir essa vulnerabilidade até 6 de fevereiro de 2026, e as demais até 24 de fevereiro de 2026, conforme a Diretriz Operacional Vinculante 22-01.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) identificou uma vulnerabilidade crítica no SolarWinds Web Help Desk, classificada como CVE-2025-40551, que está sendo ativamente explorada em ataques. Esta falha de segurança, originada de uma fraqueza na desserialização de dados não confiáveis, permite que atacantes não autenticados executem comandos remotamente em dispositivos não corrigidos. A SolarWinds lançou uma atualização, a versão 2026.1, em 28 de janeiro, para corrigir essa vulnerabilidade, além de outras falhas de segurança significativas. A CISA emitiu uma diretiva exigindo que as agências federais dos EUA aplicassem patches em seus sistemas em um prazo de três dias, embora tenha incentivado também o setor privado a agir rapidamente. O SolarWinds Web Help Desk é amplamente utilizado por agências governamentais e grandes corporações, com mais de 300.000 clientes em todo o mundo. Dada a frequência com que vulnerabilidades desse software têm sido exploradas, a urgência na aplicação de correções é crítica para evitar possíveis compromissos de segurança.

Madhu Gottumukkala, chefe interino da CISA, fez o upload de documentos sigilosos do governo Trump no ChatGPT, gerando preocupações sobre a segurança da informação. Os arquivos, marcados como ‘apenas para uso oficial’, acionaram alertas de segurança automatizados ao serem carregados na plataforma da OpenAI. Apesar de uma autorização especial para usar a ferramenta, um porta-voz da CISA afirmou que o uso era limitado e de curto prazo. Especialistas do Departamento de Segurança Interna estão investigando se essa ação comprometeu a segurança nacional, uma vez que o upload de informações sensíveis em uma IA pública pode resultar em vazamentos. Este incidente não é isolado, já que Gottumukkala enfrentou problemas anteriores, incluindo uma reprovação em um teste de polígrafo de contrainteligência. A situação levanta questões críticas sobre a proteção de dados governamentais e a responsabilidade no uso de tecnologias emergentes.

A Ivanti anunciou a liberação de atualizações de segurança para corrigir duas vulnerabilidades críticas no Ivanti Endpoint Manager Mobile (EPMM), que foram exploradas em ataques zero-day. As falhas, identificadas como CVE-2026-1281 e CVE-2026-1340, possuem uma pontuação CVSS de 9.8, permitindo a execução remota de código não autenticado. As versões afetadas incluem EPMM 12.5.0.0 e anteriores, 12.6.0.0 e anteriores, e 12.7.0.0 e anteriores. A correção será incluída na versão 12.8.0.0, prevista para ser lançada no primeiro trimestre de 2026. A Ivanti alertou que um número limitado de clientes teve suas soluções comprometidas e recomendou que os usuários verifiquem logs de acesso e mudanças de configuração para identificar possíveis explorações. A CISA adicionou a CVE-2026-1281 ao seu catálogo de vulnerabilidades conhecidas, exigindo que agências federais dos EUA apliquem as atualizações até 1º de fevereiro de 2026. As falhas afetam funcionalidades específicas do EPMM, mas não impactam outros produtos da Ivanti, como o Ivanti Neurons para MDM e o Ivanti Sentry.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha crítica no VMware vCenter Server, identificada como CVE-2024-37079, em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Com uma pontuação CVSS de 9.8, essa vulnerabilidade permite a execução remota de código por meio de um estouro de heap no protocolo DCE/RPC, possibilitando que um invasor com acesso à rede do vCenter envie pacotes de rede especialmente elaborados. A Broadcom, responsável pela correção da falha em junho de 2024, confirmou que a exploração da vulnerabilidade está ocorrendo ativamente. Pesquisadores da empresa de cibersegurança chinesa QiAnXin LegendSec descobriram essa e outras falhas relacionadas, que podem ser encadeadas para obter acesso não autorizado ao sistema ESXi. Embora ainda não se saiba a extensão dos ataques ou os grupos responsáveis, a Broadcom atualizou seu aviso para alertar sobre o abuso da vulnerabilidade. As agências do governo federal dos EUA devem atualizar para a versão mais recente até 13 de fevereiro de 2026 para garantir proteção adequada.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de quatro vulnerabilidades em softwares empresariais, incluindo produtos da Versa e Zimbra, além do framework Vite e do formatador de código Prettier. Essas falhas foram adicionadas ao catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA, indicando que hackers estão utilizando essas brechas em ataques reais.

