Cisa

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre a exploração ativa de uma vulnerabilidade crítica no Windows Server Update Services (WSUS), identificada como CVE-2025-59287. Essa falha permite que atacantes não autenticados executem código remotamente com privilégios de sistema em servidores vulneráveis. A Microsoft lançou uma atualização de segurança emergencial em 23 de outubro de 2025, após descobrir que um patch anterior não resolveu completamente o problema. A vulnerabilidade afeta várias versões do Windows Server, incluindo 2012, 2016, 2019, 2022 e 2025, e é especialmente perigosa para organizações que utilizam o WSUS com as portas 8530 ou 8531 abertas. Os atacantes podem obter controle total sobre os sistemas afetados, possibilitando a instalação de ransomware, roubo de dados sensíveis e criação de backdoors. A CISA recomenda que as organizações identifiquem imediatamente os servidores vulneráveis e apliquem a atualização de segurança, além de considerar medidas temporárias, como desabilitar o WSUS ou bloquear o tráfego nas portas mencionadas. A situação é crítica, e a falta de ação pode resultar em sérias consequências para a segurança das informações das empresas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança crítica no Motex Lanscope Endpoint Manager em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2025-61932, possui uma pontuação CVSS v4 de 9.3 e afeta versões locais do Lanscope, especificamente o programa Cliente e o Agente de Detecção. Essa falha permite que atacantes executem código arbitrário em sistemas vulneráveis ao enviar pacotes especialmente elaborados. A CISA recomenda que as agências do Federal Civilian Executive Branch (FCEB) remedeiem essa vulnerabilidade até 12 de novembro de 2025, a fim de proteger suas redes. Embora ainda não se saiba como a vulnerabilidade está sendo explorada em ataques reais, o portal japonês Japan Vulnerability Notes (JVN) informou que um cliente da Motex recebeu um pacote malicioso suspeito de visar essa falha. As versões afetadas são as 9.4.7.1 e anteriores, enquanto as versões corrigidas incluem a 9.4.6.3.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre uma grave vulnerabilidade no Microsoft Windows Server Message Block (SMB), identificada como CVE-2025-33073. Essa falha de controle de acesso inadequado permite que atacantes escalem privilégios em sistemas comprometidos, possibilitando o controle total sobre eles. A vulnerabilidade está sendo ativamente explorada em ataques reais, o que representa uma ameaça significativa para redes federais e infraestrutura crítica. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas e Exploited, exigindo que agências federais a corrijam até 10 de novembro de 2025. Organizações que utilizam sistemas Windows são aconselhadas a revisar as orientações de atualização de segurança da Microsoft e aplicar patches imediatamente. Embora não haja confirmação de que essa vulnerabilidade esteja ligada a ataques de ransomware, falhas de escalonamento de privilégios são frequentemente utilizadas por grupos de ransomware. A rápida ação das organizações é crucial para proteger seus sistemas contra esses ataques, destacando a importância de práticas eficazes de gerenciamento de vulnerabilidades.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou cinco falhas de segurança ao seu Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), incluindo uma vulnerabilidade crítica no Oracle E-Business Suite (EBS). A falha CVE-2025-61884, com uma pontuação CVSS de 7.5, é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) que permite acesso não autorizado a dados críticos sem necessidade de autenticação. Além disso, a CISA destacou a CVE-2025-61882, uma falha crítica com pontuação CVSS de 9.8, que permite a execução de código arbitrário por atacantes não autenticados. Ambas as vulnerabilidades estão sendo ativamente exploradas em ataques reais, afetando diversas organizações. Outras vulnerabilidades listadas incluem falhas em Microsoft Windows e Kentico Xperience CMS, que também apresentam riscos significativos. As agências federais dos EUA devem corrigir essas vulnerabilidades até 10 de novembro de 2025 para proteger suas redes contra ameaças ativas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma vulnerabilidade crítica do Microsoft Windows ao seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), alertando que atacantes estão explorando ativamente essa falha em ataques reais. A vulnerabilidade, identificada como CVE-2025-59230, afeta o componente Gerenciador de Conexão de Acesso Remoto do Windows e permite que atacantes aumentem seus privilégios em sistemas comprometidos. Isso significa que um invasor com