Cisa

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) anunciou a nova Diretriz Operacional Vinculativa 26-04, que prioriza atualizações de segurança para agências do Poder Executivo Civil Federal (FCEB). O objetivo é reduzir a ameaça de ciberataques ao setor público, exigindo que as agências remedeiem vulnerabilidades de alto risco em prazos acelerados, que podem ser de até três dias. A CISA afirma que a nova diretriz substitui as anteriores BOD 19-02 e BOD 22-01, introduzidas em 2019 e 2021, respectivamente. A priorização das correções é baseada em quatro considerações principais: exposição pública do ativo, presença da vulnerabilidade no catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), possibilidade de exploração automatizada e controle total ou parcial do sistema pelos atacantes. As agências devem atualizar suas políticas de gerenciamento de vulnerabilidades e relatar o status de KEV em um prazo de 60 dias. A nova diretriz também se aplica a sistemas em nuvem e ambientes de terceiros, influenciando a indústria de cibersegurança como um todo.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu três novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) após relatos de exploração ativa. As vulnerabilidades são: CVE-2026-20245, com um escore CVSS de 7.8, que afeta o Cisco Catalyst SD-WAN Manager, permitindo que um atacante local autenticado execute comandos arbitrários; CVE-2026-11645, com um escore CVSS de 8.8, que impacta o Google Chrome V8, possibilitando que um atacante remoto execute código arbitrário através de uma página HTML maliciosa; e CVE-2026-7473, com um escore CVSS de 6.9, que afeta o sistema operacional extensível da Arista (EOS), permitindo a exploração de tráfego de túnel não configurado. A Arista reconheceu que a vulnerabilidade CVE-2026-7473 está sendo explorada ativamente, mas não planeja lançar um patch, citando riscos de quebra de configurações existentes. Em vez disso, a empresa sugere a aplicação de listas de controle de acesso (ACLs) para mitigar o problema. As agências do governo federal dos EUA foram instruídas a implementar correções ou mitigação até 23 de junho de 2026.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA protejam suas implementações de VPN de Acesso Remoto e Acesso Móvel da Check Point contra uma vulnerabilidade crítica, identificada como CVE-2026-50751. Essa falha de segurança permite que atacantes remotos não autenticados contornem a autenticação e estabeleçam conexões VPN em dispositivos afetados, especialmente aqueles que utilizam o protocolo de troca de chaves IKEv1, que já está obsoleto. A Check Point lançou atualizações de segurança para corrigir essa vulnerabilidade, que foi explorada em ataques que começaram em 7 de maio e aumentaram durante o fim de semana. Embora os ataques tenham afetado apenas algumas dezenas de organizações globalmente, a Check Point associou um dos incidentes ao grupo de ransomware Qilin, que já comprometeu mais de 400 vítimas desde sua aparição em agosto de 2022. A CISA incluiu a CVE-2026-50751 em seu catálogo de Vulnerabilidades Conhecidas e Explotadas, exigindo que as agências federais implementem as correções até 11 de junho. A agência também recomendou que equipes de segurança, incluindo as do setor privado, adotem as atualizações de segurança imediatamente.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no BerriAI LiteLLM em seu catálogo de Vulnerabilidades Conhecidas (KEV), devido a evidências de exploração ativa. A falha, identificada como CVE-2026-42271, possui uma pontuação CVSS de 8.7 e permite que usuários autenticados executem comandos arbitrários no host. A vulnerabilidade afeta versões específicas do pacote Python LiteLLM, onde dois endpoints de teste aceitam configurações completas do servidor, possibilitando a execução de comandos como subprocessos no host proxy. Os mantenedores do LiteLLM informaram que a segurança dos endpoints dependia apenas de uma chave de API válida, permitindo que qualquer usuário autenticado, incluindo aqueles com privilégios elevados, executasse comandos arbitrários. Para mitigar a falha, foi lançada uma atualização (versão 1.83.7) que exige o papel PROXY_ADMIN para acessar os endpoints. Além disso, uma cadeia de exploração foi identificada, combinando essa vulnerabilidade com outra (CVE-2026-48710), resultando em uma pontuação CVSS crítica de 10.0, permitindo a execução remota de código sem autenticação. Os usuários são aconselhados a atualizar imediatamente suas versões do LiteLLM e Starlette, além de implementar medidas de mitigação se a atualização não for viável.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança de alta gravidade no software de servidor de arquivos multi-protocolo SolarWinds Serv-U em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2026-28318, possui uma pontuação CVSS de 7.5 e é classificada como um bug de negação de serviço (DoS), que pode causar a queda do serviço sob certas condições. Segundo a SolarWinds, a falha é suscetível a requisições POST especialmente elaboradas que podem derrubar o serviço sem necessidade de autenticação, utilizando o cabeçalho Content-Encoding: deflate. A empresa já lançou uma correção na versão 15.5.4 HF1 do Serv-U e recomenda que os usuários limitem o acesso a endereços conhecidos e bloqueiem requisições que contenham “content-encoding”. A CISA ordenou que as agências do governo federal dos EUA resolvam a falha até 19 de junho de 2026. Embora a exploração ativa tenha sido confirmada, não há informações sobre como a vulnerabilidade está sendo utilizada em ataques reais ou quantas instâncias do Serv-U expostas à internet foram comprometidas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica no software Serv-U da SolarWinds, que foi recentemente corrigida. A falha, identificada como CVE-2026-28318, permite que atacantes remotos provoquem a queda do serviço sem necessidade de autenticação, utilizando requisições POST especialmente elaboradas. A SolarWinds lançou um patch para corrigir essa vulnerabilidade, mas a CISA observou que a exploração já está ocorrendo na prática, levando a agência a incluir a falha em seu Catálogo de Vulnerabilidades Conhecidas. Administradores que não puderem aplicar a correção imediatamente são aconselhados a restringir o acesso a endereços conhecidos e bloquear requisições POST que contenham “content-encoding”. Atualmente, mais de 12.000 servidores Serv-U estão expostos online, o que representa um risco significativo, especialmente considerando que grupos de cibercrime têm historicamente explorado falhas nesse software para roubar dados sensíveis. A CISA enfatiza a necessidade de que todas as organizações, incluindo o setor privado, tomem medidas para proteger suas redes contra esses ataques.