Cisa

CISA ordena correção de falha crítica no Adobe ColdFusion

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais corrijam uma vulnerabilidade de alta severidade na plataforma de desenvolvimento de aplicativos web Adobe ColdFusion, identificada como CVE-2026-48282. Essa falha afeta as versões 2025.9, 2023.20 e anteriores, permitindo que atacantes remotos executem código em sistemas não corrigidos, sem necessidade de privilégios. A Adobe lançou atualizações de segurança há uma semana, alertando os administradores sobre o alto risco de exploração. O fundador da KEVIntel, Ryan Dewhurst, informou que os ataques começaram a ocorrer apenas duas horas após a divulgação da falha. A CISA incluiu a CVE-2026-48282 em sua lista de vulnerabilidades ativamente exploradas e exigiu que as agências federais aplicassem os patches até sexta-feira, 10 de junho. Além disso, a Adobe corrigiu outras seis falhas críticas na mesma plataforma, embora não tenha confirmado a exploração ativa dessas vulnerabilidades. A situação é preocupante, pois a CISA já adicionou 80 vulnerabilidades de produtos da Adobe à sua lista desde novembro de 2021, com várias delas sendo utilizadas em ataques de ransomware.

CISA alerta sobre vulnerabilidade crítica no Langflow para IA

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais corrigissem uma vulnerabilidade ativa no Langflow, uma ferramenta popular para desenvolvimento de agentes de IA. A falha, identificada como CVE-2026-55255, é uma referência direta insegura (IDOR) que permite a atacantes autenticados acessarem fluxos de outros usuários ao enviar uma solicitação maliciosa ao endpoint /api/v1/responses com o UUID da vítima. A exploração bem-sucedida pode resultar no acesso a dados sensíveis e no consumo de recursos da vítima. A CISA destacou que essa vulnerabilidade é um vetor de ataque frequente e representa riscos significativos para a segurança federal. Além disso, outras falhas no Langflow foram identificadas, incluindo problemas de autenticação e injeção de código. A CISA ordenou que as agências federais garantissem a segurança de seus dispositivos até a última sexta-feira, conforme exigido pela Diretiva Operacional Vinculante 26-04. A exploração dessa vulnerabilidade foi observada pela primeira vez em junho, com motivações financeiras por parte dos atacantes, que buscam computação e credenciais de IA. A situação exige atenção imediata das equipes de segurança cibernética para evitar possíveis compromissos.

CISA adiciona vulnerabilidades críticas ao catálogo de ameaças

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu quatro novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), todas com evidências de exploração ativa. As falhas incluem CVE-2026-48282 e CVE-2026-56290, ambas com pontuação CVSS de 10.0, que permitem a execução remota de código em sistemas vulneráveis, como Adobe ColdFusion e Joomlack Page Builder. A CVE-2026-55255, com pontuação de 6.1, permite que atacantes autenticados contornem autorizações e executem fluxos de outros usuários. A CVE-2026-48908, também com pontuação 10.0, permite o upload irrestrito de arquivos perigosos, resultando na execução de código PHP. A exploração da CVE-2026-48282 foi observada rapidamente após a divulgação pública, com tentativas de ataque originadas da Índia. As organizações são aconselhadas a aplicar correções até 10 de julho de 2026 para proteger suas redes. O cenário destaca a urgência de ações corretivas, especialmente para plataformas amplamente utilizadas como Joomla e WordPress.

CISA alerta sobre vulnerabilidade crítica no Microsoft SharePoint

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração de uma vulnerabilidade crítica no Microsoft SharePoint, identificada como CVE-2026-45659. Essa falha de execução remota de código, resultante da desserialização de dados não confiáveis, permite que atacantes com privilégios baixos executem códigos arbitrários em servidores SharePoint não corrigidos, sem necessidade de interação do usuário. A CISA destacou que qualquer atacante autenticado, com permissões mínimas de Membro do Site, pode explorar essa vulnerabilidade, que é acessível pela rede e de baixa complexidade. A Microsoft lançou atualizações de segurança para as versões do SharePoint afetadas em 21 de maio de 2026, após a falha ter sido acidentalmente omitida nas atualizações de segurança anteriores. A CISA também incluiu a vulnerabilidade em seu catálogo de vulnerabilidades conhecidas exploradas, exigindo que as agências federais dos EUA protejam seus servidores até o próximo sábado. A situação é preocupante, pois mais de 10.000 servidores SharePoint estão expostos online, e a falta de informações sobre quantos já foram corrigidos aumenta o risco de ataques em larga escala.

Falha crítica no Microsoft SharePoint Server é explorada ativamente

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no Microsoft SharePoint Server em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2026-45659, possui uma pontuação CVSS de 8.8 e permite a execução remota de código devido à desserialização de dados não confiáveis. A Microsoft já disponibilizou correções em maio de 2026 para as versões afetadas do SharePoint. A CISA alerta que qualquer atacante autenticado pode explorar essa vulnerabilidade, sem a necessidade de privilégios elevados, o que a torna particularmente preocupante. Além disso, a Microsoft revelou que investigações de ransomware identificaram dois grupos de atacantes operando simultaneamente em uma mesma rede, complicando a resposta a incidentes. Um dos grupos, conhecido como Storm-2603, tem explorado vulnerabilidades em servidores SharePoint desde 2025, utilizando técnicas para mascarar suas atividades. Diante da exploração ativa, agências federais dos EUA foram orientadas a aplicar as correções até 4 de julho de 2026.

CISA dá prazo para corrigir vulnerabilidades críticas em sistemas Cisco e PTC

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) estabeleceu um prazo até domingo, 28 de junho, para que agências federais corrijam uma vulnerabilidade crítica no Cisco Unified Communications Manager Server, identificada como CVE-2026-20230. Esta falha, que permite a exploração remota sem autenticação através de requisições HTTP manipuladas, foi classificada como uma falha de falsificação de requisições do lado do servidor (SSRF). A Cisco já disponibilizou um patch em 3 de junho, mas a exploração ativa foi confirmada recentemente por uma startup de detecção de ameaças.

