Cisa

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou quatro avisos em 2 de setembro de 2025, alertando sobre vulnerabilidades recém-descobertas em sistemas de controle industrial (ICS) que podem ser exploradas em ataques cibernéticos. Essas falhas afetam produtos de empresas como Delta Electronics, Fuji Electric, SunPower e Hitachi Energy, destacando a crescente ameaça enfrentada por utilidades e operadores de infraestrutura crítica em todo o mundo.

O primeiro aviso refere-se a uma vulnerabilidade de travessia de diretório no software EIP Builder da Delta Electronics, que pode permitir que atacantes realizem operações não autorizadas. O segundo alerta destaca um estouro de buffer no FRENIC-Loader 4 da Fuji Electric, que pode levar à execução arbitrária de código. O terceiro aviso menciona uma falha de bypass de autenticação na plataforma de gerenciamento de inversores solares PVS6 da SunPower, permitindo que atacantes alterem configurações críticas. Por fim, o quarto aviso aborda várias vulnerabilidades nos relés de proteção Relion da Hitachi Energy, incluindo operações não autorizadas via interface Modbus.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou duas vulnerabilidades críticas que afetam roteadores TP-Link ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). As falhas, CVE-2023-50224 e CVE-2025-9377, têm sido exploradas ativamente. A primeira, com um CVSS de 6.5, permite a bypass de autenticação no serviço httpd do modelo TL-WR841N, resultando na exposição de credenciais armazenadas. A segunda, com um CVSS de 8.6, é uma vulnerabilidade de injeção de comandos do sistema operacional que pode levar à execução remota de código em modelos como o Archer C7 e TL-WR841N. Embora a TP-Link tenha lançado atualizações de firmware em novembro de 2024, os modelos afetados já atingiram o status de fim de vida (EoL) e não recebem mais suporte ativo. A CISA recomenda que as agências federais implementem as mitig ações necessárias até 24 de setembro de 2025. A atividade maliciosa associada a essas vulnerabilidades está ligada a um botnet conhecido como Quad7, utilizado por um ator de ameaças vinculado à China. A falta de relatórios públicos sobre a exploração dessas falhas não diminui a urgência de ações corretivas.

Uma grave vulnerabilidade de segurança foi identificada no extensor de alcance sem fio TP-Link TL-WA855RE, permitindo que atacantes maliciosos comprometam completamente a segurança do dispositivo e obtenham acesso administrativo não autorizado. Classificada como CWE-306 (Falta de Autenticação para Função Crítica), essa falha representa uma ameaça significativa à segurança da infraestrutura de rede. O problema permite que atacantes não autenticados, operando na mesma rede, executem um reset de fábrica e sequência de reinicialização ao enviar uma solicitação POST TDDP_RESET especialmente elaborada. Isso contorna todos os mecanismos de autenticação existentes, permitindo que os atacantes redefinam o dispositivo para as configurações de fábrica e estabeleçam novas credenciais administrativas. A vulnerabilidade explora a implementação do protocolo TDDP (TP-Link Device Discovery Protocol) no firmware do TL-WA855RE. Especialistas recomendam a descontinuação imediata dos dispositivos afetados, especialmente se estiverem fora do suporte. Para organizações que não podem substituir o equipamento imediatamente, a segmentação de rede e o monitoramento de atividades suspeitas são medidas recomendadas para mitigar riscos temporariamente.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança de alta severidade, identificada como CVE-2020-24363, no catálogo de Vulnerabilidades Conhecidas (KEV). Essa vulnerabilidade afeta produtos extensor de Wi-Fi TP-Link TL-WA855RE e permite que atacantes não autenticados na mesma rede realizem um reset de fábrica e obtenham acesso administrativo ao dispositivo. A CISA alerta que essa falha já está sendo explorada ativamente. Embora a vulnerabilidade tenha sido corrigida na versão de firmware TL-WA855RE(EU)_V5_200731, o produto atingiu o status de fim de vida (EoL), o que significa que não receberá mais atualizações ou patches. Os usuários são aconselhados a substituir seus dispositivos por modelos mais novos para garantir uma proteção adequada. Além disso, a CISA também adicionou uma falha no WhatsApp, que está sendo explorada em uma campanha de spyware direcionada. As agências do governo federal dos EUA têm até 23 de setembro de 2025 para aplicar as mitig ações necessárias para ambas as vulnerabilidades.

Em agosto de 2025, a NSA, CISA e FBI, em conjunto com parceiros internacionais, emitiram um alerta sobre uma campanha de comprometimento de redes patrocinada pelo Estado Chinês, envolvendo atores de Ameaça Persistente Avançada (APT). O guia detalha as táticas, técnicas e procedimentos (TTPs) utilizados para infiltrar redes de telecomunicações, governo, transporte e hospedagem em todo o mundo. Os atacantes exploram vulnerabilidades conhecidas, especialmente em roteadores e dispositivos de borda, utilizando exploits de alta gravidade, como os CVEs que afetam fornecedores como Cisco e Palo Alto Networks. Após a invasão, os atacantes alteram configurações de dispositivos para manter acesso persistente e evitar detecção. O guia recomenda ações como auditoria de tabelas de roteamento, monitoramento de portas de gerenciamento não padrão e isolamento do plano de gerenciamento. A importância da caça a ameaças e resposta rápida a incidentes é enfatizada, com um apelo para que as organizações relatem detalhes de compromissos para melhorar a compreensão coletiva e facilitar a mitigação.

A Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA divulgou três novos avisos sobre Sistemas de Controle Industrial (ICS) que destacam vulnerabilidades críticas em produtos de automação e controle. Os avisos, publicados em 26 de agosto de 2025, abordam falhas em softwares de interface homem-máquina, controladores lógicos programáveis e dispositivos de monitoramento de bombas. Cada aviso classifica a severidade das vulnerabilidades utilizando o Sistema Comum de Pontuação de Vulnerabilidades (CVSS) e oferece estratégias de mitigação, como endurecimento de configurações e atualizações de software. As organizações que utilizam os produtos afetados são instadas a avaliar sua exposição, implementar soluções alternativas e aplicar patches fornecidos pelos fornecedores imediatamente. Além disso, recomenda-se que os administradores validem os controles de segmentação de rede, reforcem políticas de acesso e monitorem atividades anômalas que possam indicar tentativas de exploração. As vulnerabilidades identificadas têm severidades que variam de 7.8 a 9.1, sendo a mais crítica a relacionada ao software VT-Designer da INVT Electric. A CISA enfatiza a importância de uma gestão eficaz de patches e um monitoramento contínuo para proteger as operações industriais contra possíveis ataques.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu três vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), relacionadas ao Citrix Session Recording e ao Git. As falhas CVE-2024-8068 e CVE-2024-8069, ambas com uma pontuação CVSS de 5.1, permitem a escalada de privilégios e execução remota de código, respectivamente, quando um atacante é um usuário autenticado na mesma rede do servidor de gravação de sessões. A terceira vulnerabilidade, CVE-2025-48384, com uma pontuação CVSS de 8.1, está relacionada ao Git e resulta em execução arbitrária de código devido ao tratamento inconsistente de caracteres de retorno de carro em arquivos de configuração. As falhas da Citrix foram corrigidas em novembro de 2024, enquanto a vulnerabilidade do Git foi abordada em julho de 2025. A CISA não forneceu detalhes adicionais sobre a atividade de exploração, mas exigiu que as agências federais implementassem as mitig ações necessárias até 15 de setembro de 2025.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica da Apple em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-43300, afeta iOS, iPadOS e macOS, permitindo que atacantes executem código arbitrário ou provoquem falhas no sistema. Essa vulnerabilidade é classificada como uma escrita fora dos limites (CWE-787) dentro do framework Image I/O, que é responsável pelo processamento de dados de imagem nos sistemas da Apple. A exploração pode ocorrer através de arquivos de imagem maliciosos enviados por e-mail ou acessados em sites comprometidos. A CISA recomenda que as organizações apliquem as correções fornecidas pela Apple e monitorem atividades suspeitas relacionadas ao processamento de arquivos de imagem. A inclusão dessa vulnerabilidade no catálogo KEV indica que é uma preocupação de segurança de alta prioridade, exigindo atenção imediata das equipes de segurança em todos os setores.

No dia 19 de agosto de 2025, a Cybersecurity and Infrastructure Security Agency (CISA) divulgou quatro novos avisos sobre Sistemas de Controle Industrial (ICS), abordando vulnerabilidades em componentes de infraestrutura crítica de grandes fornecedores, como Siemens, Tigo Energy e EG4 Electronics. Os avisos destacam os desafios de segurança contínuos em ambientes de tecnologia operacional que suportam serviços essenciais em diversos setores da indústria.

Dentre os avisos, dois focam em produtos da Siemens, que são amplamente utilizados em infraestrutura crítica. O primeiro, ICSA-25-231-01, trata de vulnerabilidades na família de produtos Desigo CC e nos sistemas SENTRON Powermanager, comuns em instalações comerciais e hospitais. O segundo, ICSA-25-231-02, aborda o módulo SAML da Mendix, que lida com protocolos de autenticação, permitindo acesso não autorizado a sistemas críticos.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta sobre uma vulnerabilidade crítica no Trend Micro Apex One Management Console, identificada como CVE-2025-54948. Essa falha de injeção de comandos do sistema operacional permite que atacantes remotos, com credenciais de autenticação prévia, executem comandos arbitrários em sistemas vulneráveis. A vulnerabilidade foi adicionada ao catálogo de Vulnerabilidades Conhecidas (KEV) em 18 de agosto de 2025, e as organizações têm até 8 de setembro de 2025 para implementar as mitig ações recomendadas. A falha, classificada como CWE-78, pode ser explorada por usuários com acesso legítimo, permitindo movimentos laterais e escalonamento de privilégios dentro de redes comprometidas. Embora não haja confirmação de uso em campanhas de ransomware, a inclusão no KEV indica exploração ativa. As empresas que utilizam o Apex One enfrentam riscos imediatos, pois a exploração dessa vulnerabilidade pode comprometer a infraestrutura de segurança e desativar mecanismos de proteção de endpoints. A CISA recomenda que as equipes de segurança priorizem esforços de correção e implementem segmentação de rede para limitar movimentos laterais.