Uma das vulnerabilidades, CVE-2025-31125, é uma falha de controle de acesso que pode expor arquivos não permitidos em instâncias de desenvolvimento expostas. Outra, CVE-2025-34026, é uma falha crítica de bypass de autenticação na plataforma Versa Concerto, que permite acesso a endpoints administrativos devido a uma configuração inadequada do proxy reverso Traefik.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu quatro novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), destacando a exploração ativa dessas falhas. Entre elas, a CVE-2025-68645, com uma pontuação CVSS de 8.8, é uma vulnerabilidade de inclusão remota de arquivos no Synacor Zimbra Collaboration Suite, permitindo que atacantes remotos incluam arquivos arbitrários sem autenticação. Outra vulnerabilidade crítica é a CVE-2025-34026, com pontuação 9.2, que permite a bypass de autenticação na plataforma Versa Concerto SD-WAN, possibilitando acesso a endpoints administrativos. A CVE-2025-31125, com pontuação 5.3, refere-se a um controle de acesso inadequado no Vite Vitejs, enquanto a CVE-2025-54313, com pontuação 7.5, envolve um ataque à cadeia de suprimentos que comprometeu o eslint-config-prettier e outros pacotes npm, permitindo a execução de um DLL malicioso. A CISA exige que as agências federais apliquem correções até 12 de fevereiro de 2026 para proteger suas redes contra essas ameaças ativas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma nova vulnerabilidade crítica no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-8110, permite a execução remota de código (RCE) não autenticada por meio da API PutContents, comprometendo servidores Gogs. Com um índice de severidade de 8.7/10, a CISA ordenou que as agências federais apliquem um patch até 2 de fevereiro de 2026, ou cessem o uso do software vulnerável. O Gogs é um serviço de Git auto-hospedado, frequentemente utilizado em ambientes de desenvolvimento interno e redes isoladas. Pesquisadores da Wiz Research relataram que mais de 700 servidores Gogs já foram comprometidos, com ataques em andamento desde novembro de 2025. A correção disponível no GitHub implementa validação de caminho ciente de symlink em todos os pontos de entrada de escrita de arquivos, mitigando a vulnerabilidade. A situação destaca a necessidade urgente de atualização por parte das organizações que utilizam essa plataforma, uma vez que mais de 1.400 servidores Gogs estão expostos online.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade de alta severidade no Gogs, identificada como CVE-2025-8110, com uma pontuação CVSS de 8.7. Essa falha, relacionada a uma vulnerabilidade de travessia de caminho no editor de arquivos do repositório, pode permitir a execução de código malicioso. A CISA destacou que a vulnerabilidade permite que atacantes contornem proteções existentes, criando um repositório Git e utilizando a API PutContents para escrever dados em um link simbólico que aponta para um arquivo sensível, resultando na sobrescrição de arquivos de configuração do Git. A Wiz, empresa de segurança que descobriu a exploração em ataques zero-day, identificou 700 instâncias do Gogs comprometidas. Embora não existam patches disponíveis no momento, alterações de código necessárias foram feitas e aguardam a construção da nova imagem. Enquanto isso, os usuários do Gogs são aconselhados a desativar o registro aberto padrão e restringir o acesso ao servidor. Agências do governo dos EUA têm até 2 de fevereiro de 2026 para aplicar as mitig ações necessárias.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) anunciou o encerramento de 10 diretrizes de emergência (EDs) emitidas entre 2019 e 2024, que visavam mitigar riscos cibernéticos enfrentados por agências federais. As diretrizes abordavam vulnerabilidades significativas, incluindo problemas relacionados ao DNS, Windows, SolarWinds e Microsoft Exchange. A CISA trabalhou em colaboração com agências federais para implementar as ações necessárias e garantir a resiliência da infraestrutura digital. A agência destacou que as ações exigidas foram implementadas com sucesso ou estão agora sendo aplicadas através da Diretiva Operacional Vinculante (BOD) 22-01, que visa reduzir riscos de vulnerabilidades conhecidas. O diretor interino da CISA, Madhu Gottumukkala, enfatizou a importância da colaboração para eliminar acessos persistentes e enfrentar ameaças emergentes, além de promover princípios de segurança desde o design. O fechamento dessas diretrizes reflete o compromisso da CISA com a segurança cibernética federal e a defesa contra riscos inaceitáveis, especialmente de atores estatais hostis.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), afetando o Microsoft Office e o HPE OneView. A primeira, CVE-2009-0556, com uma pontuação CVSS de 8.8, é uma vulnerabilidade de injeção de código no PowerPoint que permite a execução remota de código por atacantes. A segunda, CVE-2025-37164, possui uma pontuação máxima de 10.0 e também permite a execução remota de código, afetando todas as versões do HPE OneView anteriores à versão 11.00. A HPE já disponibilizou correções para as versões afetadas. Embora a origem dos ataques ainda não esteja clara, a disponibilidade pública de um código de prova de conceito (PoC) para a CVE-2025-37164 aumenta o risco para as organizações que utilizam versões vulneráveis do software. A CISA recomenda que as agências federais apliquem as correções necessárias até 28 de janeiro de 2026 para proteger suas redes contra ameaças