FBI e CISA alertam sobre phishing que visa usuários do Signal

O FBI e a CISA emitiram um alerta sobre uma campanha de phishing que visa usuários do aplicativo Signal, associada a serviços de inteligência russos. A nova tática dos atacantes envolve a tentativa de roubo das Chaves de Recuperação de Backup do Signal, permitindo acesso às mensagens históricas dos usuários. Anteriormente, os ataques focavam em códigos de verificação e PINs, mas agora os criminosos se fazem passar por equipes de suporte do Signal, alegando a necessidade de uma verificação em duas etapas devido a ataques recentes. Os alvos incluem figuras de alto valor de inteligência, como oficiais governamentais e jornalistas, especialmente aqueles localizados na Ucrânia. O FBI alerta que, se um usuário fornecer sua Chave de Recuperação, os atacantes podem restaurar o backup em seus próprios dispositivos. Além disso, a criação de uma nova conta Signal com o mesmo número de telefone não invalida a chave roubada, o que representa um risco significativo. O alerta recomenda que os usuários nunca compartilhem suas chaves de recuperação e que verifiquem a autenticidade das comunicações recebidas. O FBI também sugere que qualquer vítima da campanha reporte o incidente ao IC3 ou a um escritório local do FBI.

Vulnerabilidade crítica em software PDM da PTC é explorada ativamente

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica de execução remota de código (CVE-2026-12569) no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Essa falha, com uma pontuação CVSS de 9.3, afeta os softwares PTC Windchill PDMlink e PTC FlexPLM, permitindo que atacantes executem códigos arbitrários ao enviar requisições maliciosas. A PTC confirmou que, apesar da liberação de patches, a exploração da vulnerabilidade continua, com atacantes utilizando shells web JSP para comprometer sistemas vulneráveis. A empresa divulgou endereços IP associados a atividades maliciosas e recomendações de mitigação, como bloquear IPs suspeitos e verificar logs de acesso. Essa situação destaca a rapidez com que os cibercriminosos estão se aproveitando de vulnerabilidades recém-descobertas, tornando-se um alerta para empresas que utilizam essas soluções de gerenciamento de dados e ciclo de vida de produtos.

CISA alerta sobre falha crítica em dispositivos Lantronix EDS5000

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma falha crítica de segurança nos dispositivos da série EDS5000 da Lantronix. A vulnerabilidade, identificada como CVE-2025-67038, possui uma pontuação CVSS de 9.8 e permite a injeção de código, possibilitando a execução de comandos arbitrários com privilégios elevados. O problema reside no módulo HTTP RPC, que executa comandos de shell sem a devida sanitização dos dados de entrada, permitindo que atacantes injetem comandos maliciosos. A CISA recomendou que as agências do governo federal dos EUA apliquem as correções até 26 de junho de 2026. Além disso, a CISA também confirmou a exploração ativa de três vulnerabilidades críticas no sistema Ubiquiti UniFi OS, que podem permitir mudanças não autorizadas no sistema e acesso a arquivos sensíveis. A combinação dessas falhas representa um risco significativo à segurança das redes, especialmente considerando que dispositivos UniFi OS são frequentemente integrados em redes centrais, facilitando movimentos laterais de atacantes. As organizações devem estar atentas e implementar as correções necessárias para mitigar esses riscos.

CISA alerta sobre exploração de falhas em Ubiquiti e Lantronix

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre hackers que estão explorando vulnerabilidades em sistemas Ubiquiti UniFi OS e servidores Lantronix. As falhas identificadas incluem CVE-2026-34908, CVE-2026-34909 e CVE-2026-34910, que permitem a execução remota de comandos e acesso não autorizado a sistemas. A Ubiquiti lançou atualizações de segurança em maio, mas a CISA recomenda que as agências federais apliquem essas correções em até três dias. Além disso, a vulnerabilidade CVE-2025-67038 nos servidores Lantronix permite a injeção de comandos de sistema, afetando o modelo EDS5000. A Lantronix também disponibilizou um patch para essa falha. Apesar da gravidade das vulnerabilidades, a CISA não divulgou detalhes sobre a exploração observada. Administradores de sistemas devem agir rapidamente para aplicar as atualizações e mitigações recomendadas, uma vez que a exploração dessas falhas pode levar a compromissos significativos de segurança.

CISA alerta sobre ataque FortiBleed a dispositivos Fortinet

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou os clientes da Fortinet sobre uma campanha de ataque chamada FortiBleed, que comprometeu mais de 86 mil dispositivos FortiGate acessíveis pela internet. Acredita-se que o ataque seja realizado por atores de ameaça de língua russa, que utilizam uma abordagem automatizada para explorar credenciais padrão e específicas de organizações. Dados da SOCRadar indicam que 35% das credenciais comprometidas são contas administrativas genéricas, enquanto 28,3% são contas do sistema Fortinet. Os setores mais afetados incluem telecomunicações, governo e educação, com a maioria das exposições localizadas na Índia, EUA, México, Colômbia e Tailândia. O ataque envolve a varredura em massa de dispositivos Fortinet e o uso de combinações conhecidas de login e senha para obter acesso. A CISA recomenda que as organizações terminem todas as sessões ativas, redefinam senhas e implementem autenticação multifator (MFA) para mitigar os riscos. O incidente destaca a importância de práticas adequadas de segurança de senhas e a vulnerabilidade de dispositivos de segurança de perímetro a ataques automatizados.

CISA alerta sobre vulnerabilidade crítica no Splunk Enterprise

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais protejam seus sistemas contra uma vulnerabilidade crítica no Splunk Enterprise, identificada como CVE-2026-20253. Essa falha afeta versões do software entre 10.0.0 a 10.2.3, permitindo que atacantes remotos não autorizados criem ou truncem arquivos arbitrários em dispositivos vulneráveis através de um endpoint do serviço PostgreSQL. A falta de controles de autenticação nesse endpoint é a principal causa da vulnerabilidade, conforme indicado pela equipe de segurança da Splunk. Após a descoberta, a CISA ordenou que as agências federais aplicassem patches até domingo, devido à exploração ativa da falha. A empresa também recomendou que administradores que não consigam aplicar as correções imediatamente desativem o serviço PostgreSQL, embora isso possa afetar outras funcionalidades do sistema. A situação é crítica, pois a exploração dessa vulnerabilidade pode levar a ataques de execução remota de código, representando um risco significativo para a segurança das informações. A CISA enfatizou a importância de avaliar a exposição à internet de cada ativo e seguir as diretrizes de correção estabelecidas.