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre hackers que estão explorando vulnerabilidades no kernel do Linux e no sistema operacional Android. A mais recente falha, identificada como CVE-2025-48595, é uma vulnerabilidade de estouro de inteiro de alta severidade no Android Framework, que pode ser utilizada para obter privilégios elevados. Essa falha afeta as versões do Android 14 a 16 e não requer interação do usuário para ser explorada. Embora o Google tenha indicado que a exploração dessa vulnerabilidade pode estar ocorrendo de forma limitada, não foram fornecidos detalhes específicos sobre as atividades ou informações técnicas sobre a falha. O problema foi corrigido com a liberação de patches de segurança em junho de 2026.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no Oracle WebLogic Server em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Identificada como CVE-2024-21182, essa falha possui um escore CVSS de 7.5 e permite que atacantes não autenticados, com acesso à rede, assumam o controle de servidores vulneráveis. A CISA alertou que ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos. Embora não haja relatos públicos sobre a exploração ativa dessa vulnerabilidade, falhas anteriores no WebLogic foram frequentemente utilizadas para formar botnets, minerar criptomoedas e implantar ransomware. A Oracle lançou um patch para corrigir essa vulnerabilidade em julho de 2024. Diante da exploração ativa, a CISA recomenda que as agências do governo federal dos EUA apliquem as correções necessárias até 4 de junho de 2026 para proteger suas redes.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais reforcem a segurança de seus sistemas contra uma vulnerabilidade crítica no Oracle WebLogic Server, identificada como CVE-2024-21182. Essa falha, que foi corrigida há dois anos, está sendo ativamente explorada em ataques cibernéticos. O Oracle WebLogic Server é um servidor de aplicações Java utilizado em grandes aplicações distribuídas. A vulnerabilidade permite que atacantes não autenticados comprometam o servidor remotamente, podendo resultar em acesso não autorizado a dados críticos. Atualmente, mais de 1.592 servidores WebLogic estão expostos online e vulneráveis a essa falha. A CISA recomendou que, além das agências federais, todas as organizações, incluindo o setor privado, apliquem os patches de segurança o mais rápido possível. A vulnerabilidade é considerada um vetor de ataque comum e representa riscos significativos para a segurança das informações. A CISA também destacou a importância de seguir as orientações do fornecedor e, se necessário, descontinuar o uso do produto até que as correções sejam aplicadas.

A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) emitiu um alerta urgente para que agências federais do país protejam seus servidores contra uma vulnerabilidade crítica no plugin LiteSpeed cPanel, identificada como CVE-2026-48172. Essa falha de escalonamento de privilégios permite que atacantes remotos, sem privilégios, executem scripts arbitrários com privilégios de root, devido a uma má gestão das funcionalidades de habilitar/desabilitar Redis. A LiteSpeed lançou atualizações de segurança para corrigir a falha e recomendou que os usuários atualizem o plugin para a versão mais recente. A CISA também incluiu essa vulnerabilidade em seu catálogo de falhas ativamente exploradas, exigindo que as agências federais apliquem patches até a meia-noite de 29 de maio. Embora a diretiva se aplique apenas a agências federais, a CISA instou o setor privado a priorizar a correção dessa vulnerabilidade, que representa um vetor de ataque frequente para cibercriminosos. Os usuários devem verificar se seus servidores estão vulneráveis usando um comando específico e tomar medidas para bloquear IPs suspeitos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou que agências governamentais têm até a noite de quarta-feira para corrigir uma vulnerabilidade de injeção SQL no sistema de gerenciamento de conteúdo Drupal, identificada como CVE-2026-9082. Essa falha, descoberta pelo pesquisador Michael Maturi, permite que atacantes realizem injeções SQL arbitrárias em sites que utilizam PostgreSQL, sem necessidade de autenticação. A exploração bem-sucedida pode resultar em divulgação de informações, escalonamento de privilégios e execução remota de código. A equipe de segurança do Drupal classificou a vulnerabilidade como “altamente crítica” e já foram detectadas tentativas de exploração em mais de 15.000 sites em 65 países, com foco em setores como jogos e serviços financeiros. A CISA incluiu a falha em seu Catálogo de Vulnerabilidades Conhecidas (KEV) e recomendou que todas as organizações, incluindo as do setor privado, apliquem os patches o mais rápido possível. A CISA enfatizou a importância de mitigar essa vulnerabilidade, que representa um vetor de ataque frequente para cibercriminosos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha crítica de segurança no Drupal Core em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2026-9082, possui uma pontuação CVSS de 6.5 e é uma falha de injeção SQL que afeta todas as versões suportadas do Drupal Core. Essa falha pode permitir a escalada de privilégios e execução remota de código através de requisições especialmente elaboradas. Menos de dois dias após a liberação de correções, a Drupal confirmou que tentativas de exploração estão sendo detectadas, com mais de 15.000 tentativas de ataque em quase 6.000 sites em 65 países, principalmente em sites de serviços financeiros e de jogos. As agências do governo federal dos EUA foram aconselhadas a aplicar as correções até 27 de maio de 2026 para garantir proteção adequada. A natureza da vulnerabilidade sugere que, embora a atividade atual seja predominantemente de reconhecimento, a exploração bem-sucedida pode rapidamente evoluir para extração de dados ou escalada de privilégios.