Cisa

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha crítica de segurança no Drupal Core em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2026-9082, possui uma pontuação CVSS de 6.5 e é uma falha de injeção SQL que afeta todas as versões suportadas do Drupal Core. Essa falha pode permitir a escalada de privilégios e execução remota de código através de requisições especialmente elaboradas. Menos de dois dias após a liberação de correções, a Drupal confirmou que tentativas de exploração estão sendo detectadas, com mais de 15.000 tentativas de ataque em quase 6.000 sites em 65 países, principalmente em sites de serviços financeiros e de jogos. As agências do governo federal dos EUA foram aconselhadas a aplicar as correções até 27 de maio de 2026 para garantir proteção adequada. A natureza da vulnerabilidade sugere que, embora a atividade atual seja predominantemente de reconhecimento, a exploração bem-sucedida pode rapidamente evoluir para extração de dados ou escalada de privilégios.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), afetando o Langflow e o Trend Micro Apex One. A primeira, CVE-2025-34291, com um escore CVSS de 9.4, é uma falha de validação de origem no Langflow que permite a execução de código arbitrário, comprometendo totalmente o sistema. A segunda, CVE-2026-34926, com um escore CVSS de 6.7, é uma vulnerabilidade de travessia de diretório nas versões on-premise do Apex One, que pode ser explorada por um atacante local com credenciais administrativas para injetar código malicioso. Relatórios indicam que a falha no Langflow foi explorada por um grupo de hackers iraniano, MuddyWater, para obter acesso inicial a redes-alvo. A CISA exige que as agências federais apliquem correções até 4 de junho de 2026, dada a gravidade da exploração ativa dessas vulnerabilidades.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma nova vulnerabilidade crítica no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), afetando o Cisco Catalyst SD-WAN Controller. A falha, identificada como CVE-2026-20182, permite que atacantes remotos não autenticados contornem a autenticação e obtenham privilégios administrativos no sistema. Com uma pontuação de 10.0 no sistema CVSS, a vulnerabilidade é considerada de máxima gravidade. A Cisco alertou que a exploração ativa dessa falha está ligada a um grupo de ameaças identificado como UAT-8616, que também está por trás da exploração de outras vulnerabilidades relacionadas. Os atacantes têm utilizado códigos de exploração disponíveis publicamente para implantar shells web, permitindo a execução de comandos arbitrários. A CISA exige que as agências do governo federal dos EUA remediem a vulnerabilidade até 17 de maio de 2026. Dada a gravidade da situação, a Cisco recomenda que os clientes sigam as orientações para proteger seus ambientes.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais corrijam uma vulnerabilidade de alta severidade no Ivanti Endpoint Manager Mobile (EPMM), identificada como CVE-2026-6973. Essa falha permite que atacantes com privilégios administrativos executem código arbitrário remotamente em sistemas que utilizam versões do EPMM 12.8.0.0 e anteriores. A Ivanti recomendou a atualização para as versões 12.6.1.1, 12.7.0.1 e 12.8.0.1, além de revisar e rotacionar credenciais de contas administrativas. Embora a exploração da vulnerabilidade tenha sido limitada até o momento, a CISA alertou que esse tipo de falha é um vetor comum para ataques cibernéticos maliciosos, representando riscos significativos para a segurança das agências federais. A Ivanti já havia corrigido outras falhas críticas em janeiro, e a CISA reiterou a importância de ações rápidas para mitigar riscos. A Shadowserver, organização de segurança sem fins lucrativos, identificou mais de 800 dispositivos EPMM expostos online, mas não há informações sobre quantos já foram corrigidos. O prazo para a correção é até a meia-noite de domingo, 10 de maio.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam seus sistemas Windows contra uma vulnerabilidade crítica, identificada como CVE-2026-32202. Esta falha de segurança, relatada pela empresa de cibersegurança Akamai, é uma vulnerabilidade de ‘zero-click’ que permite o roubo de credenciais sem a necessidade de interação do usuário. A vulnerabilidade foi deixada após um patch incompleto de uma falha anterior de execução remota de código (CVE-2026-21510) em fevereiro. O grupo de ciberespionagem russo APT28 já explorou a falha anterior em ataques direcionados à Ucrânia e países da UE. A CISA incluiu a CVE-2026-32202 em seu Catálogo de Vulnerabilidades Conhecidas (KEV) e ordenou que as agências federais aplicassem patches até 12 de maio. A agência alertou que esse tipo de vulnerabilidade é um vetor frequente de ataque e representa riscos significativos para a segurança federal. Embora a ordem se aplique apenas a agências federais, a CISA incentivou todas as equipes de segurança a priorizarem a correção dessa vulnerabilidade em suas redes.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), com base em evidências de exploração ativa. A primeira, CVE-2024-1708, é uma vulnerabilidade de travessia de caminho no ConnectWise ScreenConnect, com uma pontuação CVSS de 8.4, que permite a execução remota de código e pode comprometer dados confidenciais. Esta falha foi corrigida em fevereiro de 2024. A segunda, CVE-2026-32202, com uma pontuação CVSS de 4.3, é uma falha no mecanismo de proteção do Microsoft Windows Shell, permitindo que atacantes não autorizados realizem spoofing em redes. Essa vulnerabilidade foi corrigida em abril de 2026. A inclusão da CVE-2026-32202 no catálogo ocorreu após a Microsoft reconhecer que a falha estava sendo ativamente explorada, relacionada a um patch incompleto de outra vulnerabilidade. A CVE-2024-1708 tem sido explorada em conjunto com a CVE-2024-1709, uma falha crítica de bypass de autenticação, em ataques associados a grupos de ameaças, incluindo um ator baseado na China. As agências do governo dos EUA têm até 12 de maio de 2026 para aplicar as correções necessárias.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu quatro novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), afetando o software SimpleHelp, o servidor Samsung MagicINFO 9 e os roteadores D-Link DIR-823X. As falhas, que apresentam pontuações CVSS variando de 7.2 a 9.9, permitem que atacantes escalem privilégios, executem comandos arbitrários e realizem uploads de arquivos maliciosos. A vulnerabilidade CVE-2024-57726, por exemplo, permite que técnicos com baixos privilégios criem chaves de API com permissões excessivas, enquanto a CVE-2024-57728 possibilita o upload de arquivos em locais não autorizados, potencialmente executando código malicioso. Além disso, a CVE-2024-7399 no Samsung MagicINFO 9 Server e a CVE-2025-29635 nos roteadores D-Link também foram identificadas como vetores de ataque ativos, com ligações a campanhas de ransomware e botnets, como a Mirai. A CISA recomenda que as agências federais apliquem correções ou descontinuem o uso dos dispositivos afetados até 8 de maio de 2026 para mitigar os riscos.