CISA alerta sobre vazamento de credenciais da Fortinet em 74 mil dispositivos

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para clientes da Fortinet após a exposição de quase 74 mil credenciais de firewalls e VPNs em um vazamento de dados conhecido como ‘FortiBleed’. O incidente envolve credenciais comprometidas que foram utilizadas por atores maliciosos para atacar dispositivos Fortinet acessíveis pela internet em organizações governamentais e do setor privado ao redor do mundo. A CISA recomenda que os proprietários de dispositivos FortiGate encerrem todas as sessões de VPN e administrativas, redefinam senhas e implementem autenticação multifator resistente a phishing. O vazamento foi descoberto pelo pesquisador de segurança Volodymyr Diachenko, que encontrou um servidor contendo credenciais válidas, incluindo nomes de usuário e senhas em texto claro. A análise da empresa de inteligência em segurança Hudson Rock revelou que o vazamento abrange 21.632 domínios únicos em 194 países, afetando grandes organizações como Samsung, Mercedes-Benz e Toyota. A operação está ligada a um grupo de ameaças de língua russa, que realizou mais de 1,16 bilhão de tentativas de credenciais contra alvos FortiGate. A CISA monitora 26 falhas de segurança da Fortinet que foram exploradas em ataques recentes, incluindo 13 relacionadas a ransomware.

CISA ordena correção de falha crítica no plugin JCE do Joomla

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais corrijam uma falha de alta severidade no plugin Widget Factory Joomla Content Editor (JCE), que está sendo ativamente explorada. A vulnerabilidade, identificada como CVE-2026-48907, permite que atacantes executem código malicioso sem privilégios, utilizando ataques de baixa complexidade em implementações do Joomla que utilizam o editor WYSIWYG JCE. A CISA alertou que a falha permite o upload e a execução de código PHP por meio da criação de novos perfis de editor para usuários não autenticados. O time de segurança do JCE lançou uma atualização em junho, recomendando que os usuários apliquem o patch imediatamente, pois a exploração da vulnerabilidade é automatizada e o código de exploração está disponível publicamente. Além de atualizar, os usuários devem realizar uma série de ações para limpar sites comprometidos, incluindo a exclusão de perfis maliciosos e a execução de uma varredura completa em busca de malware. A CISA incluiu a vulnerabilidade em sua lista de falhas ativamente exploradas e ordenou que as agências federais garantam a segurança de seus sistemas até sexta-feira, conforme a Diretriz Operacional Vinculativa (BOD) 26-04.

Vulnerabilidade crítica no Joomla Content Editor afeta segurança

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no Joomla Content Editor (JCE) em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2026-48907, possui uma pontuação CVSS de 10.0 e permite a execução arbitrária de código devido a um controle de acesso inadequado. Essa vulnerabilidade afeta as versões do JCE de 1.0.0 a 2.9.99.4 e foi corrigida na versão 2.9.99.5, lançada em 3 de junho de 2026. A CISA alertou que a falha pode permitir que usuários não autenticados criem perfis de editor e façam upload de código PHP malicioso.

CISA dá três dias para agências dos EUA corrigirem vulnerabilidade crítica

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta urgente para que agências governamentais protejam seus servidores contra uma vulnerabilidade crítica (CVE-2026-48172) no plugin de cPanel da LiteSpeed. Essa falha, que permite a escalada de privilégios a root em servidores de hospedagem compartilhada, foi identificada como sendo ativamente explorada desde junho. A vulnerabilidade afeta todas as versões do plugin anteriores à 2.4.8 e é resultado de uma fraqueza no ‘seguimento de symlink do UNIX’. A CISA ordenou que as agências federais realizem a correção em um prazo de três dias, conforme a Diretriz Operacional Vinculativa (BOD) 26-04, que prioriza o patching baseado no risco de exploração. Os usuários são aconselhados a verificar se seus servidores estão vulneráveis utilizando um comando específico e, caso haja qualquer saída, investigar os logs do sistema para identificar possíveis danos. A CISA também destacou que essa vulnerabilidade é um vetor de ataque frequente para agentes cibernéticos maliciosos, representando riscos significativos para a segurança federal.

Vulnerabilidade no Plugin LiteSpeed cPanel exige atenção urgente

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança no plugin LiteSpeed cPanel em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2026-54420, possui uma pontuação CVSS de 8.5 e permite que usuários com acesso FTP ou web shell escalem privilégios para root em servidores de hospedagem compartilhada que utilizam CloudLinux ou CageFS. A falha ocorre devido ao manuseio inadequado de symlinks por parte do plugin LiteSpeed cPanel antes da versão 2.4.8. Embora ainda não se saiba como a vulnerabilidade está sendo explorada ativamente, a LiteSpeed recomenda que os usuários executem um comando específico para verificar se seus servidores foram afetados. Caso o comando retorne resultados, a empresa sugere a atualização para a versão 5.3.2.1 do LiteSpeed WHM Plugin para corrigir a falha. A descoberta da vulnerabilidade foi creditada à Namecheap, que alertou sobre o problema em 31 de maio de 2026.

CISA ordena correção de falha crítica no Ivanti Sentry em 3 dias

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais corrijam uma vulnerabilidade crítica no Ivanti Sentry, identificada como CVE-2026-10520, em um prazo de três dias. Essa falha, que permite a injeção de comandos no sistema operacional, já está sendo explorada ativamente por atacantes, conforme relatado pela Shadowserver, que identificou que muitos gateways Sentry expostos na internet foram comprometidos. Apesar de a Ivanti ter lançado patches para a vulnerabilidade, a empresa não atualizou seu aviso sobre a exploração ativa da falha. A CISA incluiu a CVE-2026-10520 em seu catálogo de vulnerabilidades conhecidas e alertou que esse tipo de vulnerabilidade é um vetor comum de ataque, representando riscos significativos para a segurança federal. A nova diretiva operacional, BOD 26-04, exige que agências federais priorizem a correção de falhas em ativos expostos publicamente. Nos últimos anos, a CISA já havia sinalizado 35 vulnerabilidades em produtos da Ivanti, com 12 delas sendo alvo de grupos de ransomware.

CISA prioriza atualizações de segurança para agências federais dos EUA

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) anunciou a nova Diretriz Operacional Vinculativa 26-04, que prioriza atualizações de segurança para agências do Poder Executivo Civil Federal (FCEB). O objetivo é reduzir a ameaça de ciberataques ao setor público, exigindo que as agências remedeiem vulnerabilidades de alto risco em prazos acelerados, que podem ser de até três dias. A CISA afirma que a nova diretriz substitui as anteriores BOD 19-02 e BOD 22-01, introduzidas em 2019 e 2021, respectivamente. A priorização das correções é baseada em quatro considerações principais: exposição pública do ativo, presença da vulnerabilidade no catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), possibilidade de exploração automatizada e controle total ou parcial do sistema pelos atacantes. As agências devem atualizar suas políticas de gerenciamento de vulnerabilidades e relatar o status de KEV em um prazo de 60 dias. A nova diretriz também se aplica a sistemas em nuvem e ambientes de terceiros, influenciando a indústria de cibersegurança como um todo.