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), afetando o Langflow e o Trend Micro Apex One. A primeira, CVE-2025-34291, com um escore CVSS de 9.4, é uma falha de validação de origem no Langflow que permite a execução de código arbitrário, comprometendo totalmente o sistema. A segunda, CVE-2026-34926, com um escore CVSS de 6.7, é uma vulnerabilidade de travessia de diretório nas versões on-premise do Apex One, que pode ser explorada por um atacante local com credenciais administrativas para injetar código malicioso. Relatórios indicam que a falha no Langflow foi explorada por um grupo de hackers iraniano, MuddyWater, para obter acesso inicial a redes-alvo. A CISA exige que as agências federais apliquem correções até 4 de junho de 2026, dada a gravidade da exploração ativa dessas vulnerabilidades.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma nova vulnerabilidade crítica no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), afetando o Cisco Catalyst SD-WAN Controller. A falha, identificada como CVE-2026-20182, permite que atacantes remotos não autenticados contornem a autenticação e obtenham privilégios administrativos no sistema. Com uma pontuação de 10.0 no sistema CVSS, a vulnerabilidade é considerada de máxima gravidade. A Cisco alertou que a exploração ativa dessa falha está ligada a um grupo de ameaças identificado como UAT-8616, que também está por trás da exploração de outras vulnerabilidades relacionadas. Os atacantes têm utilizado códigos de exploração disponíveis publicamente para implantar shells web, permitindo a execução de comandos arbitrários. A CISA exige que as agências do governo federal dos EUA remediem a vulnerabilidade até 17 de maio de 2026. Dada a gravidade da situação, a Cisco recomenda que os clientes sigam as orientações para proteger seus ambientes.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais corrijam uma vulnerabilidade de alta severidade no Ivanti Endpoint Manager Mobile (EPMM), identificada como CVE-2026-6973. Essa falha permite que atacantes com privilégios administrativos executem código arbitrário remotamente em sistemas que utilizam versões do EPMM 12.8.0.0 e anteriores. A Ivanti recomendou a atualização para as versões 12.6.1.1, 12.7.0.1 e 12.8.0.1, além de revisar e rotacionar credenciais de contas administrativas. Embora a exploração da vulnerabilidade tenha sido limitada até o momento, a CISA alertou que esse tipo de falha é um vetor comum para ataques cibernéticos maliciosos, representando riscos significativos para a segurança das agências federais. A Ivanti já havia corrigido outras falhas críticas em janeiro, e a CISA reiterou a importância de ações rápidas para mitigar riscos. A Shadowserver, organização de segurança sem fins lucrativos, identificou mais de 800 dispositivos EPMM expostos online, mas não há informações sobre quantos já foram corrigidos. O prazo para a correção é até a meia-noite de domingo, 10 de maio.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam seus sistemas Windows contra uma vulnerabilidade crítica, identificada como CVE-2026-32202. Esta falha de segurança, relatada pela empresa de cibersegurança Akamai, é uma vulnerabilidade de ‘zero-click’ que permite o roubo de credenciais sem a necessidade de interação do usuário. A vulnerabilidade foi deixada após um patch incompleto de uma falha anterior de execução remota de código (CVE-2026-21510) em fevereiro. O grupo de ciberespionagem russo APT28 já explorou a falha anterior em ataques direcionados à Ucrânia e países da UE. A CISA incluiu a CVE-2026-32202 em seu Catálogo de Vulnerabilidades Conhecidas (KEV) e ordenou que as agências federais aplicassem patches até 12 de maio. A agência alertou que esse tipo de vulnerabilidade é um vetor frequente de ataque e representa riscos significativos para a segurança federal. Embora a ordem se aplique apenas a agências federais, a CISA incentivou todas as equipes de segurança a priorizarem a correção dessa vulnerabilidade em suas redes.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), com base em evidências de exploração ativa. A primeira, CVE-2024-1708, é uma vulnerabilidade de travessia de caminho no ConnectWise ScreenConnect, com uma pontuação CVSS de 8.4, que permite a execução remota de código e pode comprometer dados confidenciais. Esta falha foi corrigida em fevereiro de 2024. A segunda, CVE-2026-32202, com uma pontuação CVSS de 4.3, é uma falha no mecanismo de proteção do Microsoft Windows Shell, permitindo que atacantes não autorizados realizem spoofing em redes. Essa vulnerabilidade foi corrigida em abril de 2026. A inclusão da CVE-2026-32202 no catálogo ocorreu após a Microsoft reconhecer que a falha estava sendo ativamente explorada, relacionada a um patch incompleto de outra vulnerabilidade. A CVE-2024-1708 tem sido explorada em conjunto com a CVE-2024-1709, uma falha crítica de bypass de autenticação, em ataques associados a grupos de ameaças, incluindo um ator baseado na China. As agências do governo dos EUA têm até 12 de maio de 2026 para aplicar as correções necessárias.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu quatro novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), afetando o software SimpleHelp, o servidor Samsung MagicINFO 9 e os roteadores D-Link DIR-823X. As falhas, que apresentam pontuações CVSS variando de 7.2 a 9.9, permitem que atacantes escalem privilégios, executem comandos arbitrários e realizem uploads de arquivos maliciosos. A vulnerabilidade CVE-2024-57726, por exemplo, permite que técnicos com baixos privilégios criem chaves de API com permissões excessivas, enquanto a CVE-2024-57728 possibilita o upload de arquivos em locais não autorizados, potencialmente executando código malicioso. Além disso, a CVE-2024-7399 no Samsung MagicINFO 9 Server e a CVE-2025-29635 nos roteadores D-Link também foram identificadas como vetores de ataque ativos, com ligações a campanhas de ransomware e botnets, como a Mirai. A CISA recomenda que as agências federais apliquem correções ou descontinuem o uso dos dispositivos afetados até 8 de maio de 2026 para mitigar os riscos.