Agências de cibersegurança dos EUA e do Reino Unido emitiram um alerta sobre um malware personalizado chamado Firestarter, que persiste em dispositivos Cisco Firepower e Secure Firewall que utilizam o software Adaptive Security Appliance (ASA) ou Firepower Threat Defense (FTD). O malware, atribuído a um ator de ameaças conhecido como UAT-4356, é utilizado em campanhas de ciberespionagem e permite acesso remoto contínuo mesmo após a aplicação de patches. A vulnerabilidade inicial explorada foi identificada como CVE-2025-20333, relacionada a uma falha de autorização, e CVE-2025-20362, um bug de estouro de buffer.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou as agências governamentais sobre uma vulnerabilidade no Catalyst SD-WAN Manager, que está sendo ativamente explorada em ataques. A falha, identificada como CVE-2026-20133, permite que atacantes remotos não autenticados acessem informações sensíveis em dispositivos não corrigidos. A Cisco já havia lançado um patch para essa vulnerabilidade em fevereiro, mas a CISA agora exige que as agências federais apliquem as correções até 24 de abril. A vulnerabilidade é resultado de restrições insuficientes de acesso ao sistema de arquivos, permitindo que um invasor acesse a API do sistema afetado. Além disso, a CISA incluiu essa falha em seu Catálogo de Vulnerabilidades Conhecidas (KEV) devido a evidências de exploração ativa. A Cisco ainda não confirmou a exploração da falha, mas já havia identificado outras vulnerabilidades críticas em seus produtos. A situação destaca a importância de uma resposta rápida a vulnerabilidades em sistemas amplamente utilizados, como os da Cisco, que são comuns em diversas organizações.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu recentemente oito novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), destacando três falhas críticas que afetam o Cisco Catalyst SD-WAN Manager. Entre as vulnerabilidades, a CVE-2025-32975 se destaca com um escore CVSS de 10.0, permitindo que atacantes se façam passar por usuários legítimos sem credenciais válidas. Outras falhas incluem a CVE-2023-27351, que permite a bypass de autenticação no PaperCut NG/MF, e a CVE-2024-27199, que possibilita ações administrativas limitadas no JetBrains TeamCity. A CISA recomenda que as agências do governo federal dos EUA abordem as vulnerabilidades da Cisco até 23 de abril de 2026, e as demais até 4 de maio de 2026. A exploração ativa dessas falhas foi observada, com grupos de ameaças conhecidos, como Lace Tempest, utilizando-as em ataques de ransomware. A situação é crítica, pois as falhas podem comprometer a segurança de sistemas amplamente utilizados, exigindo atenção imediata das organizações para evitar possíveis incidentes de segurança.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) alertou sobre uma vulnerabilidade crítica em versões antigas do Microsoft Excel, identificada como CVE-2009-0238. Essa falha, detectada em 2009, permite a execução remota de código (RCE), possibilitando que cibercriminosos comprometam sistemas ao enviar documentos Excel maliciosos. Os ataques podem resultar no roubo de informações sensíveis, implantação de ransomware e corrupção da memória do dispositivo. A vulnerabilidade afeta versões do Microsoft Office Excel 2000 SP3 até 2004 e 2008 para Mac, enquanto versões mais recentes já receberam correções. A CISA não detalhou como os documentos maliciosos são enviados, mas a ameaça permanece ativa, com a possibilidade de exploração por hackers. Especialistas associaram a falha à distribuição de um malware conhecido como “Trojan.Mdropper.AC”. É crucial que usuários e empresas que ainda utilizam essas versões antigas do Excel tomem medidas imediatas para mitigar os riscos associados a essa vulnerabilidade.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou sobre uma vulnerabilidade crítica no Apache ActiveMQ, identificada como CVE-2026-34197, que está sendo ativamente explorada em ataques. O Apache ActiveMQ é um popular broker de mensagens open-source baseado em Java, utilizado para comunicação assíncrona entre aplicações. A falha, que passou despercebida por 13 anos, foi descoberta pelo pesquisador Naveen Sunkavally da Horizon3, e se origina de uma validação inadequada de entrada, permitindo que atacantes autenticados executem código arbitrário através de ataques de injeção. A correção foi disponibilizada em 30 de março para as versões 6.2.3 e 5.19.4 do ActiveMQ Classic. A CISA incluiu a vulnerabilidade em seu Catálogo de Vulnerabilidades Conhecidas e ordenou que agências federais atualizassem seus servidores ActiveMQ até 30 de abril. A Horizon3 também destacou que mais de 7.500 servidores ActiveMQ estão expostos online, aumentando o risco de exploração. A CISA recomenda que organizações que utilizam ActiveMQ tratem essa vulnerabilidade como prioridade alta, dada a frequência com que o ActiveMQ é alvo de ataques reais.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta para agências governamentais dos EUA sobre uma vulnerabilidade de escalonamento de privilégios no Windows Task Host, identificada como CVE-2025-60710. Essa falha, que afeta dispositivos com Windows 11 e Windows Server 2025, permite que atacantes locais com permissões básicas elevem seus privilégios a nível de SYSTEM, obtendo controle total sobre o dispositivo comprometido. A vulnerabilidade é resultado de uma fraqueza na resolução de links antes do acesso a arquivos, o que pode ser explorado por atacantes autorizados. A Microsoft lançou um patch para corrigir essa falha em novembro de 2025, e a CISA deu um prazo de duas semanas para que as agências federais implementem as correções. Embora o aviso se aplique principalmente a agências federais, a CISA também recomenda que organizações do setor privado adotem as atualizações de segurança para proteger suas redes. A vulnerabilidade representa um vetor de ataque frequente e significativo, exigindo atenção imediata das equipes de segurança.