CISA adiciona novas vulnerabilidades críticas ao catálogo KEV

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu três novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) após relatos de exploração ativa. As vulnerabilidades são: CVE-2026-20245, com um escore CVSS de 7.8, que afeta o Cisco Catalyst SD-WAN Manager, permitindo que um atacante local autenticado execute comandos arbitrários; CVE-2026-11645, com um escore CVSS de 8.8, que impacta o Google Chrome V8, possibilitando que um atacante remoto execute código arbitrário através de uma página HTML maliciosa; e CVE-2026-7473, com um escore CVSS de 6.9, que afeta o sistema operacional extensível da Arista (EOS), permitindo a exploração de tráfego de túnel não configurado. A Arista reconheceu que a vulnerabilidade CVE-2026-7473 está sendo explorada ativamente, mas não planeja lançar um patch, citando riscos de quebra de configurações existentes. Em vez disso, a empresa sugere a aplicação de listas de controle de acesso (ACLs) para mitigar o problema. As agências do governo federal dos EUA foram instruídas a implementar correções ou mitigação até 23 de junho de 2026.

CISA ordena proteção contra vulnerabilidade crítica em VPNs da Check Point

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA protejam suas implementações de VPN de Acesso Remoto e Acesso Móvel da Check Point contra uma vulnerabilidade crítica, identificada como CVE-2026-50751. Essa falha de segurança permite que atacantes remotos não autenticados contornem a autenticação e estabeleçam conexões VPN em dispositivos afetados, especialmente aqueles que utilizam o protocolo de troca de chaves IKEv1, que já está obsoleto. A Check Point lançou atualizações de segurança para corrigir essa vulnerabilidade, que foi explorada em ataques que começaram em 7 de maio e aumentaram durante o fim de semana. Embora os ataques tenham afetado apenas algumas dezenas de organizações globalmente, a Check Point associou um dos incidentes ao grupo de ransomware Qilin, que já comprometeu mais de 400 vítimas desde sua aparição em agosto de 2022. A CISA incluiu a CVE-2026-50751 em seu catálogo de Vulnerabilidades Conhecidas e Explotadas, exigindo que as agências federais implementem as correções até 11 de junho. A agência também recomendou que equipes de segurança, incluindo as do setor privado, adotem as atualizações de segurança imediatamente.

CISA alerta sobre vulnerabilidade crítica no BerriAI LiteLLM

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no BerriAI LiteLLM em seu catálogo de Vulnerabilidades Conhecidas (KEV), devido a evidências de exploração ativa. A falha, identificada como CVE-2026-42271, possui uma pontuação CVSS de 8.7 e permite que usuários autenticados executem comandos arbitrários no host. A vulnerabilidade afeta versões específicas do pacote Python LiteLLM, onde dois endpoints de teste aceitam configurações completas do servidor, possibilitando a execução de comandos como subprocessos no host proxy. Os mantenedores do LiteLLM informaram que a segurança dos endpoints dependia apenas de uma chave de API válida, permitindo que qualquer usuário autenticado, incluindo aqueles com privilégios elevados, executasse comandos arbitrários. Para mitigar a falha, foi lançada uma atualização (versão 1.83.7) que exige o papel PROXY_ADMIN para acessar os endpoints. Além disso, uma cadeia de exploração foi identificada, combinando essa vulnerabilidade com outra (CVE-2026-48710), resultando em uma pontuação CVSS crítica de 10.0, permitindo a execução remota de código sem autenticação. Os usuários são aconselhados a atualizar imediatamente suas versões do LiteLLM e Starlette, além de implementar medidas de mitigação se a atualização não for viável.

CISA alerta sobre vulnerabilidade crítica no SolarWinds Serv-U

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança de alta gravidade no software de servidor de arquivos multi-protocolo SolarWinds Serv-U em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2026-28318, possui uma pontuação CVSS de 7.5 e é classificada como um bug de negação de serviço (DoS), que pode causar a queda do serviço sob certas condições. Segundo a SolarWinds, a falha é suscetível a requisições POST especialmente elaboradas que podem derrubar o serviço sem necessidade de autenticação, utilizando o cabeçalho Content-Encoding: deflate. A empresa já lançou uma correção na versão 15.5.4 HF1 do Serv-U e recomenda que os usuários limitem o acesso a endereços conhecidos e bloqueiem requisições que contenham “content-encoding”. A CISA ordenou que as agências do governo federal dos EUA resolvam a falha até 19 de junho de 2026. Embora a exploração ativa tenha sido confirmada, não há informações sobre como a vulnerabilidade está sendo utilizada em ataques reais ou quantas instâncias do Serv-U expostas à internet foram comprometidas.

CISA alerta sobre exploração de falha crítica no SolarWinds Serv-U

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica no software Serv-U da SolarWinds, que foi recentemente corrigida. A falha, identificada como CVE-2026-28318, permite que atacantes remotos provoquem a queda do serviço sem necessidade de autenticação, utilizando requisições POST especialmente elaboradas. A SolarWinds lançou um patch para corrigir essa vulnerabilidade, mas a CISA observou que a exploração já está ocorrendo na prática, levando a agência a incluir a falha em seu Catálogo de Vulnerabilidades Conhecidas. Administradores que não puderem aplicar a correção imediatamente são aconselhados a restringir o acesso a endereços conhecidos e bloquear requisições POST que contenham “content-encoding”. Atualmente, mais de 12.000 servidores Serv-U estão expostos online, o que representa um risco significativo, especialmente considerando que grupos de cibercrime têm historicamente explorado falhas nesse software para roubar dados sensíveis. A CISA enfatiza a necessidade de que todas as organizações, incluindo o setor privado, tomem medidas para proteger suas redes contra esses ataques.

CISA alerta sobre vulnerabilidades críticas no Linux e Android

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre hackers que estão explorando vulnerabilidades no kernel do Linux e no sistema operacional Android. A mais recente falha, identificada como CVE-2025-48595, é uma vulnerabilidade de estouro de inteiro de alta severidade no Android Framework, que pode ser utilizada para obter privilégios elevados. Essa falha afeta as versões do Android 14 a 16 e não requer interação do usuário para ser explorada. Embora o Google tenha indicado que a exploração dessa vulnerabilidade pode estar ocorrendo de forma limitada, não foram fornecidos detalhes específicos sobre as atividades ou informações técnicas sobre a falha. O problema foi corrigido com a liberação de patches de segurança em junho de 2026.