Agências de cibersegurança dos EUA e do Reino Unido emitiram um alerta sobre um malware personalizado chamado Firestarter, que persiste em dispositivos Cisco Firepower e Secure Firewall que utilizam o software Adaptive Security Appliance (ASA) ou Firepower Threat Defense (FTD). O malware, atribuído a um ator de ameaças conhecido como UAT-4356, é utilizado em campanhas de ciberespionagem e permite acesso remoto contínuo mesmo após a aplicação de patches. A vulnerabilidade inicial explorada foi identificada como CVE-2025-20333, relacionada a uma falha de autorização, e CVE-2025-20362, um bug de estouro de buffer.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou as agências governamentais sobre uma vulnerabilidade no Catalyst SD-WAN Manager, que está sendo ativamente explorada em ataques. A falha, identificada como CVE-2026-20133, permite que atacantes remotos não autenticados acessem informações sensíveis em dispositivos não corrigidos. A Cisco já havia lançado um patch para essa vulnerabilidade em fevereiro, mas a CISA agora exige que as agências federais apliquem as correções até 24 de abril. A vulnerabilidade é resultado de restrições insuficientes de acesso ao sistema de arquivos, permitindo que um invasor acesse a API do sistema afetado. Além disso, a CISA incluiu essa falha em seu Catálogo de Vulnerabilidades Conhecidas (KEV) devido a evidências de exploração ativa. A Cisco ainda não confirmou a exploração da falha, mas já havia identificado outras vulnerabilidades críticas em seus produtos. A situação destaca a importância de uma resposta rápida a vulnerabilidades em sistemas amplamente utilizados, como os da Cisco, que são comuns em diversas organizações.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu recentemente oito novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), destacando três falhas críticas que afetam o Cisco Catalyst SD-WAN Manager. Entre as vulnerabilidades, a CVE-2025-32975 se destaca com um escore CVSS de 10.0, permitindo que atacantes se façam passar por usuários legítimos sem credenciais válidas. Outras falhas incluem a CVE-2023-27351, que permite a bypass de autenticação no PaperCut NG/MF, e a CVE-2024-27199, que possibilita ações administrativas limitadas no JetBrains TeamCity. A CISA recomenda que as agências do governo federal dos EUA abordem as vulnerabilidades da Cisco até 23 de abril de 2026, e as demais até 4 de maio de 2026. A exploração ativa dessas falhas foi observada, com grupos de ameaças conhecidos, como Lace Tempest, utilizando-as em ataques de ransomware. A situação é crítica, pois as falhas podem comprometer a segurança de sistemas amplamente utilizados, exigindo atenção imediata das organizações para evitar possíveis incidentes de segurança.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) alertou sobre uma vulnerabilidade crítica em versões antigas do Microsoft Excel, identificada como CVE-2009-0238. Essa falha, detectada em 2009, permite a execução remota de código (RCE), possibilitando que cibercriminosos comprometam sistemas ao enviar documentos Excel maliciosos. Os ataques podem resultar no roubo de informações sensíveis, implantação de ransomware e corrupção da memória do dispositivo. A vulnerabilidade afeta versões do Microsoft Office Excel 2000 SP3 até 2004 e 2008 para Mac, enquanto versões mais recentes já receberam correções. A CISA não detalhou como os documentos maliciosos são enviados, mas a ameaça permanece ativa, com a possibilidade de exploração por hackers. Especialistas associaram a falha à distribuição de um malware conhecido como “Trojan.Mdropper.AC”. É crucial que usuários e empresas que ainda utilizam essas versões antigas do Excel tomem medidas imediatas para mitigar os riscos associados a essa vulnerabilidade.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou sobre uma vulnerabilidade crítica no Apache ActiveMQ, identificada como CVE-2026-34197, que está sendo ativamente explorada em ataques. O Apache ActiveMQ é um popular broker de mensagens open-source baseado em Java, utilizado para comunicação assíncrona entre aplicações. A falha, que passou despercebida por 13 anos, foi descoberta pelo pesquisador Naveen Sunkavally da Horizon3, e se origina de uma validação inadequada de entrada, permitindo que atacantes autenticados executem código arbitrário através de ataques de injeção. A correção foi disponibilizada em 30 de março para as versões 6.2.3 e 5.19.4 do ActiveMQ Classic. A CISA incluiu a vulnerabilidade em seu Catálogo de Vulnerabilidades Conhecidas e ordenou que agências federais atualizassem seus servidores ActiveMQ até 30 de abril. A Horizon3 também destacou que mais de 7.500 servidores ActiveMQ estão expostos online, aumentando o risco de exploração. A CISA recomenda que organizações que utilizam ActiveMQ tratem essa vulnerabilidade como prioridade alta, dada a frequência com que o ActiveMQ é alvo de ataques reais.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta para agências governamentais dos EUA sobre uma vulnerabilidade de escalonamento de privilégios no Windows Task Host, identificada como CVE-2025-60710. Essa falha, que afeta dispositivos com Windows 11 e Windows Server 2025, permite que atacantes locais com permissões básicas elevem seus privilégios a nível de SYSTEM, obtendo controle total sobre o dispositivo comprometido. A vulnerabilidade é resultado de uma fraqueza na resolução de links antes do acesso a arquivos, o que pode ser explorado por atacantes autorizados. A Microsoft lançou um patch para corrigir essa falha em novembro de 2025, e a CISA deu um prazo de duas semanas para que as agências federais implementem as correções. Embora o aviso se aplique principalmente a agências federais, a CISA também recomenda que organizações do setor privado adotem as atualizações de segurança para proteger suas redes. A vulnerabilidade representa um vetor de ataque frequente e significativo, exigindo atenção imediata das equipes de segurança.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu recentemente seis novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas Exploited (KEV), destacando a exploração ativa dessas falhas. Entre as vulnerabilidades, a CVE-2026-21643, com uma pontuação CVSS de 9.1, refere-se a uma falha de injeção SQL no Fortinet FortiClient EMS, permitindo que atacantes não autenticados executem comandos não autorizados. Outras vulnerabilidades significativas incluem a CVE-2023-21529, que afeta o Microsoft Exchange Server e pode permitir a execução remota de código por atacantes autenticados. A CISA alertou que agências federais devem aplicar correções até 27 de abril de 2026, devido à natureza crítica dessas falhas. A detecção de tentativas de exploração da CVE-2026-21643 desde março de 2026 e o uso da CVE-2023-21529 por um grupo de ameaças conhecido como Storm-1175 para disseminar ransomware Medusa, ressaltam a urgência da situação. Embora três das vulnerabilidades listadas não tenham relatos públicos de exploração, a situação exige atenção imediata das organizações para evitar possíveis comprometimentos.