acesso limitado pode obter permissões mais altas, possibilitando a execução de código malicioso, acesso a dados sensíveis e movimentação lateral em redes interconectadas. A CISA ordenou que agências federais apliquem patches de segurança até 4 de novembro, e recomenda que todas as organizações priorizem a correção dessa falha. Dada a exploração ativa e a urgência do alerta, as equipes de segurança devem tratar essa vulnerabilidade como uma prioridade alta para evitar possíveis violações e comprometimentos de sistemas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma falha de segurança crítica no Adobe Experience Manager (AEM) ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2025-54253, possui uma pontuação CVSS de 10.0, indicando severidade máxima, e pode permitir a execução de código arbitrário. A falha afeta as versões 6.5.23.0 e anteriores do AEM Forms em JEE e foi corrigida na versão 6.5.0-0108, lançada em agosto de 2025. O problema decorre de um servlet exposto, que avalia expressões OGNL fornecidas pelo usuário como código Java, sem exigir autenticação ou validação de entrada. Embora não haja informações públicas sobre como a falha está sendo explorada em ataques reais, a Adobe reconheceu a existência de um proof-of-concept disponível publicamente. Em resposta à exploração ativa, as agências do Federal Civilian Executive Branch (FCEB) foram orientadas a aplicar as correções necessárias até 5 de novembro de 2025.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) adicionou a vulnerabilidade CVE-2025-6264 ao seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), alertando que operadores de ransomware estão explorando uma falha de permissões padrão no Velociraptor, uma ferramenta de forense de endpoints da Rapid7. Essa vulnerabilidade permite a execução de comandos arbitrários e a possível tomada de controle do endpoint, desde que o atacante já tenha acesso suficiente para coletar artefatos. A falha está relacionada a configurações de permissões incorretas, que podem ser utilizadas em estágios de movimento lateral em ataques de ransomware, onde os operadores convertem acessos limitados em controle total. A CISA recomenda que as organizações remedeiem a vulnerabilidade até 4 de novembro de 2025, aplicando as mitig ações do fornecedor e seguindo as diretrizes de BOD 22-01 para serviços em nuvem. A exploração ativa dessa vulnerabilidade foi observada em várias campanhas de ransomware, elevando a urgência para defensores do setor público e privado. As equipes de segurança devem verificar as permissões de implantação do Velociraptor, reforçar credenciais e aumentar a telemetria para detectar usos anômalos.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta urgente sobre uma vulnerabilidade zero-day de cross-site scripting (XSS) no Zimbra Collaboration Suite (ZCS), que está sendo ativamente explorada por agentes maliciosos. Essa falha permite que atacantes sequestram sessões de usuários, roubem dados sensíveis e manipulem filtros de e-mail sem a necessidade de privilégios elevados. A vulnerabilidade se origina da sanitização insuficiente de conteúdo HTML em arquivos de convite de calendário (ICS) visualizados na interface Classic Web Client. Um atacante pode criar uma entrada ICS maliciosa que embute código JavaScript, que é executado quando um usuário desavisado abre o e-mail com o anexo comprometido. A CISA adicionou essa falha ao seu Catálogo de Vulnerabilidades Conhecidas em 7 de outubro de 2025, atribuindo um prazo de ação até 28 de outubro de 2025. Com um CVSS de 7.5, a vulnerabilidade é considerada de alta severidade. Os administradores do ZCS são aconselhados a aplicar patches disponíveis ou seguir estratégias de mitigação imediatas para evitar acessos não autorizados e possíveis vazamentos de dados. A recomendação inclui a revisão de políticas de anexos de e-mail e a educação dos usuários sobre os riscos associados a convites de calendário inesperados.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta gravidade, CVE-2025-4008, que afeta o Smartbedded Meteobridge, em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Com uma pontuação CVSS de 8.7, essa falha é um caso de injeção de comando na interface web do Meteobridge, permitindo que atacantes remotos não autenticados executem comandos arbitrários com privilégios elevados nos dispositivos afetados. A vulnerabilidade foi descoberta pela ONEKEY e relatada em fevereiro de 2025, sendo que a interface web do Meteobridge é acessível publicamente, o que facilita a exploração. A CISA recomenda que as agências federais dos EUA apliquem as atualizações necessárias até 23 de outubro de 2025. Além disso, outras quatro vulnerabilidades críticas foram adicionadas ao catálogo, incluindo falhas em dispositivos móveis da Samsung e no Jenkins. A atualização para a versão 6.2 do Meteobridge, lançada em 13 de maio de 2025, já aborda essa vulnerabilidade.