Falha crítica no Oracle WebLogic Server pode comprometer dados

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no Oracle WebLogic Server em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Identificada como CVE-2024-21182, essa falha possui um escore CVSS de 7.5 e permite que atacantes não autenticados, com acesso à rede, assumam o controle de servidores vulneráveis. A CISA alertou que ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos. Embora não haja relatos públicos sobre a exploração ativa dessa vulnerabilidade, falhas anteriores no WebLogic foram frequentemente utilizadas para formar botnets, minerar criptomoedas e implantar ransomware. A Oracle lançou um patch para corrigir essa vulnerabilidade em julho de 2024. Diante da exploração ativa, a CISA recomenda que as agências do governo federal dos EUA apliquem as correções necessárias até 4 de junho de 2026 para proteger suas redes.

CISA ordena proteção contra vulnerabilidade crítica do Oracle WebLogic

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais reforcem a segurança de seus sistemas contra uma vulnerabilidade crítica no Oracle WebLogic Server, identificada como CVE-2024-21182. Essa falha, que foi corrigida há dois anos, está sendo ativamente explorada em ataques cibernéticos. O Oracle WebLogic Server é um servidor de aplicações Java utilizado em grandes aplicações distribuídas. A vulnerabilidade permite que atacantes não autenticados comprometam o servidor remotamente, podendo resultar em acesso não autorizado a dados críticos. Atualmente, mais de 1.592 servidores WebLogic estão expostos online e vulneráveis a essa falha. A CISA recomendou que, além das agências federais, todas as organizações, incluindo o setor privado, apliquem os patches de segurança o mais rápido possível. A vulnerabilidade é considerada um vetor de ataque comum e representa riscos significativos para a segurança das informações. A CISA também destacou a importância de seguir as orientações do fornecedor e, se necessário, descontinuar o uso do produto até que as correções sejam aplicadas.

CISA dá prazo para agências dos EUA corrigirem vulnerabilidade crítica

A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) emitiu um alerta urgente para que agências federais do país protejam seus servidores contra uma vulnerabilidade crítica no plugin LiteSpeed cPanel, identificada como CVE-2026-48172. Essa falha de escalonamento de privilégios permite que atacantes remotos, sem privilégios, executem scripts arbitrários com privilégios de root, devido a uma má gestão das funcionalidades de habilitar/desabilitar Redis. A LiteSpeed lançou atualizações de segurança para corrigir a falha e recomendou que os usuários atualizem o plugin para a versão mais recente. A CISA também incluiu essa vulnerabilidade em seu catálogo de falhas ativamente exploradas, exigindo que as agências federais apliquem patches até a meia-noite de 29 de maio. Embora a diretiva se aplique apenas a agências federais, a CISA instou o setor privado a priorizar a correção dessa vulnerabilidade, que representa um vetor de ataque frequente para cibercriminosos. Os usuários devem verificar se seus servidores estão vulneráveis usando um comando específico e tomar medidas para bloquear IPs suspeitos.

CISA dá prazo para agências dos EUA corrigirem falha crítica no Drupal

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou que agências governamentais têm até a noite de quarta-feira para corrigir uma vulnerabilidade de injeção SQL no sistema de gerenciamento de conteúdo Drupal, identificada como CVE-2026-9082. Essa falha, descoberta pelo pesquisador Michael Maturi, permite que atacantes realizem injeções SQL arbitrárias em sites que utilizam PostgreSQL, sem necessidade de autenticação. A exploração bem-sucedida pode resultar em divulgação de informações, escalonamento de privilégios e execução remota de código. A equipe de segurança do Drupal classificou a vulnerabilidade como “altamente crítica” e já foram detectadas tentativas de exploração em mais de 15.000 sites em 65 países, com foco em setores como jogos e serviços financeiros. A CISA incluiu a falha em seu Catálogo de Vulnerabilidades Conhecidas (KEV) e recomendou que todas as organizações, incluindo as do setor privado, apliquem os patches o mais rápido possível. A CISA enfatizou a importância de mitigar essa vulnerabilidade, que representa um vetor de ataque frequente para cibercriminosos.

Falha crítica de segurança no Drupal Core é explorada ativamente

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha crítica de segurança no Drupal Core em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2026-9082, possui uma pontuação CVSS de 6.5 e é uma falha de injeção SQL que afeta todas as versões suportadas do Drupal Core. Essa falha pode permitir a escalada de privilégios e execução remota de código através de requisições especialmente elaboradas. Menos de dois dias após a liberação de correções, a Drupal confirmou que tentativas de exploração estão sendo detectadas, com mais de 15.000 tentativas de ataque em quase 6.000 sites em 65 países, principalmente em sites de serviços financeiros e de jogos. As agências do governo federal dos EUA foram aconselhadas a aplicar as correções até 27 de maio de 2026 para garantir proteção adequada. A natureza da vulnerabilidade sugere que, embora a atividade atual seja predominantemente de reconhecimento, a exploração bem-sucedida pode rapidamente evoluir para extração de dados ou escalada de privilégios.

CISA adiciona falhas críticas em Langflow e Trend Micro Apex One

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), afetando o Langflow e o Trend Micro Apex One. A primeira, CVE-2025-34291, com um escore CVSS de 9.4, é uma falha de validação de origem no Langflow que permite a execução de código arbitrário, comprometendo totalmente o sistema. A segunda, CVE-2026-34926, com um escore CVSS de 6.7, é uma vulnerabilidade de travessia de diretório nas versões on-premise do Apex One, que pode ser explorada por um atacante local com credenciais administrativas para injetar código malicioso. Relatórios indicam que a falha no Langflow foi explorada por um grupo de hackers iraniano, MuddyWater, para obter acesso inicial a redes-alvo. A CISA exige que as agências federais apliquem correções até 4 de junho de 2026, dada a gravidade da exploração ativa dessas vulnerabilidades.

Vulnerabilidade crítica no Cisco Catalyst SD-WAN exige atenção urgente

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma nova vulnerabilidade crítica no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), afetando o Cisco Catalyst SD-WAN Controller. A falha, identificada como CVE-2026-20182, permite que atacantes remotos não autenticados contornem a autenticação e obtenham privilégios administrativos no sistema. Com uma pontuação de 10.0 no sistema CVSS, a vulnerabilidade é considerada de máxima gravidade. A Cisco alertou que a exploração ativa dessa falha está ligada a um grupo de ameaças identificado como UAT-8616, que também está por trás da exploração de outras vulnerabilidades relacionadas. Os atacantes têm utilizado códigos de exploração disponíveis publicamente para implantar shells web, permitindo a execução de comandos arbitrários. A CISA exige que as agências do governo federal dos EUA remediem a vulnerabilidade até 17 de maio de 2026. Dada a gravidade da situação, a Cisco recomenda que os clientes sigam as orientações para proteger seus ambientes.