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) concedeu um prazo de quatro dias para que agências governamentais dos EUA protejam seus sistemas contra uma vulnerabilidade crítica no Ivanti Endpoint Manager Mobile (EPMM), identificada como CVE-2026-1340. Essa falha de injeção de código permite que atacantes não autorizados executem código remotamente em dispositivos EPMM expostos à Internet e não corrigidos. A Ivanti já havia alertado sobre essa e outra vulnerabilidade (CVE-2026-1281) em janeiro, quando lançou atualizações de segurança. A CISA incluiu a CVE-2026-1340 em seu catálogo de vulnerabilidades conhecidas e ordenou que as agências federais aplicassem patches até a meia-noite de 11 de abril. A agência destacou que esse tipo de vulnerabilidade é um vetor de ataque comum e representa riscos significativos para a segurança federal. A Ivanti, que fornece produtos de gerenciamento de ativos de TI para mais de 40.000 clientes, já teve outras vulnerabilidades exploradas em ataques zero-day nos últimos anos, afetando diversas agências governamentais ao redor do mundo.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam suas instâncias do FortiClient Enterprise Management Server (EMS) contra uma vulnerabilidade criticamente explorada, identificada como CVE-2026-35616. Esta falha, descoberta pela empresa de cibersegurança Defused, permite que atacantes contornem controles de autenticação e autorização, possibilitando a execução de comandos maliciosos. A Fortinet, fabricante do FortiClient, lançou correções de emergência e alertou que a vulnerabilidade está sendo ativamente explorada em ataques zero-day. A CISA incluiu a CVE-2026-35616 em seu catálogo de Vulnerabilidades Conhecidas e Explotadas (KEV) e exigiu que as agências federais aplicassem patches até a meia-noite de 9 de abril. Apesar de a ordem se aplicar apenas a agências federais, a CISA recomendou que todas as organizações, incluindo as do setor privado, priorizassem a correção dessa vulnerabilidade. Atualmente, cerca de 2.000 instâncias do FortiClient EMS estão expostas na internet, com mais de 1.400 IPs localizados nos EUA e na Europa, aumentando a urgência para a aplicação das correções.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais atualizassem seus dispositivos Citrix NetScaler devido a uma vulnerabilidade crítica (CVE-2026-3055) que está sendo ativamente explorada. Essa falha, identificada como resultado de validação insuficiente de entrada, permite que atacantes remotos não autenticados acessem informações sensíveis em dispositivos Citrix ADC ou Citrix Gateway configurados como provedores de identidade SAML. A CISA destacou que a vulnerabilidade representa um vetor de ataque frequente para agentes maliciosos e pode levar a uma tomada de controle total de dispositivos não corrigidos. Apesar de a Citrix ter emitido orientações detalhadas e atualizações de segurança, a CISA ainda não confirmou se os ataques estão em andamento. A agência também alertou que a correção deve ser priorizada por todas as organizações, incluindo o setor privado. A situação é crítica, especialmente considerando que a CISA já havia identificado outras vulnerabilidades da Citrix como exploradas no passado, aumentando a urgência para a aplicação de patches.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha crítica no F5 BIG-IP Access Policy Manager (APM) em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2025-53521, possui uma pontuação CVSS v4 de 9.3, permitindo que um ator malicioso execute código remotamente. Inicialmente classificada como uma vulnerabilidade de negação de serviço (DoS), a F5 reclassificou-a após novas informações em março de 2026. A empresa confirmou que a falha foi explorada nas versões vulneráveis do BIG-IP e forneceu indicadores para verificar se o sistema foi comprometido, incluindo alterações em arquivos e logs específicos. As versões afetadas incluem 17.5.0 a 17.5.1, 17.1.0 a 17.1.2, entre outras. Diante da exploração ativa, agências federais têm até 30 de março de 2026 para aplicar as correções necessárias. Especialistas alertam que a situação representa um risco significativamente maior do que o inicialmente comunicado, exigindo atenção imediata dos administradores de sistema.

A Cybersecurity and Infrastructure Security Agency (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica, identificada como CVE-2026-33017, que afeta o framework Langflow, amplamente utilizado para a construção de agentes de inteligência artificial. Com uma pontuação de 9.3 em 10, essa falha permite a execução remota de código, possibilitando que atacantes criem fluxos públicos sem autenticação. A exploração começou rapidamente após a divulgação do aviso, com atividades de escaneamento automatizado iniciando em apenas 20 horas e a coleta de dados em 24 horas. O Langflow, um framework visual open-source com 145 mil estrelas no GitHub, é um alvo atrativo para hackers devido à sua popularidade. A CISA recomenda que administradores de sistemas atualizem para a versão 1.9.0 ou superior para mitigar a vulnerabilidade ou restrinjam o endpoint vulnerável. Embora a CISA não tenha classificado a exploração como relacionada a ransomware, a urgência da atualização é clara, especialmente para organizações sob a Diretiva Operacional Vinculativa (BOD) 22-01. A situação destaca a importância de monitorar o tráfego de saída e rotacionar credenciais em caso de atividades suspeitas.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA corrigissem três vulnerabilidades do iOS, que estão sendo exploradas em ataques de roubo de criptomoedas e ciberespionagem, utilizando o kit de exploração DarkSword. Pesquisadores do Google e da iVerify identificaram uma cadeia de seis vulnerabilidades, incluindo CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 e CVE-2025-43520, que permitem a execução remota de código em iPhones não corrigidos. Embora a Apple já tenha lançado patches para essas falhas, dispositivos rodando iOS entre as versões 18.4 e 18.7 ainda estão vulneráveis. O DarkSword está associado a grupos de ameaças, como UNC6748 e UNC6353, que realizam ataques direcionados a usuários de iPhone em sites comprometidos. A CISA alertou que essas vulnerabilidades representam riscos significativos e recomendou que todas as organizações, incluindo as do setor privado, priorizem a segurança de seus dispositivos. O alerta destaca a necessidade de ações imediatas para mitigar os riscos associados a essas falhas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu cinco vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas Exploited (KEV), afetando produtos da Apple, Craft CMS e Laravel Livewire. As falhas, que variam em pontuação CVSS de 7.8 a 10.0, exigem que agências federais realizem correções até 3 de abril de 2026. Entre as vulnerabilidades, destaca-se a CVE-2025-32432, uma falha de injeção de código no Craft CMS, que está sendo explorada ativamente desde fevereiro de 2025, permitindo a execução remota de código por atacantes. Além disso, três vulnerabilidades no WebKit e no kernel da Apple podem resultar em corrupção de memória e comprometimento do sistema. Relatórios indicam que um kit de exploração chamado DarkSword está utilizando essas falhas para implantar malwares como GHOSTBLADE e GHOSTKNIFE. A CISA enfatiza a urgência na aplicação de patches, especialmente em um cenário onde grupos de hackers, como o MuddyWater, estão intensificando suas atividades de espionagem cibernética, visando setores críticos e diplomáticos. A situação é alarmante, pois a combinação de técnicas de engenharia social e ferramentas avançadas de malware representa uma ameaça significativa para a segurança cibernética.