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica no utilitário de linha de comando Sudo, que impacta sistemas Linux e Unix-like, em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-32463, possui uma pontuação CVSS de 9.3 e afeta versões do Sudo anteriores à 1.9.17p1. A vulnerabilidade foi revelada pelo pesquisador Rich Mirch da Stratascale em julho de 2025 e permite que atacantes locais utilizem a opção -R (–chroot) do Sudo para executar comandos arbitrários como root, mesmo que não estejam listados no arquivo sudoers.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre uma vulnerabilidade zero-day no Google Chrome, identificada como CVE-2025-10585. Essa falha, localizada no motor V8 do JavaScript e WebAssembly, representa um risco significativo para usuários em todo o mundo, pois permite que atacantes manipulem estruturas de memória e executem código arbitrário ao visitar páginas da web maliciosas. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas e Explotadas, exigindo que agências federais apliquem correções ou suspendam o uso das versões afetadas até 14 de outubro de 2025. Embora a Google tenha lançado patches para resolver o problema, a CISA recomenda que usuários e administradores verifiquem manualmente a instalação das atualizações. A natureza crítica da falha, que pode ser explorada sem interação adicional do usuário, torna essencial que organizações, tanto públicas quanto privadas, adotem medidas de mitigação, como a aplicação de atualizações e o monitoramento de tráfego de rede para sinais de comprometimento.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre uma campanha de malware sofisticada que explora duas vulnerabilidades recentemente divulgadas no Ivanti Endpoint Manager Mobile (EPMM). As falhas, identificadas como CVE-2025-4427 e CVE-2025-4428, permitem a execução remota de código não autenticado em servidores EPMM locais. Os atacantes utilizam requisições HTTP GET manipuladas para injetar segmentos de código malicioso, contornando defesas baseadas em assinatura. A CISA recomenda que as organizações atualizem imediatamente suas versões do Ivanti EPMM, tratem os sistemas de gerenciamento de dispositivos móveis como ativos de alto valor e implementem regras de detecção para identificar atividades suspeitas. A análise da CISA inclui regras YARA e SIGMA para ajudar na identificação de artefatos maliciosos e comportamentos anômalos. A vigilância contínua e a gestão rápida de patches são essenciais para mitigar essa ameaça ativa.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou informações sobre duas famílias de malware encontradas na rede de uma organização não identificada, após a exploração de vulnerabilidades no Ivanti Endpoint Manager Mobile (EPMM). As falhas exploradas, CVE-2025-4427 e CVE-2025-4428, permitiram que atacantes contornassem a autenticação e executassem código remotamente. A primeira vulnerabilidade permite o acesso a recursos protegidos, enquanto a segunda possibilita a execução de código arbitrário. Os atacantes conseguiram acessar o servidor EPMM em meados de maio de 2025, utilizando um exploit de prova de conceito. Após a invasão, foram implantados dois conjuntos de arquivos maliciosos que garantiram a persistência e a execução de código arbitrário. Esses arquivos manipulam requisições HTTP para decodificar e executar cargas úteis maliciosas. Para se proteger, as organizações devem atualizar suas instâncias para a versão mais recente e monitorar atividades suspeitas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre uma vulnerabilidade crítica no WhatsApp, identificada como CVE-2025-55177, que já está sendo explorada por cibercriminosos em campanhas de ataque. Essa falha de zero-day afeta a funcionalidade de sincronização de dispositivos do aplicativo, permitindo que atacantes manipulem mensagens de sincronização e forcem dispositivos a processar conteúdo malicioso. O problema reside em uma verificação de autorização incorreta no framework de sincronização entre dispositivos, classificada como CWE-863. A CISA estabeleceu um prazo até 23 de setembro para que agências federais e organizações de infraestrutura crítica implementem correções. A exploração dessa vulnerabilidade pode levar a acessos não autorizados, exfiltração de dados e instalação de malware, ampliando significativamente o risco para os usuários do WhatsApp. A natureza silenciosa do ataque, que não requer interação do usuário, torna a conscientização tradicional ineficaz contra essa ameaça.