CISA dá prazo para agências dos EUA corrigirem vulnerabilidade crítica

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais corrijam uma vulnerabilidade de alta severidade no Ivanti Endpoint Manager Mobile (EPMM), identificada como CVE-2026-6973. Essa falha permite que atacantes com privilégios administrativos executem código arbitrário remotamente em sistemas que utilizam versões do EPMM 12.8.0.0 e anteriores. A Ivanti recomendou a atualização para as versões 12.6.1.1, 12.7.0.1 e 12.8.0.1, além de revisar e rotacionar credenciais de contas administrativas. Embora a exploração da vulnerabilidade tenha sido limitada até o momento, a CISA alertou que esse tipo de falha é um vetor comum para ataques cibernéticos maliciosos, representando riscos significativos para a segurança das agências federais. A Ivanti já havia corrigido outras falhas críticas em janeiro, e a CISA reiterou a importância de ações rápidas para mitigar riscos. A Shadowserver, organização de segurança sem fins lucrativos, identificou mais de 800 dispositivos EPMM expostos online, mas não há informações sobre quantos já foram corrigidos. O prazo para a correção é até a meia-noite de domingo, 10 de maio.

CISA ordena proteção contra vulnerabilidade crítica do Windows

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam seus sistemas Windows contra uma vulnerabilidade crítica, identificada como CVE-2026-32202. Esta falha de segurança, relatada pela empresa de cibersegurança Akamai, é uma vulnerabilidade de ‘zero-click’ que permite o roubo de credenciais sem a necessidade de interação do usuário. A vulnerabilidade foi deixada após um patch incompleto de uma falha anterior de execução remota de código (CVE-2026-21510) em fevereiro. O grupo de ciberespionagem russo APT28 já explorou a falha anterior em ataques direcionados à Ucrânia e países da UE. A CISA incluiu a CVE-2026-32202 em seu Catálogo de Vulnerabilidades Conhecidas (KEV) e ordenou que as agências federais aplicassem patches até 12 de maio. A agência alertou que esse tipo de vulnerabilidade é um vetor frequente de ataque e representa riscos significativos para a segurança federal. Embora a ordem se aplique apenas a agências federais, a CISA incentivou todas as equipes de segurança a priorizarem a correção dessa vulnerabilidade em suas redes.

CISA adiciona falhas de segurança críticas ao catálogo de vulnerabilidades

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), com base em evidências de exploração ativa. A primeira, CVE-2024-1708, é uma vulnerabilidade de travessia de caminho no ConnectWise ScreenConnect, com uma pontuação CVSS de 8.4, que permite a execução remota de código e pode comprometer dados confidenciais. Esta falha foi corrigida em fevereiro de 2024. A segunda, CVE-2026-32202, com uma pontuação CVSS de 4.3, é uma falha no mecanismo de proteção do Microsoft Windows Shell, permitindo que atacantes não autorizados realizem spoofing em redes. Essa vulnerabilidade foi corrigida em abril de 2026. A inclusão da CVE-2026-32202 no catálogo ocorreu após a Microsoft reconhecer que a falha estava sendo ativamente explorada, relacionada a um patch incompleto de outra vulnerabilidade. A CVE-2024-1708 tem sido explorada em conjunto com a CVE-2024-1709, uma falha crítica de bypass de autenticação, em ataques associados a grupos de ameaças, incluindo um ator baseado na China. As agências do governo dos EUA têm até 12 de maio de 2026 para aplicar as correções necessárias.

CISA adiciona novas vulnerabilidades críticas ao catálogo de ameaças

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu quatro novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), afetando o software SimpleHelp, o servidor Samsung MagicINFO 9 e os roteadores D-Link DIR-823X. As falhas, que apresentam pontuações CVSS variando de 7.2 a 9.9, permitem que atacantes escalem privilégios, executem comandos arbitrários e realizem uploads de arquivos maliciosos. A vulnerabilidade CVE-2024-57726, por exemplo, permite que técnicos com baixos privilégios criem chaves de API com permissões excessivas, enquanto a CVE-2024-57728 possibilita o upload de arquivos em locais não autorizados, potencialmente executando código malicioso. Além disso, a CVE-2024-7399 no Samsung MagicINFO 9 Server e a CVE-2025-29635 nos roteadores D-Link também foram identificadas como vetores de ataque ativos, com ligações a campanhas de ransomware e botnets, como a Mirai. A CISA recomenda que as agências federais apliquem correções ou descontinuem o uso dos dispositivos afetados até 8 de maio de 2026 para mitigar os riscos.

Agências de Cibersegurança Alertam sobre Malware Firestarter em Dispositivos Cisco

Agências de cibersegurança dos EUA e do Reino Unido emitiram um alerta sobre um malware personalizado chamado Firestarter, que persiste em dispositivos Cisco Firepower e Secure Firewall que utilizam o software Adaptive Security Appliance (ASA) ou Firepower Threat Defense (FTD). O malware, atribuído a um ator de ameaças conhecido como UAT-4356, é utilizado em campanhas de ciberespionagem e permite acesso remoto contínuo mesmo após a aplicação de patches. A vulnerabilidade inicial explorada foi identificada como CVE-2025-20333, relacionada a uma falha de autorização, e CVE-2025-20362, um bug de estouro de buffer.

CISA dá prazo para agências dos EUA corrigirem vulnerabilidade da Cisco

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou as agências governamentais sobre uma vulnerabilidade no Catalyst SD-WAN Manager, que está sendo ativamente explorada em ataques. A falha, identificada como CVE-2026-20133, permite que atacantes remotos não autenticados acessem informações sensíveis em dispositivos não corrigidos. A Cisco já havia lançado um patch para essa vulnerabilidade em fevereiro, mas a CISA agora exige que as agências federais apliquem as correções até 24 de abril. A vulnerabilidade é resultado de restrições insuficientes de acesso ao sistema de arquivos, permitindo que um invasor acesse a API do sistema afetado. Além disso, a CISA incluiu essa falha em seu Catálogo de Vulnerabilidades Conhecidas (KEV) devido a evidências de exploração ativa. A Cisco ainda não confirmou a exploração da falha, mas já havia identificado outras vulnerabilidades críticas em seus produtos. A situação destaca a importância de uma resposta rápida a vulnerabilidades em sistemas amplamente utilizados, como os da Cisco, que são comuns em diversas organizações.