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu recentemente seis novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas Exploited (KEV), destacando a exploração ativa dessas falhas. Entre as vulnerabilidades, a CVE-2026-21643, com uma pontuação CVSS de 9.1, refere-se a uma falha de injeção SQL no Fortinet FortiClient EMS, permitindo que atacantes não autenticados executem comandos não autorizados. Outras vulnerabilidades significativas incluem a CVE-2023-21529, que afeta o Microsoft Exchange Server e pode permitir a execução remota de código por atacantes autenticados. A CISA alertou que agências federais devem aplicar correções até 27 de abril de 2026, devido à natureza crítica dessas falhas. A detecção de tentativas de exploração da CVE-2026-21643 desde março de 2026 e o uso da CVE-2023-21529 por um grupo de ameaças conhecido como Storm-1175 para disseminar ransomware Medusa, ressaltam a urgência da situação. Embora três das vulnerabilidades listadas não tenham relatos públicos de exploração, a situação exige atenção imediata das organizações para evitar possíveis comprometimentos.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) concedeu um prazo de quatro dias para que agências governamentais dos EUA protejam seus sistemas contra uma vulnerabilidade crítica no Ivanti Endpoint Manager Mobile (EPMM), identificada como CVE-2026-1340. Essa falha de injeção de código permite que atacantes não autorizados executem código remotamente em dispositivos EPMM expostos à Internet e não corrigidos. A Ivanti já havia alertado sobre essa e outra vulnerabilidade (CVE-2026-1281) em janeiro, quando lançou atualizações de segurança. A CISA incluiu a CVE-2026-1340 em seu catálogo de vulnerabilidades conhecidas e ordenou que as agências federais aplicassem patches até a meia-noite de 11 de abril. A agência destacou que esse tipo de vulnerabilidade é um vetor de ataque comum e representa riscos significativos para a segurança federal. A Ivanti, que fornece produtos de gerenciamento de ativos de TI para mais de 40.000 clientes, já teve outras vulnerabilidades exploradas em ataques zero-day nos últimos anos, afetando diversas agências governamentais ao redor do mundo.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam suas instâncias do FortiClient Enterprise Management Server (EMS) contra uma vulnerabilidade criticamente explorada, identificada como CVE-2026-35616. Esta falha, descoberta pela empresa de cibersegurança Defused, permite que atacantes contornem controles de autenticação e autorização, possibilitando a execução de comandos maliciosos. A Fortinet, fabricante do FortiClient, lançou correções de emergência e alertou que a vulnerabilidade está sendo ativamente explorada em ataques zero-day. A CISA incluiu a CVE-2026-35616 em seu catálogo de Vulnerabilidades Conhecidas e Explotadas (KEV) e exigiu que as agências federais aplicassem patches até a meia-noite de 9 de abril. Apesar de a ordem se aplicar apenas a agências federais, a CISA recomendou que todas as organizações, incluindo as do setor privado, priorizassem a correção dessa vulnerabilidade. Atualmente, cerca de 2.000 instâncias do FortiClient EMS estão expostas na internet, com mais de 1.400 IPs localizados nos EUA e na Europa, aumentando a urgência para a aplicação das correções.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais atualizassem seus dispositivos Citrix NetScaler devido a uma vulnerabilidade crítica (CVE-2026-3055) que está sendo ativamente explorada. Essa falha, identificada como resultado de validação insuficiente de entrada, permite que atacantes remotos não autenticados acessem informações sensíveis em dispositivos Citrix ADC ou Citrix Gateway configurados como provedores de identidade SAML. A CISA destacou que a vulnerabilidade representa um vetor de ataque frequente para agentes maliciosos e pode levar a uma tomada de controle total de dispositivos não corrigidos. Apesar de a Citrix ter emitido orientações detalhadas e atualizações de segurança, a CISA ainda não confirmou se os ataques estão em andamento. A agência também alertou que a correção deve ser priorizada por todas as organizações, incluindo o setor privado. A situação é crítica, especialmente considerando que a CISA já havia identificado outras vulnerabilidades da Citrix como exploradas no passado, aumentando a urgência para a aplicação de patches.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha crítica no F5 BIG-IP Access Policy Manager (APM) em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2025-53521, possui uma pontuação CVSS v4 de 9.3, permitindo que um ator malicioso execute código remotamente. Inicialmente classificada como uma vulnerabilidade de negação de serviço (DoS), a F5 reclassificou-a após novas informações em março de 2026. A empresa confirmou que a falha foi explorada nas versões vulneráveis do BIG-IP e forneceu indicadores para verificar se o sistema foi comprometido, incluindo alterações em arquivos e logs específicos. As versões afetadas incluem 17.5.0 a 17.5.1, 17.1.0 a 17.1.2, entre outras. Diante da exploração ativa, agências federais têm até 30 de março de 2026 para aplicar as correções necessárias. Especialistas alertam que a situação representa um risco significativamente maior do que o inicialmente comunicado, exigindo atenção imediata dos administradores de sistema.