A TP-Link lançou atualizações de firmware para corrigir duas vulnerabilidades críticas em seus roteadores de pequeno escritório e home office (SOHO), especificamente nos modelos Archer C7 e TL-WR841N/ND. As falhas, identificadas como CVE-2025-50224 e CVE-2025-9377, foram exploradas por um grupo de ameaças cibernéticas chinês conhecido como Quad7, que utilizou um botnet para realizar ataques de password-spraying contra contas do Microsoft 365. A CVE-2025-50224 é uma vulnerabilidade de bypass de autenticação com severidade média (6.5/10), enquanto a CVE-2025-9377 é uma vulnerabilidade de execução remota de comando (RCE) com severidade alta (8.6/10). Apesar de os roteadores estarem em status de fim de vida (EoL), a gravidade das falhas levou a TP-Link a emitir atualizações. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) também emitiu avisos sobre essas vulnerabilidades, incluindo a CVE-2025-9377 em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), dando um prazo de três semanas para que agências aplicassem os patches ou substituíssem o hardware. A situação é alarmante, pois qualquer usuário de roteadores afetados está em risco, e muitos provedores de serviços de internet (ISPs) têm distribuído esses dispositivos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) elevou a prioridade de uma nova vulnerabilidade zero-day no componente Android Runtime, classificando-a como de alta gravidade. A falha, identificada como CVE-2025-48543, resulta de um erro de uso após a liberação de memória, permitindo que atacantes escapem do sandbox do Chrome e executem código arbitrário, potencialmente elevando privilégios a nível root em dispositivos Android. A CISA recomenda que organizações e usuários finais implementem medidas de mitigação até 25 de setembro de 2025 para evitar possíveis violações de dados ou controle não autorizado de dispositivos. A vulnerabilidade é especialmente preocupante devido à ampla adoção do Android, que opera bilhões de dispositivos globalmente, expondo dados pessoais e credenciais a agentes maliciosos. As recomendações incluem verificar atualizações de firmware, endurecer configurações do Android Runtime e implementar diretrizes operacionais para monitoramento. Embora não haja evidências de ligação com campanhas de ransomware, a urgência para a aplicação de patches é destacada, uma vez que sistemas não corrigidos permanecerão vulneráveis a acessos não autorizados e exfiltração de dados.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou quatro avisos em 2 de setembro de 2025, alertando sobre vulnerabilidades recém-descobertas em sistemas de controle industrial (ICS) que podem ser exploradas em ataques cibernéticos. Essas falhas afetam produtos de empresas como Delta Electronics, Fuji Electric, SunPower e Hitachi Energy, destacando a crescente ameaça enfrentada por utilidades e operadores de infraestrutura crítica em todo o mundo.

O primeiro aviso refere-se a uma vulnerabilidade de travessia de diretório no software EIP Builder da Delta Electronics, que pode permitir que atacantes realizem operações não autorizadas. O segundo alerta destaca um estouro de buffer no FRENIC-Loader 4 da Fuji Electric, que pode levar à execução arbitrária de código. O terceiro aviso menciona uma falha de bypass de autenticação na plataforma de gerenciamento de inversores solares PVS6 da SunPower, permitindo que atacantes alterem configurações críticas. Por fim, o quarto aviso aborda várias vulnerabilidades nos relés de proteção Relion da Hitachi Energy, incluindo operações não autorizadas via interface Modbus.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou duas vulnerabilidades críticas que afetam roteadores TP-Link ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). As falhas, CVE-2023-50224 e CVE-2025-9377, têm sido exploradas ativamente. A primeira, com um CVSS de 6.5, permite a bypass de autenticação no serviço httpd do modelo TL-WR841N, resultando na exposição de credenciais armazenadas. A segunda, com um CVSS de 8.6, é uma vulnerabilidade de injeção de comandos do sistema operacional que pode levar à execução remota de código em modelos como o Archer C7 e TL-WR841N. Embora a TP-Link tenha lançado atualizações de firmware em novembro de 2024, os modelos afetados já atingiram o status de fim de vida (EoL) e não recebem mais suporte ativo. A CISA recomenda que as agências federais implementem as mitig ações necessárias até 24 de setembro de 2025. A atividade maliciosa associada a essas vulnerabilidades está ligada a um botnet conhecido como Quad7, utilizado por um ator de ameaças vinculado à China. A falta de relatórios públicos sobre a exploração dessas falhas não diminui a urgência de ações corretivas.