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais corrijam uma vulnerabilidade de alta severidade, identificada como CVE-2026-20131, no Cisco Secure Firewall Management Center (FMC) até o dia 22 de março. A Cisco divulgou um boletim de segurança no dia 4 de março, alertando os administradores de sistemas sobre a necessidade de aplicar as atualizações de segurança imediatamente, uma vez que não existem soluções alternativas disponíveis. A falha permite que um atacante remoto não autenticado execute código Java arbitrário como root em dispositivos afetados, devido à deserialização insegura de um fluxo de bytes Java fornecido pelo usuário. A situação se agrava com a confirmação de que a vulnerabilidade está sendo ativamente explorada por grupos de ransomware, como o Interlock, que a utilizam desde o final de janeiro. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), destacando seu uso em campanhas de ransomware. Embora a ordem da CISA se aplique a agências federais, recomendações semelhantes são válidas para empresas privadas e governos estaduais e locais, dada a gravidade da situação.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para empresas americanas após um ataque cibernético devastador ao grupo Stryker, onde hackers iranianos do coletivo Handala comprometeram uma conta administrativa do Microsoft Intune. Os atacantes roubaram 50 terabytes de dados e apagaram quase 80 mil dispositivos da empresa em poucas horas, forçando-a a operar manualmente. A CISA recomenda que as empresas adotem práticas de segurança mais rigorosas, como o princípio do menor privilégio para funções administrativas, autenticação multifator resistente a phishing e aprovações de múltiplos administradores para mudanças sensíveis. O ataque é visto como uma retaliação a ações dos EUA e Israel contra o Irã, destacando a importância de fortalecer a segurança cibernética em um cenário de ameaças emergentes. As recomendações da CISA são aplicáveis não apenas ao Intune, mas a outros softwares de gerenciamento de endpoints, visando prevenir incidentes semelhantes.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta para organizações americanas sobre a necessidade de fortalecer as configurações do Microsoft Intune, após um ataque cibernético que comprometeu os sistemas da Stryker Corporation, uma gigante da tecnologia médica. O ataque, reivindicado pelo grupo hacktivista Handala, resultou no roubo de 50 terabytes de dados e na utilização do comando de limpeza do Intune para apagar quase 80 mil dispositivos. Os hackers conseguiram criar uma nova conta de Administrador Global após comprometer uma conta de administrador existente. A CISA recomenda que as organizações adotem uma abordagem de menor privilégio para funções administrativas, implementem autenticação multifator (MFA) e exijam aprovação de múltiplos administradores para ações sensíveis, como a limpeza de dispositivos. Essas práticas visam aumentar a resiliência das organizações contra ataques semelhantes. O grupo Handala, vinculado ao Irã, é conhecido por suas operações de hacktivismo e por vazar dados sensíveis de sistemas comprometidos. O alerta da CISA destaca a importância de medidas proativas para proteger ambientes de gerenciamento de endpoints.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA protejam seus servidores contra uma vulnerabilidade ativamente explorada no Zimbra Collaboration Suite (ZCS), identificada como CVE-2025-66376. Essa falha de segurança, classificada como de alta severidade, resulta de uma vulnerabilidade de cross-site scripting (XSS) armazenada na interface Classic UI, permitindo que atacantes remotos não autenticados executem JavaScript arbitrário através de e-mails HTML maliciosos. A CISA deu um prazo de duas semanas para que as agências federais implementem correções, conforme a Diretiva Operacional Vinculante (BOD) 22-01. Embora a BOD se aplique apenas a agências federais, a CISA recomendou que todas as organizações, incluindo as do setor privado, realizem a correção dessa falha. O Zimbra já foi alvo de ataques anteriores, com hackers explorando vulnerabilidades para comprometer milhares de servidores de e-mail globalmente. A situação destaca a necessidade urgente de ações de mitigação para evitar possíveis sequestros de sessões e roubo de dados sensíveis.

A Cybersecurity and Infrastructure Security Agency (CISA) alertou sobre a exploração de uma vulnerabilidade crítica no Microsoft SharePoint, identificada como CVE-2026-20963. Essa falha de segurança afeta versões do SharePoint Enterprise Server 2016, SharePoint Server 2019 e SharePoint Server Subscription Edition. A exploração bem-sucedida permite que atacantes não autenticados executem código remotamente em servidores que não foram atualizados, utilizando uma fraqueza na desserialização de dados não confiáveis. A CISA incluiu essa vulnerabilidade em seu catálogo de falhas ativamente exploradas e ordenou que agências federais dos EUA, como o Departamento de Segurança Interna e o Departamento de Justiça, protegessem seus servidores até 21 de março. Embora a Microsoft tenha atualizado seu aviso sobre a CVE-2026-20963, ainda não confirmou sua exploração em ataques reais. A CISA também recomendou que todos os defensores de rede aplicassem as correções necessárias, uma vez que esse tipo de vulnerabilidade é um vetor de ataque comum para agentes maliciosos, representando riscos significativos para a segurança federal. Além disso, a CISA ordenou que agências federais corrigissem uma vulnerabilidade de cross-site scripting (XSS) no Zimbra Collaboration Suite, que também está sendo explorada.