A Cybersecurity and Infrastructure Security Agency (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica, identificada como CVE-2026-33017, que afeta o framework Langflow, amplamente utilizado para a construção de agentes de inteligência artificial. Com uma pontuação de 9.3 em 10, essa falha permite a execução remota de código, possibilitando que atacantes criem fluxos públicos sem autenticação. A exploração começou rapidamente após a divulgação do aviso, com atividades de escaneamento automatizado iniciando em apenas 20 horas e a coleta de dados em 24 horas. O Langflow, um framework visual open-source com 145 mil estrelas no GitHub, é um alvo atrativo para hackers devido à sua popularidade. A CISA recomenda que administradores de sistemas atualizem para a versão 1.9.0 ou superior para mitigar a vulnerabilidade ou restrinjam o endpoint vulnerável. Embora a CISA não tenha classificado a exploração como relacionada a ransomware, a urgência da atualização é clara, especialmente para organizações sob a Diretiva Operacional Vinculativa (BOD) 22-01. A situação destaca a importância de monitorar o tráfego de saída e rotacionar credenciais em caso de atividades suspeitas.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA corrigissem três vulnerabilidades do iOS, que estão sendo exploradas em ataques de roubo de criptomoedas e ciberespionagem, utilizando o kit de exploração DarkSword. Pesquisadores do Google e da iVerify identificaram uma cadeia de seis vulnerabilidades, incluindo CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 e CVE-2025-43520, que permitem a execução remota de código em iPhones não corrigidos. Embora a Apple já tenha lançado patches para essas falhas, dispositivos rodando iOS entre as versões 18.4 e 18.7 ainda estão vulneráveis. O DarkSword está associado a grupos de ameaças, como UNC6748 e UNC6353, que realizam ataques direcionados a usuários de iPhone em sites comprometidos. A CISA alertou que essas vulnerabilidades representam riscos significativos e recomendou que todas as organizações, incluindo as do setor privado, priorizem a segurança de seus dispositivos. O alerta destaca a necessidade de ações imediatas para mitigar os riscos associados a essas falhas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu cinco vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas Exploited (KEV), afetando produtos da Apple, Craft CMS e Laravel Livewire. As falhas, que variam em pontuação CVSS de 7.8 a 10.0, exigem que agências federais realizem correções até 3 de abril de 2026. Entre as vulnerabilidades, destaca-se a CVE-2025-32432, uma falha de injeção de código no Craft CMS, que está sendo explorada ativamente desde fevereiro de 2025, permitindo a execução remota de código por atacantes. Além disso, três vulnerabilidades no WebKit e no kernel da Apple podem resultar em corrupção de memória e comprometimento do sistema. Relatórios indicam que um kit de exploração chamado DarkSword está utilizando essas falhas para implantar malwares como GHOSTBLADE e GHOSTKNIFE. A CISA enfatiza a urgência na aplicação de patches, especialmente em um cenário onde grupos de hackers, como o MuddyWater, estão intensificando suas atividades de espionagem cibernética, visando setores críticos e diplomáticos. A situação é alarmante, pois a combinação de técnicas de engenharia social e ferramentas avançadas de malware representa uma ameaça significativa para a segurança cibernética.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais corrijam uma vulnerabilidade de alta severidade, identificada como CVE-2026-20131, no Cisco Secure Firewall Management Center (FMC) até o dia 22 de março. A Cisco divulgou um boletim de segurança no dia 4 de março, alertando os administradores de sistemas sobre a necessidade de aplicar as atualizações de segurança imediatamente, uma vez que não existem soluções alternativas disponíveis. A falha permite que um atacante remoto não autenticado execute código Java arbitrário como root em dispositivos afetados, devido à deserialização insegura de um fluxo de bytes Java fornecido pelo usuário. A situação se agrava com a confirmação de que a vulnerabilidade está sendo ativamente explorada por grupos de ransomware, como o Interlock, que a utilizam desde o final de janeiro. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), destacando seu uso em campanhas de ransomware. Embora a ordem da CISA se aplique a agências federais, recomendações semelhantes são válidas para empresas privadas e governos estaduais e locais, dada a gravidade da situação.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para empresas americanas após um ataque cibernético devastador ao grupo Stryker, onde hackers iranianos do coletivo Handala comprometeram uma conta administrativa do Microsoft Intune. Os atacantes roubaram 50 terabytes de dados e apagaram quase 80 mil dispositivos da empresa em poucas horas, forçando-a a operar manualmente. A CISA recomenda que as empresas adotem práticas de segurança mais rigorosas, como o princípio do menor privilégio para funções administrativas, autenticação multifator resistente a phishing e aprovações de múltiplos administradores para mudanças sensíveis. O ataque é visto como uma retaliação a ações dos EUA e Israel contra o Irã, destacando a importância de fortalecer a segurança cibernética em um cenário de ameaças emergentes. As recomendações da CISA são aplicáveis não apenas ao Intune, mas a outros softwares de gerenciamento de endpoints, visando prevenir incidentes semelhantes.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta para organizações americanas sobre a necessidade de fortalecer as configurações do Microsoft Intune, após um ataque cibernético que comprometeu os sistemas da Stryker Corporation, uma gigante da tecnologia médica. O ataque, reivindicado pelo grupo hacktivista Handala, resultou no roubo de 50 terabytes de dados e na utilização do comando de limpeza do Intune para apagar quase 80 mil dispositivos. Os hackers conseguiram criar uma nova conta de Administrador Global após comprometer uma conta de administrador existente. A CISA recomenda que as organizações adotem uma abordagem de menor privilégio para funções administrativas, implementem autenticação multifator (MFA) e exijam aprovação de múltiplos administradores para ações sensíveis, como a limpeza de dispositivos. Essas práticas visam aumentar a resiliência das organizações contra ataques semelhantes. O grupo Handala, vinculado ao Irã, é conhecido por suas operações de hacktivismo e por vazar dados sensíveis de sistemas comprometidos. O alerta da CISA destaca a importância de medidas proativas para proteger ambientes de gerenciamento de endpoints.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA protejam seus servidores contra uma vulnerabilidade ativamente explorada no Zimbra Collaboration Suite (ZCS), identificada como CVE-2025-66376. Essa falha de segurança, classificada como de alta severidade, resulta de uma vulnerabilidade de cross-site scripting (XSS) armazenada na interface Classic UI, permitindo que atacantes remotos não autenticados executem JavaScript arbitrário através de e-mails HTML maliciosos. A CISA deu um prazo de duas semanas para que as agências federais implementem correções, conforme a Diretiva Operacional Vinculante (BOD) 22-01. Embora a BOD se aplique apenas a agências federais, a CISA recomendou que todas as organizações, incluindo as do setor privado, realizem a correção dessa falha. O Zimbra já foi alvo de ataques anteriores, com hackers explorando vulnerabilidades para comprometer milhares de servidores de e-mail globalmente. A situação destaca a necessidade urgente de ações de mitigação para evitar possíveis sequestros de sessões e roubo de dados sensíveis.