ativas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança nos gravadores de vídeo em rede (NVRs) Digiever DS-2105 Pro em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), devido a evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2023-52163, possui uma pontuação CVSS de 8.8 e está relacionada a uma injeção de comando que permite a execução remota de código após autenticação. Segundo a CISA, a falha se deve a uma vulnerabilidade de autorização ausente, que pode ser explorada através do arquivo time_tzsetup.cgi. Relatórios da Akamai e Fortinet indicam que a vulnerabilidade está sendo utilizada por agentes de ameaças para implantar botnets como Mirai e ShadowV2. A falha, juntamente com um bug de leitura de arquivo arbitrário (CVE-2023-52164, CVSS 5.1), permanece sem correção, uma vez que o dispositivo atingiu o status de fim de vida (EoL). A CISA recomenda que as agências do governo federal dos EUA adotem as devidas mitig ações ou descontinuem o uso do produto até 12 de janeiro de 2025, para proteger suas redes contra ameaças ativas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma vulnerabilidade crítica, identificada como CVE-2025-59374, ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Com uma pontuação CVSS de 9.3, essa falha é classificada como uma ‘vulnerabilidade de código malicioso embutido’, resultante de uma violação na cadeia de suprimentos. A CISA alertou que versões específicas do cliente ASUS Live Update foram distribuídas com modificações não autorizadas, permitindo que atacantes realizassem ações indesejadas em dispositivos que atendiam a certas condições. Essa vulnerabilidade remete a um ataque à cadeia de suprimentos que ocorreu em 2019, quando um grupo de ameaças persistentes avançadas (APT) comprometeu servidores da ASUS, visando um grupo restrito de usuários. A ASUS já corrigiu a falha na versão 3.6.8 do software, mas a CISA recomendou que as agências federais descontinuem o uso do Live Update até 7 de janeiro de 2026, após o anúncio do fim do suporte ao software em 4 de dezembro de 2025. A empresa enfatizou seu compromisso com a segurança de software e a importância de atualizações em tempo real para proteger os dispositivos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade, identificada como CVE-2018-4063, no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Essa falha, que afeta os roteadores Sierra Wireless AirLink ALEOS, permite o upload não restrito de arquivos, possibilitando a execução remota de código malicioso através de requisições HTTP manipuladas. O problema foi identificado inicialmente em 2018 e, apesar de ter sido reportado, continua a ser explorado ativamente. A vulnerabilidade é particularmente crítica, pois permite que um atacante, ao fazer uma requisição HTTP autenticada, faça upload de um arquivo que pode substituir arquivos existentes no dispositivo, herdando suas permissões de execução. Isso é agravado pelo fato de que o ACEManager opera com privilégios elevados, permitindo que scripts maliciosos sejam executados com permissões de root. A CISA recomenda que as agências federais atualizem seus dispositivos até 2 de janeiro de 2026, data em que o suporte para o produto será encerrado. A análise de honeypots revelou que roteadores industriais são os dispositivos mais atacados em ambientes de tecnologia operacional, destacando a necessidade urgente de mitigação e atualização de sistemas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança de alta gravidade no OSGeo GeoServer em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2025-58360, possui uma pontuação CVSS de 8.2 e afeta todas as versões anteriores e incluindo 2.25.5, bem como as versões 2.26.0 a 2.26.1. Essa falha de entidade externa XML (XXE) permite que atacantes acessem arquivos arbitrários do sistema de arquivos do servidor, realizem ataques de Server-Side Request Forgery (SSRF) e até mesmo ataques de negação de serviço (DoS). A CISA recomenda que as agências federais apliquem as correções necessárias até 1º de janeiro de 2026. Embora não haja detalhes sobre como a vulnerabilidade está sendo explorada atualmente, um boletim do Centro Canadense de Segurança Cibernética indicou que um exploit para essa vulnerabilidade já está ativo. Além disso, uma falha crítica anterior no mesmo software, CVE-2024-36401, também foi explorada por diversos atores de ameaças no último ano.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais corrijam a vulnerabilidade crítica CVE-2025-55182, que afeta o protocolo Flight dos React Server Components. Com uma pontuação CVSS de 10.0, a falha permite que atacantes injetem lógica maliciosa em um contexto privilegiado, sem necessidade de autenticação ou interação do usuário. Desde sua divulgação em 3 de dezembro de 2025, a vulnerabilidade tem sido amplamente explorada por diversos grupos de ameaças, visando principalmente aplicações Next.js e cargas de trabalho em Kubernetes. A CISA incluiu a falha em seu catálogo de Vulnerabilidades Conhecidas Exploradas, estabelecendo um prazo para correção até 12 de dezembro de 2025. A empresa de segurança Cloudflare observou uma onda rápida de exploração, com ataques direcionados a sistemas expostos na internet, especialmente em regiões como Taiwan e Japão. Além disso, foram registrados mais de 35.000 tentativas de exploração em um único dia, com alvos que incluem instituições governamentais e empresas de alta tecnologia. A situação exige atenção imediata das organizações para evitar compromissos de segurança.