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências governamentais apliquem patches em duas vulnerabilidades críticas que estão sendo ativamente exploradas. A primeira, CVE-2025-66376, é uma vulnerabilidade de cross-site scripting (XSS) no Zimbra Collaboration Suite, que permite que atacantes abusem de diretrizes CSS em mensagens de e-mail HTML. A segunda, CVE-2026-20963, é uma vulnerabilidade de desserialização de dados não confiáveis no Microsoft Office SharePoint, permitindo que um invasor execute código remotamente. Ambas as falhas foram corrigidas em versões recentes dos softwares. O alerta da CISA é especialmente relevante após a descoberta de uma campanha de ataque, denominada Operação GhostMail, que utiliza a vulnerabilidade do Zimbra para roubar credenciais e dados sensíveis de usuários. Os atacantes, supostamente patrocinados pelo Estado russo, têm se concentrado em organizações ucranianas, mas a exploração dessas vulnerabilidades pode afetar usuários em todo o mundo, incluindo o Brasil. A CISA recomenda que as agências federais apliquem os patches até datas específicas para mitigar os riscos associados.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta para que agências governamentais dos EUA protejam suas instâncias do Wing FTP Server contra uma vulnerabilidade ativa, identificada como CVE-2025-47813. Essa falha permite que atacantes com privilégios baixos descubram o caminho completo da instalação local do aplicativo em servidores não corrigidos. O Wing FTP Server é um software de servidor FTP multiplataforma, utilizado por mais de 10.000 clientes, incluindo grandes empresas como a Força Aérea dos EUA e a Sony. A vulnerabilidade foi corrigida na versão 7.4.4, lançada em maio de 2025, juntamente com outras falhas críticas que podem levar à execução remota de código e ao vazamento de informações. A CISA enfatizou que essa vulnerabilidade é um vetor de ataque comum e representa riscos significativos para a segurança federal. Embora o alerta se aplique principalmente a agências federais, a CISA incentivou também o setor privado a aplicar as correções necessárias o mais rápido possível, dada a gravidade da situação.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais corrijam três vulnerabilidades de segurança no iOS, que estão sendo exploradas em ataques de ciberespionagem e roubo de criptomoedas, utilizando o kit de exploração Coruna. Pesquisadores do Google Threat Intelligence Group (GTIG) identificaram que o Coruna utiliza uma cadeia de exploits que ataca 23 vulnerabilidades do iOS, muitas das quais foram utilizadas em ataques zero-day. As falhas não afetam versões recentes do iOS e são bloqueadas se o usuário estiver em modo de navegação privada ou com o modo de bloqueio ativado. O Coruna permite que atacantes contornem a autenticação de código, escapem de sandbox e executem código remotamente no WebKit, elevando permissões a privilégios de Kernel. O kit foi observado em uso por diversos grupos de ameaças, incluindo um grupo suspeito de estar vinculado ao estado russo e um ator de ameaças da China. A CISA incluiu as vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e ordenou que as agências federais protejam seus dispositivos até 26 de março. Embora a ordem se aplique apenas a agências federais, a CISA recomenda que todas as organizações, incluindo empresas do setor privado, priorizem a correção dessas falhas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), afetando produtos da Hikvision e da Rockwell Automation. A primeira, CVE-2017-7921, com uma pontuação CVSS de 9.8, refere-se a uma falha de autenticação inadequada em diversos produtos da Hikvision, permitindo que um usuário malicioso eleve privilégios e acesse informações sensíveis. A segunda, CVE-2021-22681, também com pontuação 9.8, diz respeito a credenciais insuficientemente protegidas em produtos da Rockwell, permitindo que um usuário não autorizado contorne mecanismos de verificação e altere configurações. A CISA recomenda que agências federais atualizem seus softwares até 26 de março de 2026, enfatizando que essas vulnerabilidades são vetores frequentes de ataque e representam riscos significativos. Embora a CVE-2017-7921 tenha sido associada a tentativas de exploração, não há relatos públicos sobre ataques relacionados à CVE-2021-22681. A CISA alerta que todas as organizações devem priorizar a remediação dessas vulnerabilidades como parte de suas práticas de gerenciamento de vulnerabilidades.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma nova vulnerabilidade crítica, CVE-2026-22719, no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Essa falha, com uma pontuação CVSS de 8.1, permite que atacantes não autenticados executem comandos arbitrários, potencialmente levando à execução remota de código durante a migração assistida de produtos no VMware Aria Operations. A vulnerabilidade foi identificada como uma injeção de comando e afeta produtos como VMware Cloud Foundation e VMware vSphere Foundation 9.x.x.x, além do VMware Aria Operations 8.x. A correção foi disponibilizada nas versões 9.0.2.0 e 8.18.6, respectivamente. Para clientes que não podem aplicar o patch imediatamente, a Broadcom oferece um script de contorno. Embora a Broadcom tenha reconhecido relatos de exploração ativa da vulnerabilidade, ainda não há detalhes sobre a natureza dos ataques ou os responsáveis. As agências do Federal Civilian Executive Branch (FCEB) têm até 24 de março de 2026 para aplicar as correções. A situação exige atenção imediata, especialmente considerando o potencial impacto em ambientes corporativos que utilizam essas tecnologias.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade do VMware Aria Operations, identificada como CVE-2026-22719, em seu catálogo de Vulnerabilidades Conhecidas e Exploradas, indicando que a falha está sendo utilizada em ataques. A Broadcom, responsável pela VMware, confirmou que está ciente de relatos sobre a exploração da vulnerabilidade, mas não conseguiu confirmar a veracidade das informações. A falha, que permite a injeção de comandos por atacantes não autenticados, pode resultar na execução remota de código durante a migração assistida do produto. A vulnerabilidade foi divulgada e corrigida em 24 de fevereiro de 2026, com uma pontuação CVSS de 8.1, sendo considerada importante. A CISA exige que as agências civis federais tratem o problema até 24 de março de 2026. A Broadcom também disponibilizou um script temporário para mitigar a falha, que deve ser executado como root em cada nó do Aria Operations. Especialistas recomendam que as organizações apliquem os patches de segurança ou implementem as soluções alternativas o mais rápido possível, especialmente se a exploração estiver em andamento.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou novas informações sobre o RESURGE, um implante malicioso utilizado em ataques de zero-day que exploram a vulnerabilidade CVE-2025-0282, visando dispositivos Ivanti Connect Secure. O RESURGE é descrito como um arquivo de objeto compartilhado Linux de 32 bits que permite comunicação encoberta com o atacante, utilizando técnicas sofisticadas de evasão e autenticação em nível de rede. O malware pode sobreviver a reinicializações, criar webshells para roubo de credenciais, criar contas, redefinir senhas e escalar privilégios. A vulnerabilidade crítica foi explorada desde dezembro de 2024 por um ator de ameaças vinculado à China, conhecido internamente como UNC5221. O RESURGE se destaca por sua capacidade de permanecer latente em sistemas até que um ator remoto tente se conectar ao dispositivo comprometido, o que o torna uma ameaça ativa e difícil de detectar. A CISA recomenda que administradores de sistemas utilizem os indicadores de comprometimento (IoCs) atualizados para identificar e remover infecções do RESURGE em dispositivos Ivanti.