A Cybersecurity and Infrastructure Security Agency (CISA) alertou sobre a exploração de uma vulnerabilidade crítica no Microsoft SharePoint, identificada como CVE-2026-20963. Essa falha de segurança afeta versões do SharePoint Enterprise Server 2016, SharePoint Server 2019 e SharePoint Server Subscription Edition. A exploração bem-sucedida permite que atacantes não autenticados executem código remotamente em servidores que não foram atualizados, utilizando uma fraqueza na desserialização de dados não confiáveis. A CISA incluiu essa vulnerabilidade em seu catálogo de falhas ativamente exploradas e ordenou que agências federais dos EUA, como o Departamento de Segurança Interna e o Departamento de Justiça, protegessem seus servidores até 21 de março. Embora a Microsoft tenha atualizado seu aviso sobre a CVE-2026-20963, ainda não confirmou sua exploração em ataques reais. A CISA também recomendou que todos os defensores de rede aplicassem as correções necessárias, uma vez que esse tipo de vulnerabilidade é um vetor de ataque comum para agentes maliciosos, representando riscos significativos para a segurança federal. Além disso, a CISA ordenou que agências federais corrigissem uma vulnerabilidade de cross-site scripting (XSS) no Zimbra Collaboration Suite, que também está sendo explorada.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências governamentais apliquem patches em duas vulnerabilidades críticas que estão sendo ativamente exploradas. A primeira, CVE-2025-66376, é uma vulnerabilidade de cross-site scripting (XSS) no Zimbra Collaboration Suite, que permite que atacantes abusem de diretrizes CSS em mensagens de e-mail HTML. A segunda, CVE-2026-20963, é uma vulnerabilidade de desserialização de dados não confiáveis no Microsoft Office SharePoint, permitindo que um invasor execute código remotamente. Ambas as falhas foram corrigidas em versões recentes dos softwares. O alerta da CISA é especialmente relevante após a descoberta de uma campanha de ataque, denominada Operação GhostMail, que utiliza a vulnerabilidade do Zimbra para roubar credenciais e dados sensíveis de usuários. Os atacantes, supostamente patrocinados pelo Estado russo, têm se concentrado em organizações ucranianas, mas a exploração dessas vulnerabilidades pode afetar usuários em todo o mundo, incluindo o Brasil. A CISA recomenda que as agências federais apliquem os patches até datas específicas para mitigar os riscos associados.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta para que agências governamentais dos EUA protejam suas instâncias do Wing FTP Server contra uma vulnerabilidade ativa, identificada como CVE-2025-47813. Essa falha permite que atacantes com privilégios baixos descubram o caminho completo da instalação local do aplicativo em servidores não corrigidos. O Wing FTP Server é um software de servidor FTP multiplataforma, utilizado por mais de 10.000 clientes, incluindo grandes empresas como a Força Aérea dos EUA e a Sony. A vulnerabilidade foi corrigida na versão 7.4.4, lançada em maio de 2025, juntamente com outras falhas críticas que podem levar à execução remota de código e ao vazamento de informações. A CISA enfatizou que essa vulnerabilidade é um vetor de ataque comum e representa riscos significativos para a segurança federal. Embora o alerta se aplique principalmente a agências federais, a CISA incentivou também o setor privado a aplicar as correções necessárias o mais rápido possível, dada a gravidade da situação.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais corrijam três vulnerabilidades de segurança no iOS, que estão sendo exploradas em ataques de ciberespionagem e roubo de criptomoedas, utilizando o kit de exploração Coruna. Pesquisadores do Google Threat Intelligence Group (GTIG) identificaram que o Coruna utiliza uma cadeia de exploits que ataca 23 vulnerabilidades do iOS, muitas das quais foram utilizadas em ataques zero-day. As falhas não afetam versões recentes do iOS e são bloqueadas se o usuário estiver em modo de navegação privada ou com o modo de bloqueio ativado. O Coruna permite que atacantes contornem a autenticação de código, escapem de sandbox e executem código remotamente no WebKit, elevando permissões a privilégios de Kernel. O kit foi observado em uso por diversos grupos de ameaças, incluindo um grupo suspeito de estar vinculado ao estado russo e um ator de ameaças da China. A CISA incluiu as vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e ordenou que as agências federais protejam seus dispositivos até 26 de março. Embora a ordem se aplique apenas a agências federais, a CISA recomenda que todas as organizações, incluindo empresas do setor privado, priorizem a correção dessas falhas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), afetando produtos da Hikvision e da Rockwell Automation. A primeira, CVE-2017-7921, com uma pontuação CVSS de 9.8, refere-se a uma falha de autenticação inadequada em diversos produtos da Hikvision, permitindo que um usuário malicioso eleve privilégios e acesse informações sensíveis. A segunda, CVE-2021-22681, também com pontuação 9.8, diz respeito a credenciais insuficientemente protegidas em produtos da Rockwell, permitindo que um usuário não autorizado contorne mecanismos de verificação e altere configurações. A CISA recomenda que agências federais atualizem seus softwares até 26 de março de 2026, enfatizando que essas vulnerabilidades são vetores frequentes de ataque e representam riscos significativos. Embora a CVE-2017-7921 tenha sido associada a tentativas de exploração, não há relatos públicos sobre ataques relacionados à CVE-2021-22681. A CISA alerta que todas as organizações devem priorizar a remediação dessas vulnerabilidades como parte de suas práticas de gerenciamento de vulnerabilidades.