CISA adiciona novas vulnerabilidades críticas ao catálogo KEV

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu recentemente oito novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), destacando três falhas críticas que afetam o Cisco Catalyst SD-WAN Manager. Entre as vulnerabilidades, a CVE-2025-32975 se destaca com um escore CVSS de 10.0, permitindo que atacantes se façam passar por usuários legítimos sem credenciais válidas. Outras falhas incluem a CVE-2023-27351, que permite a bypass de autenticação no PaperCut NG/MF, e a CVE-2024-27199, que possibilita ações administrativas limitadas no JetBrains TeamCity. A CISA recomenda que as agências do governo federal dos EUA abordem as vulnerabilidades da Cisco até 23 de abril de 2026, e as demais até 4 de maio de 2026. A exploração ativa dessas falhas foi observada, com grupos de ameaças conhecidos, como Lace Tempest, utilizando-as em ataques de ransomware. A situação é crítica, pois as falhas podem comprometer a segurança de sistemas amplamente utilizados, exigindo atenção imediata das organizações para evitar possíveis incidentes de segurança.

Versões antigas do Excel apresentam falhas críticas de segurança

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) alertou sobre uma vulnerabilidade crítica em versões antigas do Microsoft Excel, identificada como CVE-2009-0238. Essa falha, detectada em 2009, permite a execução remota de código (RCE), possibilitando que cibercriminosos comprometam sistemas ao enviar documentos Excel maliciosos. Os ataques podem resultar no roubo de informações sensíveis, implantação de ransomware e corrupção da memória do dispositivo. A vulnerabilidade afeta versões do Microsoft Office Excel 2000 SP3 até 2004 e 2008 para Mac, enquanto versões mais recentes já receberam correções. A CISA não detalhou como os documentos maliciosos são enviados, mas a ameaça permanece ativa, com a possibilidade de exploração por hackers. Especialistas associaram a falha à distribuição de um malware conhecido como “Trojan.Mdropper.AC”. É crucial que usuários e empresas que ainda utilizam essas versões antigas do Excel tomem medidas imediatas para mitigar os riscos associados a essa vulnerabilidade.

Vulnerabilidade crítica no Apache ActiveMQ é explorada em ataques

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou sobre uma vulnerabilidade crítica no Apache ActiveMQ, identificada como CVE-2026-34197, que está sendo ativamente explorada em ataques. O Apache ActiveMQ é um popular broker de mensagens open-source baseado em Java, utilizado para comunicação assíncrona entre aplicações. A falha, que passou despercebida por 13 anos, foi descoberta pelo pesquisador Naveen Sunkavally da Horizon3, e se origina de uma validação inadequada de entrada, permitindo que atacantes autenticados executem código arbitrário através de ataques de injeção. A correção foi disponibilizada em 30 de março para as versões 6.2.3 e 5.19.4 do ActiveMQ Classic. A CISA incluiu a vulnerabilidade em seu Catálogo de Vulnerabilidades Conhecidas e ordenou que agências federais atualizassem seus servidores ActiveMQ até 30 de abril. A Horizon3 também destacou que mais de 7.500 servidores ActiveMQ estão expostos online, aumentando o risco de exploração. A CISA recomenda que organizações que utilizam ActiveMQ tratem essa vulnerabilidade como prioridade alta, dada a frequência com que o ActiveMQ é alvo de ataques reais.

CISA alerta sobre vulnerabilidade crítica no Windows Task Host

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta para agências governamentais dos EUA sobre uma vulnerabilidade de escalonamento de privilégios no Windows Task Host, identificada como CVE-2025-60710. Essa falha, que afeta dispositivos com Windows 11 e Windows Server 2025, permite que atacantes locais com permissões básicas elevem seus privilégios a nível de SYSTEM, obtendo controle total sobre o dispositivo comprometido. A vulnerabilidade é resultado de uma fraqueza na resolução de links antes do acesso a arquivos, o que pode ser explorado por atacantes autorizados. A Microsoft lançou um patch para corrigir essa falha em novembro de 2025, e a CISA deu um prazo de duas semanas para que as agências federais implementem as correções. Embora o aviso se aplique principalmente a agências federais, a CISA também recomenda que organizações do setor privado adotem as atualizações de segurança para proteger suas redes. A vulnerabilidade representa um vetor de ataque frequente e significativo, exigindo atenção imediata das equipes de segurança.

CISA adiciona novas vulnerabilidades exploradas ativamente ao catálogo

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu recentemente seis novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas Exploited (KEV), destacando a exploração ativa dessas falhas. Entre as vulnerabilidades, a CVE-2026-21643, com uma pontuação CVSS de 9.1, refere-se a uma falha de injeção SQL no Fortinet FortiClient EMS, permitindo que atacantes não autenticados executem comandos não autorizados. Outras vulnerabilidades significativas incluem a CVE-2023-21529, que afeta o Microsoft Exchange Server e pode permitir a execução remota de código por atacantes autenticados. A CISA alertou que agências federais devem aplicar correções até 27 de abril de 2026, devido à natureza crítica dessas falhas. A detecção de tentativas de exploração da CVE-2026-21643 desde março de 2026 e o uso da CVE-2023-21529 por um grupo de ameaças conhecido como Storm-1175 para disseminar ransomware Medusa, ressaltam a urgência da situação. Embora três das vulnerabilidades listadas não tenham relatos públicos de exploração, a situação exige atenção imediata das organizações para evitar possíveis comprometimentos.

CISA dá prazo para agências dos EUA corrigirem vulnerabilidade crítica

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) concedeu um prazo de quatro dias para que agências governamentais dos EUA protejam seus sistemas contra uma vulnerabilidade crítica no Ivanti Endpoint Manager Mobile (EPMM), identificada como CVE-2026-1340. Essa falha de injeção de código permite que atacantes não autorizados executem código remotamente em dispositivos EPMM expostos à Internet e não corrigidos. A Ivanti já havia alertado sobre essa e outra vulnerabilidade (CVE-2026-1281) em janeiro, quando lançou atualizações de segurança. A CISA incluiu a CVE-2026-1340 em seu catálogo de vulnerabilidades conhecidas e ordenou que as agências federais aplicassem patches até a meia-noite de 11 de abril. A agência destacou que esse tipo de vulnerabilidade é um vetor de ataque comum e representa riscos significativos para a segurança federal. A Ivanti, que fornece produtos de gerenciamento de ativos de TI para mais de 40.000 clientes, já teve outras vulnerabilidades exploradas em ataques zero-day nos últimos anos, afetando diversas agências governamentais ao redor do mundo.