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma nova vulnerabilidade, identificada como CVE-2026-25108, ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Com uma pontuação CVSS v4 de 8.7, essa falha de injeção de comandos do sistema operacional pode permitir que um usuário autenticado execute comandos arbitrários através de requisições HTTP especialmente elaboradas. A vulnerabilidade afeta as versões 4.2.1 a 4.2.8 e 5.0.0 a 5.0.10 do FileZen, um produto de transferência de arquivos da Soliton Systems K.K. A exploração bem-sucedida dessa falha só é possível se a opção de verificação de antivírus do FileZen estiver ativada. A empresa já recebeu relatos de danos causados por essa vulnerabilidade. Para mitigar o risco, os usuários são aconselhados a atualizar para a versão 5.0.11 ou posterior e a trocar todas as senhas de usuários, uma vez que um atacante pode logar com contas reais. A CISA recomenda que as agências federais dos EUA apliquem as correções necessárias até 17 de março de 2026.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) identificou duas vulnerabilidades críticas no Roundcube Webmail, um cliente de e-mail amplamente utilizado, especialmente em servidores que operam com cPanel. A primeira, CVE-2025-49113, é uma falha de execução remota de código que está sendo ativamente explorada por agentes maliciosos, com mais de 84.000 instalações vulneráveis. A segunda vulnerabilidade, CVE-2025-68461, permite ataques de cross-site scripting (XSS) por atacantes remotos e não autenticados, utilizando a tag animate em documentos SVG. Ambas as falhas foram adicionadas ao catálogo de vulnerabilidades conhecidas da CISA, que exige que as agências federais dos EUA apliquem patches em suas instalações em até três semanas. O Roundcube já lançou versões atualizadas (1.6.12 e 1.5.12) para corrigir essas falhas. A CISA também monitora outras vulnerabilidades no Roundcube, que têm sido alvo de grupos de cibercrime e ameaças patrocinadas por estados, como o grupo russo Winter Vivern. A situação é crítica, e a CISA recomenda a atualização imediata das instalações afetadas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas falhas de segurança do software de webmail Roundcube em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), devido a evidências de exploração ativa. As vulnerabilidades são: CVE-2025-49113, com uma pontuação CVSS de 9.9, que permite a execução remota de código por usuários autenticados devido à falta de validação do parâmetro _from em uma URL; e CVE-2025-68461, com pontuação CVSS de 7.2, que permite a execução de scripts entre sites via a tag animate em documentos SVG. Ambas as falhas foram corrigidas, a primeira em junho de 2025 e a segunda em dezembro do mesmo ano. A empresa de cibersegurança FearsOff, que descobriu a CVE-2025-49113, alertou que a vulnerabilidade foi rapidamente explorada e disponibilizada para venda em um curto espaço de tempo após a divulgação pública. Embora não haja informações sobre os responsáveis pela exploração, o histórico de ataques a software de email sugere que atores de ameaças de nações, como APT28, possam estar envolvidos. As agências do Federal Civilian Executive Branch (FCEB) têm até 13 de março de 2026 para remediar as vulnerabilidades identificadas, a fim de proteger suas redes contra essa ameaça ativa.

Um alerta recente da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) revelou que várias câmeras de segurança da Honeywell apresentam uma falha crítica de segurança, classificada com um escore de 9.8/10. Essa vulnerabilidade, identificada como CVE-2026-1670, permite que atacantes não autenticados acessem feeds de vídeo e até assumam contas de usuários. A falha é caracterizada pela ‘falta de autenticação para funções críticas’, o que significa que um invasor pode alterar o endereço de e-mail de recuperação e comprometer ainda mais a rede alvo. A lista de modelos afetados inclui câmeras utilizadas em ambientes empresariais de médio porte, que são comuns em operações industriais e de infraestrutura crítica. A CISA recomenda que os proprietários das câmeras apliquem patches de segurança imediatamente e adotem medidas adicionais, como isolar redes de controle e utilizar VPNs seguras para acesso remoto. Embora a falha ainda não tenha sido explorada ativamente, a divulgação pode incentivar cibercriminosos a buscar sistemas vulneráveis. Portanto, a situação exige atenção urgente dos responsáveis pela segurança cibernética.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais corrijam uma vulnerabilidade crítica da Dell em seus sistemas em um prazo de três dias. A falha, identificada como CVE-2026-22769, está sendo explorada ativamente por um grupo de hackers suspeito de ser ligado à China, conhecido como UNC6201. Essa vulnerabilidade, que envolve credenciais hardcoded no Dell RecoverPoint, uma solução para backup e recuperação de máquinas virtuais VMware, permite que os atacantes acessem redes de vítimas e implantem malwares, incluindo uma nova backdoor chamada Grimbolt. A CISA incluiu essa falha em seu catálogo de Vulnerabilidades Conhecidas e Explotadas (KEV), destacando a urgência de mitigações. Além disso, a CISA também alertou sobre outra vulnerabilidade crítica em instâncias do BeyondTrust Remote Support, exigindo ações rápidas para proteger as redes. A situação ressalta a importância de uma resposta ágil a vulnerabilidades críticas, especialmente em um cenário onde grupos de hackers estão cada vez mais sofisticados e ativos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre uma vulnerabilidade crítica em diversos produtos de CCTV da Honeywell, que pode permitir acesso não autorizado a feeds de câmeras e sequestro de contas. Identificada pelo pesquisador Souvik Kanda e classificada como CVE-2026-1670, a falha é categorizada como ‘falta de autenticação para função crítica’ e recebeu uma pontuação de severidade crítica de 9.8. A vulnerabilidade permite que um atacante não autenticado altere o endereço de e-mail de recuperação associado a uma conta de dispositivo, possibilitando o sequestro da conta e o acesso não autorizado às imagens das câmeras. A CISA recomenda que os usuários minimizem a exposição de dispositivos de controle em suas redes, utilizando firewalls e métodos seguros de acesso remoto, como VPNs atualizadas. Embora a Honeywell ainda não tenha publicado um aviso sobre a CVE-2026-1670, os usuários são aconselhados a entrar em contato com a equipe de suporte da empresa para orientações sobre correções. Até o momento, não há relatos conhecidos de exploração pública dessa vulnerabilidade.