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma nova vulnerabilidade crítica, CVE-2026-22719, no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Essa falha, com uma pontuação CVSS de 8.1, permite que atacantes não autenticados executem comandos arbitrários, potencialmente levando à execução remota de código durante a migração assistida de produtos no VMware Aria Operations. A vulnerabilidade foi identificada como uma injeção de comando e afeta produtos como VMware Cloud Foundation e VMware vSphere Foundation 9.x.x.x, além do VMware Aria Operations 8.x. A correção foi disponibilizada nas versões 9.0.2.0 e 8.18.6, respectivamente. Para clientes que não podem aplicar o patch imediatamente, a Broadcom oferece um script de contorno. Embora a Broadcom tenha reconhecido relatos de exploração ativa da vulnerabilidade, ainda não há detalhes sobre a natureza dos ataques ou os responsáveis. As agências do Federal Civilian Executive Branch (FCEB) têm até 24 de março de 2026 para aplicar as correções. A situação exige atenção imediata, especialmente considerando o potencial impacto em ambientes corporativos que utilizam essas tecnologias.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade do VMware Aria Operations, identificada como CVE-2026-22719, em seu catálogo de Vulnerabilidades Conhecidas e Exploradas, indicando que a falha está sendo utilizada em ataques. A Broadcom, responsável pela VMware, confirmou que está ciente de relatos sobre a exploração da vulnerabilidade, mas não conseguiu confirmar a veracidade das informações. A falha, que permite a injeção de comandos por atacantes não autenticados, pode resultar na execução remota de código durante a migração assistida do produto. A vulnerabilidade foi divulgada e corrigida em 24 de fevereiro de 2026, com uma pontuação CVSS de 8.1, sendo considerada importante. A CISA exige que as agências civis federais tratem o problema até 24 de março de 2026. A Broadcom também disponibilizou um script temporário para mitigar a falha, que deve ser executado como root em cada nó do Aria Operations. Especialistas recomendam que as organizações apliquem os patches de segurança ou implementem as soluções alternativas o mais rápido possível, especialmente se a exploração estiver em andamento.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou novas informações sobre o RESURGE, um implante malicioso utilizado em ataques de zero-day que exploram a vulnerabilidade CVE-2025-0282, visando dispositivos Ivanti Connect Secure. O RESURGE é descrito como um arquivo de objeto compartilhado Linux de 32 bits que permite comunicação encoberta com o atacante, utilizando técnicas sofisticadas de evasão e autenticação em nível de rede. O malware pode sobreviver a reinicializações, criar webshells para roubo de credenciais, criar contas, redefinir senhas e escalar privilégios. A vulnerabilidade crítica foi explorada desde dezembro de 2024 por um ator de ameaças vinculado à China, conhecido internamente como UNC5221. O RESURGE se destaca por sua capacidade de permanecer latente em sistemas até que um ator remoto tente se conectar ao dispositivo comprometido, o que o torna uma ameaça ativa e difícil de detectar. A CISA recomenda que administradores de sistemas utilizem os indicadores de comprometimento (IoCs) atualizados para identificar e remover infecções do RESURGE em dispositivos Ivanti.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma nova vulnerabilidade, identificada como CVE-2026-25108, ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Com uma pontuação CVSS v4 de 8.7, essa falha de injeção de comandos do sistema operacional pode permitir que um usuário autenticado execute comandos arbitrários através de requisições HTTP especialmente elaboradas. A vulnerabilidade afeta as versões 4.2.1 a 4.2.8 e 5.0.0 a 5.0.10 do FileZen, um produto de transferência de arquivos da Soliton Systems K.K. A exploração bem-sucedida dessa falha só é possível se a opção de verificação de antivírus do FileZen estiver ativada. A empresa já recebeu relatos de danos causados por essa vulnerabilidade. Para mitigar o risco, os usuários são aconselhados a atualizar para a versão 5.0.11 ou posterior e a trocar todas as senhas de usuários, uma vez que um atacante pode logar com contas reais. A CISA recomenda que as agências federais dos EUA apliquem as correções necessárias até 17 de março de 2026.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) identificou duas vulnerabilidades críticas no Roundcube Webmail, um cliente de e-mail amplamente utilizado, especialmente em servidores que operam com cPanel. A primeira, CVE-2025-49113, é uma falha de execução remota de código que está sendo ativamente explorada por agentes maliciosos, com mais de 84.000 instalações vulneráveis. A segunda vulnerabilidade, CVE-2025-68461, permite ataques de cross-site scripting (XSS) por atacantes remotos e não autenticados, utilizando a tag animate em documentos SVG. Ambas as falhas foram adicionadas ao catálogo de vulnerabilidades conhecidas da CISA, que exige que as agências federais dos EUA apliquem patches em suas instalações em até três semanas. O Roundcube já lançou versões atualizadas (1.6.12 e 1.5.12) para corrigir essas falhas. A CISA também monitora outras vulnerabilidades no Roundcube, que têm sido alvo de grupos de cibercrime e ameaças patrocinadas por estados, como o grupo russo Winter Vivern. A situação é crítica, e a CISA recomenda a atualização imediata das instalações afetadas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas falhas de segurança do software de webmail Roundcube em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), devido a evidências de exploração ativa. As vulnerabilidades são: CVE-2025-49113, com uma pontuação CVSS de 9.9, que permite a execução remota de código por usuários autenticados devido à falta de validação do parâmetro _from em uma URL; e CVE-2025-68461, com pontuação CVSS de 7.2, que permite a execução de scripts entre sites via a tag animate em documentos SVG. Ambas as falhas foram corrigidas, a primeira em junho de 2025 e a segunda em dezembro do mesmo ano. A empresa de cibersegurança FearsOff, que descobriu a CVE-2025-49113, alertou que a vulnerabilidade foi rapidamente explorada e disponibilizada para venda em um curto espaço de tempo após a divulgação pública. Embora não haja informações sobre os responsáveis pela exploração, o histórico de ataques a software de email sugere que atores de ameaças de nações, como APT28, possam estar envolvidos. As agências do Federal Civilian Executive Branch (FCEB) têm até 13 de março de 2026 para remediar as vulnerabilidades identificadas, a fim de proteger suas redes contra essa ameaça ativa.