Uma grave vulnerabilidade de segurança foi identificada no extensor de alcance sem fio TP-Link TL-WA855RE, permitindo que atacantes maliciosos comprometam completamente a segurança do dispositivo e obtenham acesso administrativo não autorizado. Classificada como CWE-306 (Falta de Autenticação para Função Crítica), essa falha representa uma ameaça significativa à segurança da infraestrutura de rede. O problema permite que atacantes não autenticados, operando na mesma rede, executem um reset de fábrica e sequência de reinicialização ao enviar uma solicitação POST TDDP_RESET especialmente elaborada. Isso contorna todos os mecanismos de autenticação existentes, permitindo que os atacantes redefinam o dispositivo para as configurações de fábrica e estabeleçam novas credenciais administrativas. A vulnerabilidade explora a implementação do protocolo TDDP (TP-Link Device Discovery Protocol) no firmware do TL-WA855RE. Especialistas recomendam a descontinuação imediata dos dispositivos afetados, especialmente se estiverem fora do suporte. Para organizações que não podem substituir o equipamento imediatamente, a segmentação de rede e o monitoramento de atividades suspeitas são medidas recomendadas para mitigar riscos temporariamente.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança de alta severidade, identificada como CVE-2020-24363, no catálogo de Vulnerabilidades Conhecidas (KEV). Essa vulnerabilidade afeta produtos extensor de Wi-Fi TP-Link TL-WA855RE e permite que atacantes não autenticados na mesma rede realizem um reset de fábrica e obtenham acesso administrativo ao dispositivo. A CISA alerta que essa falha já está sendo explorada ativamente. Embora a vulnerabilidade tenha sido corrigida na versão de firmware TL-WA855RE(EU)_V5_200731, o produto atingiu o status de fim de vida (EoL), o que significa que não receberá mais atualizações ou patches. Os usuários são aconselhados a substituir seus dispositivos por modelos mais novos para garantir uma proteção adequada. Além disso, a CISA também adicionou uma falha no WhatsApp, que está sendo explorada em uma campanha de spyware direcionada. As agências do governo federal dos EUA têm até 23 de setembro de 2025 para aplicar as mitig ações necessárias para ambas as vulnerabilidades.

Em agosto de 2025, a NSA, CISA e FBI, em conjunto com parceiros internacionais, emitiram um alerta sobre uma campanha de comprometimento de redes patrocinada pelo Estado Chinês, envolvendo atores de Ameaça Persistente Avançada (APT). O guia detalha as táticas, técnicas e procedimentos (TTPs) utilizados para infiltrar redes de telecomunicações, governo, transporte e hospedagem em todo o mundo. Os atacantes exploram vulnerabilidades conhecidas, especialmente em roteadores e dispositivos de borda, utilizando exploits de alta gravidade, como os CVEs que afetam fornecedores como Cisco e Palo Alto Networks. Após a invasão, os atacantes alteram configurações de dispositivos para manter acesso persistente e evitar detecção. O guia recomenda ações como auditoria de tabelas de roteamento, monitoramento de portas de gerenciamento não padrão e isolamento do plano de gerenciamento. A importância da caça a ameaças e resposta rápida a incidentes é enfatizada, com um apelo para que as organizações relatem detalhes de compromissos para melhorar a compreensão coletiva e facilitar a mitigação.

A Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA divulgou três novos avisos sobre Sistemas de Controle Industrial (ICS) que destacam vulnerabilidades críticas em produtos de automação e controle. Os avisos, publicados em 26 de agosto de 2025, abordam falhas em softwares de interface homem-máquina, controladores lógicos programáveis e dispositivos de monitoramento de bombas. Cada aviso classifica a severidade das vulnerabilidades utilizando o Sistema Comum de Pontuação de Vulnerabilidades (CVSS) e oferece estratégias de mitigação, como endurecimento de configurações e atualizações de software. As organizações que utilizam os produtos afetados são instadas a avaliar sua exposição, implementar soluções alternativas e aplicar patches fornecidos pelos fornecedores imediatamente. Além disso, recomenda-se que os administradores validem os controles de segmentação de rede, reforcem políticas de acesso e monitorem atividades anômalas que possam indicar tentativas de exploração. As vulnerabilidades identificadas têm severidades que variam de 7.8 a 9.1, sendo a mais crítica a relacionada ao software VT-Designer da INVT Electric. A CISA enfatiza a importância de uma gestão eficaz de patches e um monitoramento contínuo para proteger as operações industriais contra possíveis ataques.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu três vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), relacionadas ao Citrix Session Recording e ao Git. As falhas CVE-2024-8068 e CVE-2024-8069, ambas com uma pontuação CVSS de 5.1, permitem a escalada de privilégios e execução remota de código, respectivamente, quando um atacante é um usuário autenticado na mesma rede do servidor de gravação de sessões. A terceira vulnerabilidade, CVE-2025-48384, com uma pontuação CVSS de 8.1, está relacionada ao Git e resulta em execução arbitrária de código devido ao tratamento inconsistente de caracteres de retorno de carro em arquivos de configuração. As falhas da Citrix foram corrigidas em novembro de 2024, enquanto a vulnerabilidade do Git foi abordada em julho de 2025. A CISA não forneceu detalhes adicionais sobre a atividade de exploração, mas exigiu que as agências federais implementassem as mitig ações necessárias até 15 de setembro de 2025.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica da Apple em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-43300, afeta iOS, iPadOS e macOS, permitindo que atacantes executem código arbitrário ou provoquem falhas no sistema. Essa vulnerabilidade é classificada como uma escrita fora dos limites (CWE-787) dentro do framework Image I/O, que é responsável pelo processamento de dados de imagem nos sistemas da Apple. A exploração pode ocorrer através de arquivos de imagem maliciosos enviados por e-mail ou acessados em sites comprometidos. A CISA recomenda que as organizações apliquem as correções fornecidas pela Apple e monitorem atividades suspeitas relacionadas ao processamento de arquivos de imagem. A inclusão dessa vulnerabilidade no catálogo KEV indica que é uma preocupação de segurança de alta prioridade, exigindo atenção imediata das equipes de segurança em todos os setores.

No dia 19 de agosto de 2025, a Cybersecurity and Infrastructure Security Agency (CISA) divulgou quatro novos avisos sobre Sistemas de Controle Industrial (ICS), abordando vulnerabilidades em componentes de infraestrutura crítica de grandes fornecedores, como Siemens, Tigo Energy e EG4 Electronics. Os avisos destacam os desafios de segurança contínuos em ambientes de tecnologia operacional que suportam serviços essenciais em diversos setores da indústria.

Dentre os avisos, dois focam em produtos da Siemens, que são amplamente utilizados em infraestrutura crítica. O primeiro, ICSA-25-231-01, trata de vulnerabilidades na família de produtos Desigo CC e nos sistemas SENTRON Powermanager, comuns em instalações comerciais e hospitais. O segundo, ICSA-25-231-02, aborda o módulo SAML da Mendix, que lida com protocolos de autenticação, permitindo acesso não autorizado a sistemas críticos.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta sobre uma vulnerabilidade crítica no Trend Micro Apex One Management Console, identificada como CVE-2025-54948. Essa falha de injeção de comandos do sistema operacional permite que atacantes remotos, com credenciais de autenticação prévia, executem comandos arbitrários em sistemas vulneráveis. A vulnerabilidade foi adicionada ao catálogo de Vulnerabilidades Conhecidas (KEV) em 18 de agosto de 2025, e as organizações têm até 8 de setembro de 2025 para implementar as mitig ações recomendadas. A falha, classificada como CWE-78, pode ser explorada por usuários com acesso legítimo, permitindo movimentos laterais e escalonamento de privilégios dentro de redes comprometidas. Embora não haja confirmação de uso em campanhas de ransomware, a inclusão no KEV indica exploração ativa. As empresas que utilizam o Apex One enfrentam riscos imediatos, pois a exploração dessa vulnerabilidade pode comprometer a infraestrutura de segurança e desativar mecanismos de proteção de endpoints. A CISA recomenda que as equipes de segurança priorizem esforços de correção e implementem segmentação de rede para limitar movimentos laterais.