CISA ordena proteção contra vulnerabilidade crítica do FortiClient EMS

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam suas instâncias do FortiClient Enterprise Management Server (EMS) contra uma vulnerabilidade criticamente explorada, identificada como CVE-2026-35616. Esta falha, descoberta pela empresa de cibersegurança Defused, permite que atacantes contornem controles de autenticação e autorização, possibilitando a execução de comandos maliciosos. A Fortinet, fabricante do FortiClient, lançou correções de emergência e alertou que a vulnerabilidade está sendo ativamente explorada em ataques zero-day. A CISA incluiu a CVE-2026-35616 em seu catálogo de Vulnerabilidades Conhecidas e Explotadas (KEV) e exigiu que as agências federais aplicassem patches até a meia-noite de 9 de abril. Apesar de a ordem se aplicar apenas a agências federais, a CISA recomendou que todas as organizações, incluindo as do setor privado, priorizassem a correção dessa vulnerabilidade. Atualmente, cerca de 2.000 instâncias do FortiClient EMS estão expostas na internet, com mais de 1.400 IPs localizados nos EUA e na Europa, aumentando a urgência para a aplicação das correções.

CISA ordena correção urgente de vulnerabilidade no Citrix NetScaler

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais atualizassem seus dispositivos Citrix NetScaler devido a uma vulnerabilidade crítica (CVE-2026-3055) que está sendo ativamente explorada. Essa falha, identificada como resultado de validação insuficiente de entrada, permite que atacantes remotos não autenticados acessem informações sensíveis em dispositivos Citrix ADC ou Citrix Gateway configurados como provedores de identidade SAML. A CISA destacou que a vulnerabilidade representa um vetor de ataque frequente para agentes maliciosos e pode levar a uma tomada de controle total de dispositivos não corrigidos. Apesar de a Citrix ter emitido orientações detalhadas e atualizações de segurança, a CISA ainda não confirmou se os ataques estão em andamento. A agência também alertou que a correção deve ser priorizada por todas as organizações, incluindo o setor privado. A situação é crítica, especialmente considerando que a CISA já havia identificado outras vulnerabilidades da Citrix como exploradas no passado, aumentando a urgência para a aplicação de patches.

Falha crítica no F5 BIG-IP APM permite execução remota de código

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha crítica no F5 BIG-IP Access Policy Manager (APM) em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2025-53521, possui uma pontuação CVSS v4 de 9.3, permitindo que um ator malicioso execute código remotamente. Inicialmente classificada como uma vulnerabilidade de negação de serviço (DoS), a F5 reclassificou-a após novas informações em março de 2026. A empresa confirmou que a falha foi explorada nas versões vulneráveis do BIG-IP e forneceu indicadores para verificar se o sistema foi comprometido, incluindo alterações em arquivos e logs específicos. As versões afetadas incluem 17.5.0 a 17.5.1, 17.1.0 a 17.1.2, entre outras. Diante da exploração ativa, agências federais têm até 30 de março de 2026 para aplicar as correções necessárias. Especialistas alertam que a situação representa um risco significativamente maior do que o inicialmente comunicado, exigindo atenção imediata dos administradores de sistema.

CISA alerta sobre vulnerabilidade crítica no framework Langflow

A Cybersecurity and Infrastructure Security Agency (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica, identificada como CVE-2026-33017, que afeta o framework Langflow, amplamente utilizado para a construção de agentes de inteligência artificial. Com uma pontuação de 9.3 em 10, essa falha permite a execução remota de código, possibilitando que atacantes criem fluxos públicos sem autenticação. A exploração começou rapidamente após a divulgação do aviso, com atividades de escaneamento automatizado iniciando em apenas 20 horas e a coleta de dados em 24 horas. O Langflow, um framework visual open-source com 145 mil estrelas no GitHub, é um alvo atrativo para hackers devido à sua popularidade. A CISA recomenda que administradores de sistemas atualizem para a versão 1.9.0 ou superior para mitigar a vulnerabilidade ou restrinjam o endpoint vulnerável. Embora a CISA não tenha classificado a exploração como relacionada a ransomware, a urgência da atualização é clara, especialmente para organizações sob a Diretiva Operacional Vinculativa (BOD) 22-01. A situação destaca a importância de monitorar o tráfego de saída e rotacionar credenciais em caso de atividades suspeitas.

CISA ordena correção de vulnerabilidades do iOS em ataques cibernéticos

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA corrigissem três vulnerabilidades do iOS, que estão sendo exploradas em ataques de roubo de criptomoedas e ciberespionagem, utilizando o kit de exploração DarkSword. Pesquisadores do Google e da iVerify identificaram uma cadeia de seis vulnerabilidades, incluindo CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 e CVE-2025-43520, que permitem a execução remota de código em iPhones não corrigidos. Embora a Apple já tenha lançado patches para essas falhas, dispositivos rodando iOS entre as versões 18.4 e 18.7 ainda estão vulneráveis. O DarkSword está associado a grupos de ameaças, como UNC6748 e UNC6353, que realizam ataques direcionados a usuários de iPhone em sites comprometidos. A CISA alertou que essas vulnerabilidades representam riscos significativos e recomendou que todas as organizações, incluindo as do setor privado, priorizem a segurança de seus dispositivos. O alerta destaca a necessidade de ações imediatas para mitigar os riscos associados a essas falhas.

CISA alerta sobre vulnerabilidades críticas em Apple e CMSs

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu cinco vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas Exploited (KEV), afetando produtos da Apple, Craft CMS e Laravel Livewire. As falhas, que variam em pontuação CVSS de 7.8 a 10.0, exigem que agências federais realizem correções até 3 de abril de 2026. Entre as vulnerabilidades, destaca-se a CVE-2025-32432, uma falha de injeção de código no Craft CMS, que está sendo explorada ativamente desde fevereiro de 2025, permitindo a execução remota de código por atacantes. Além disso, três vulnerabilidades no WebKit e no kernel da Apple podem resultar em corrupção de memória e comprometimento do sistema. Relatórios indicam que um kit de exploração chamado DarkSword está utilizando essas falhas para implantar malwares como GHOSTBLADE e GHOSTKNIFE. A CISA enfatiza a urgência na aplicação de patches, especialmente em um cenário onde grupos de hackers, como o MuddyWater, estão intensificando suas atividades de espionagem cibernética, visando setores críticos e diplomáticos. A situação é alarmante, pois a combinação de técnicas de engenharia social e ferramentas avançadas de malware representa uma ameaça significativa para a segurança cibernética.