Um alerta recente da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) revelou que várias câmeras de segurança da Honeywell apresentam uma falha crítica de segurança, classificada com um escore de 9.8/10. Essa vulnerabilidade, identificada como CVE-2026-1670, permite que atacantes não autenticados acessem feeds de vídeo e até assumam contas de usuários. A falha é caracterizada pela ‘falta de autenticação para funções críticas’, o que significa que um invasor pode alterar o endereço de e-mail de recuperação e comprometer ainda mais a rede alvo. A lista de modelos afetados inclui câmeras utilizadas em ambientes empresariais de médio porte, que são comuns em operações industriais e de infraestrutura crítica. A CISA recomenda que os proprietários das câmeras apliquem patches de segurança imediatamente e adotem medidas adicionais, como isolar redes de controle e utilizar VPNs seguras para acesso remoto. Embora a falha ainda não tenha sido explorada ativamente, a divulgação pode incentivar cibercriminosos a buscar sistemas vulneráveis. Portanto, a situação exige atenção urgente dos responsáveis pela segurança cibernética.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais corrijam uma vulnerabilidade crítica da Dell em seus sistemas em um prazo de três dias. A falha, identificada como CVE-2026-22769, está sendo explorada ativamente por um grupo de hackers suspeito de ser ligado à China, conhecido como UNC6201. Essa vulnerabilidade, que envolve credenciais hardcoded no Dell RecoverPoint, uma solução para backup e recuperação de máquinas virtuais VMware, permite que os atacantes acessem redes de vítimas e implantem malwares, incluindo uma nova backdoor chamada Grimbolt. A CISA incluiu essa falha em seu catálogo de Vulnerabilidades Conhecidas e Explotadas (KEV), destacando a urgência de mitigações. Além disso, a CISA também alertou sobre outra vulnerabilidade crítica em instâncias do BeyondTrust Remote Support, exigindo ações rápidas para proteger as redes. A situação ressalta a importância de uma resposta ágil a vulnerabilidades críticas, especialmente em um cenário onde grupos de hackers estão cada vez mais sofisticados e ativos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre uma vulnerabilidade crítica em diversos produtos de CCTV da Honeywell, que pode permitir acesso não autorizado a feeds de câmeras e sequestro de contas. Identificada pelo pesquisador Souvik Kanda e classificada como CVE-2026-1670, a falha é categorizada como ‘falta de autenticação para função crítica’ e recebeu uma pontuação de severidade crítica de 9.8. A vulnerabilidade permite que um atacante não autenticado altere o endereço de e-mail de recuperação associado a uma conta de dispositivo, possibilitando o sequestro da conta e o acesso não autorizado às imagens das câmeras. A CISA recomenda que os usuários minimizem a exposição de dispositivos de controle em suas redes, utilizando firewalls e métodos seguros de acesso remoto, como VPNs atualizadas. Embora a Honeywell ainda não tenha publicado um aviso sobre a CVE-2026-1670, os usuários são aconselhados a entrar em contato com a equipe de suporte da empresa para orientações sobre correções. Até o momento, não há relatos conhecidos de exploração pública dessa vulnerabilidade.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu quatro novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), destacando a exploração ativa dessas falhas. Entre elas, a CVE-2026-2441, uma vulnerabilidade de uso após a liberação no Google Chrome, com uma pontuação CVSS de 8.8, que pode permitir que atacantes remotos explorem a corrupção de heap através de uma página HTML manipulada. Outra vulnerabilidade, a CVE-2024-7694, afeta o TeamT5 ThreatSonar Anti-Ransomware, permitindo o upload de arquivos maliciosos. A CVE-2020-7796, com uma pontuação CVSS de 9.8, é uma falha de falsificação de solicitação do lado do servidor (SSRF) no Zimbra Collaboration Suite, que pode dar acesso não autorizado a informações sensíveis. Por fim, a CVE-2008-0015, uma vulnerabilidade de estouro de buffer no controle ActiveX do Windows, também foi adicionada. A CISA recomenda que as agências federais apliquem correções até 10 de março de 2026 para garantir proteção adequada.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam suas instâncias do BeyondTrust Remote Support contra uma vulnerabilidade crítica, identificada como CVE-2026-1731, em um prazo de três dias. Essa falha de execução remota de código, resultante de uma injeção de comando do sistema operacional, afeta versões anteriores ao Remote Support 25.3.1 e Privileged Remote Access 24.3.4. Embora a BeyondTrust tenha corrigido suas instâncias SaaS em 2 de fevereiro de 2026, clientes que utilizam versões on-premise precisam aplicar os patches manualmente. A exploração bem-sucedida dessa vulnerabilidade permite que atacantes não autenticados executem comandos do sistema operacional, potencialmente comprometendo sistemas, acessando dados de forma não autorizada e causando interrupções nos serviços. A CISA incluiu a vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas e Explotadas (KEV) e alertou que dispositivos não corrigidos devem ser considerados comprometidos. Este incidente destaca a necessidade urgente de ações corretivas por parte de administradores de sistemas, especialmente em um contexto onde falhas anteriores da BeyondTrust já foram exploradas por grupos de ciberespionagem, como o Silk Typhoon, vinculado ao governo chinês.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA protejam seus sistemas contra uma vulnerabilidade crítica no Microsoft Configuration Manager (ConfigMgr), identificada como CVE-2024-43468. Essa falha, que foi corrigida em outubro de 2024, permite que atacantes remotos não autenticados executem comandos arbitrários com altos privilégios no servidor e na base de dados do ConfigMgr. A vulnerabilidade foi relatada pela empresa de segurança Synacktiv, que também divulgou um código de exploração em novembro de 2024, indicando que a falha está sendo ativamente explorada. A CISA alertou que essas vulnerabilidades são vetores frequentes de ataque e representam riscos significativos para a segurança das agências federais. Embora a ordem se aplique apenas a agências federais, a CISA recomendou que todas as organizações, incluindo o setor privado, tomem medidas para proteger seus sistemas contra essa vulnerabilidade. As agências têm até 5 de março para aplicar os patches necessários, conforme a Diretiva Operacional Vinculativa (BOD) 22-01.

Recentemente, um grave problema de segurança foi descoberto nos produtos BeyondTrust Remote Support (RS) e Privileged Remote Access (PRA), com a vulnerabilidade CVE-2026-1731 recebendo uma pontuação de 9.9 no CVSS. Essa falha permite que atacantes não autenticados executem comandos no sistema operacional ao enviar requisições especialmente elaboradas. A exploração dessa vulnerabilidade foi observada em tempo real, com os atacantes utilizando a função get_portal_info para extrair informações antes de estabelecer um canal WebSocket. A BeyondTrust já lançou patches para corrigir a falha nas versões mais recentes de seus produtos. Além disso, a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) adicionou quatro outras vulnerabilidades ao seu catálogo de Exploited Vulnerabilities, incluindo falhas em sistemas da Apple e SolarWinds, que também estão sendo ativamente exploradas. O cenário destaca a rapidez com que as vulnerabilidades podem ser exploradas, exigindo que as organizações implementem correções rapidamente para proteger seus sistemas contra acessos não autorizados e possíveis interrupções de serviço.

A Microsoft identificou uma intrusão em múltiplas etapas que explorou instâncias expostas do SolarWinds Web Help Desk (WHD) para obter acesso inicial e se mover lateralmente pela rede de organizações. A equipe de pesquisa de segurança da Microsoft não conseguiu confirmar se as falhas exploradas foram as recentemente divulgadas (CVE-2025-40551 e CVE-2025-40536) ou uma vulnerabilidade já corrigida (CVE-2025-26399). As falhas mencionadas têm pontuações CVSS altas, indicando um risco significativo. A CISA dos EUA adicionou a CVE-2025-40551 ao seu catálogo de vulnerabilidades conhecidas exploradas, exigindo que agências federais aplicassem correções até 6 de fevereiro de 2026. Os atacantes conseguiram executar código remotamente e realizar ações como roubo de credenciais e ataques DCSync, simulando um controlador de domínio para extrair hashes de senhas. Para mitigar esses riscos, recomenda-se que as organizações mantenham suas instâncias do WHD atualizadas, removam ferramentas RMM não autorizadas e isolem máquinas comprometidas. A Microsoft enfatiza a importância de um monitoramento eficaz e da aplicação de patches em serviços expostos à internet.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração de uma vulnerabilidade crítica, identificada como CVE-2026-24423, no SmarterMail, um servidor de e-mail e plataforma de colaboração autogerida. Essa falha permite a execução remota de código sem autenticação, afetando versões anteriores à build 9511 do software. O SmarterMail, amplamente utilizado por provedores de serviços gerenciados (MSPs) e pequenas e médias empresas, possui cerca de 15 milhões de usuários em 120 países. A vulnerabilidade foi descoberta por pesquisadores de segurança e corrigida pela SmarterTools em 15 de janeiro. A CISA incluiu a CVE-2026-24423 em seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), destacando que a exploração pode permitir que atacantes direcionem a instância do SmarterMail para servidores HTTP maliciosos, resultando na execução de comandos indesejados. Além disso, foi identificada uma outra falha de bypass de autenticação, que permite a redefinição de senhas de administrador sem verificação. A CISA recomenda que as entidades federais apliquem as atualizações de segurança ou interrompam o uso do produto até 26 de fevereiro de 2026.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu uma diretiva para que as agências do Poder Executivo Civil Federal (FCEB) fortaleçam a gestão do ciclo de vida dos dispositivos de rede de borda e removam aqueles que não recebem mais atualizações de segurança dos fabricantes. Essa medida visa reduzir a dívida técnica e minimizar o risco de comprometimento, uma vez que atores de ameaças patrocinados por estados têm utilizado esses dispositivos como uma via de acesso preferencial para invadir redes-alvo. Dispositivos de borda incluem balanceadores de carga, firewalls, roteadores, switches e dispositivos IoT, que são vulneráveis a ataques cibernéticos. A CISA criou uma lista de dispositivos sem suporte e estabeleceu um cronograma para que as agências atualizem ou desativem esses dispositivos, com prazos que variam de três a 24 meses. A diretiva destaca que dispositivos não suportados representam um risco significativo para os sistemas federais e devem ser removidos das redes empresariais para fortalecer a resiliência cibernética.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma nova diretiva operacional vinculativa que obriga agências federais a identificar e desativar dispositivos de rede que não recebem mais atualizações de segurança dos fabricantes. A CISA alertou que dispositivos de rede com fim de suporte, como roteadores e firewalls, deixam os sistemas federais vulneráveis a novas explorações e expõem a riscos inaceitáveis. A diretiva, chamada BOD 26-02, exige que as agências federais retirem imediatamente hardware e software obsoletos e realizem um inventário de todos os dispositivos em sua lista de fim de suporte em um prazo de três meses. Além disso, as agências têm 12 meses para descomissionar dispositivos que já estavam fora de suporte antes da emissão da diretiva. A CISA também recomenda que todas as organizações sigam essas orientações para proteger seus sistemas contra grupos de ameaças que visam dispositivos de rede. Embora a diretiva se aplique apenas a agências federais dos EUA, a CISA enfatiza a importância de ações proativas para evitar a exploração de vulnerabilidades em dispositivos de rede.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais corrijam uma vulnerabilidade do GitLab, identificada como CVE-2021-39935, que está sendo ativamente explorada em ataques. Essa falha, que permite a execução de requisições do lado do servidor (SSRF), foi corrigida pela GitLab em dezembro de 2021, mas ainda afeta versões do software que vão da 10.5 até a 14.5.2. A CISA alertou que usuários não autorizados poderiam acessar a API CI Lint, comprometendo a segurança das configurações de CI/CD. Embora a ordem se aplique apenas a agências federais, a CISA recomendou que todas as organizações, incluindo as do setor privado, priorizem a correção de suas vulnerabilidades. Atualmente, mais de 49 mil dispositivos com a impressão digital do GitLab estão expostos online, a maioria na China. A GitLab é amplamente utilizada, com mais de 30 milhões de usuários registrados, incluindo grandes empresas como Nvidia e Goldman Sachs. Além disso, a CISA também destacou uma vulnerabilidade crítica no SolarWinds Web Help Desk, exigindo correções em um prazo de três dias. A situação ressalta a necessidade urgente de ações de segurança cibernética em todos os setores.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma falha crítica no SolarWinds Web Help Desk (WHD) ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), classificando-a como ativamente explorada em ataques. A vulnerabilidade, identificada como CVE-2025-40551, possui uma pontuação CVSS de 9.8 e refere-se a uma deserialização de dados não confiáveis, que pode permitir a execução remota de código sem necessidade de autenticação. A SolarWinds lançou correções para essa e outras falhas na versão 2026.1 do WHD. Além disso, outras vulnerabilidades críticas em sistemas como Sangoma FreePBX e GitLab também foram adicionadas ao catálogo da CISA. Embora não haja informações públicas sobre como a CVE-2025-40551 está sendo explorada, o alerta destaca a rapidez com que os atores de ameaças estão se movendo para explorar falhas recém-divulgadas. Agências federais dos EUA devem corrigir essa vulnerabilidade até 6 de fevereiro de 2026, e as demais até 24 de fevereiro de 2026, conforme a Diretriz Operacional Vinculante 22-01.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) identificou uma vulnerabilidade crítica no SolarWinds Web Help Desk, classificada como CVE-2025-40551, que está sendo ativamente explorada em ataques. Esta falha de segurança, originada de uma fraqueza na desserialização de dados não confiáveis, permite que atacantes não autenticados executem comandos remotamente em dispositivos não corrigidos. A SolarWinds lançou uma atualização, a versão 2026.1, em 28 de janeiro, para corrigir essa vulnerabilidade, além de outras falhas de segurança significativas. A CISA emitiu uma diretiva exigindo que as agências federais dos EUA aplicassem patches em seus sistemas em um prazo de três dias, embora tenha incentivado também o setor privado a agir rapidamente. O SolarWinds Web Help Desk é amplamente utilizado por agências governamentais e grandes corporações, com mais de 300.000 clientes em todo o mundo. Dada a frequência com que vulnerabilidades desse software têm sido exploradas, a urgência na aplicação de correções é crítica para evitar possíveis compromissos de segurança.