Cisco

A Cisco anunciou o desenvolvimento de uma nova inteligência artificial (IA) que utiliza 30 anos de dados sobre ataques cibernéticos para aprimorar a segurança digital. O projeto visa expandir o modelo Foundation-Sec-8B, que atualmente opera com 8 bilhões de parâmetros, para 17 bilhões, aumentando a precisão na detecção de ameaças. Raj Chopra, vice-presidente sênior da Cisco, destacou que o foco não é criar um sucessor, mas sim um modelo expandido que utilize um vasto arsenal de informações coletadas ao longo das últimas três décadas, incluindo incidentes e manuais de treinamento. A equipe de especialistas em segurança digital da Cisco liderará esse processo, que deve ser concluído até o final do ano. Além disso, a empresa está desenvolvendo novos modelos de IA para complementar essa versão atualizada, com o objetivo de apoiar os profissionais de segurança no combate ao cibercrime com ferramentas mais sofisticadas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre duas vulnerabilidades críticas nos firewalls da Cisco, identificadas como CVE-2025-20333 e CVE-2025-20362. Essas falhas, descobertas em setembro de 2025, estão sendo ativamente exploradas por grupos de ataque, incluindo a campanha ArcaneDoor, que tem como alvo redes governamentais. Apesar das diretrizes de emergência da CISA, que exigiam que as agências federais aplicassem patches em 24 horas, mais de 32.000 dispositivos ainda permanecem vulneráveis. A CISA observou que várias organizações acreditavam ter aplicado as atualizações necessárias, mas não o fizeram corretamente, o que as deixou expostas a ataques de malware e ransomware. A Cisco já havia alertado que as falhas eram exploradas como zero-days, afetando dispositivos da série 5500-X com serviços web habilitados. A CISA recomenda que todas as organizações verifiquem se as atualizações corretas foram aplicadas e sugere ações adicionais para mitigar os riscos em dispositivos ainda não atualizados.

A Cisco divulgou vulnerabilidades críticas de execução remota de código que afetam o Cisco Unified Contact Center Express (CCX), expondo organizações a riscos severos de segurança. O aviso detalha duas vulnerabilidades independentes no processo de Java Remote Method Invocation (RMI), que podem permitir que atacantes não autenticados obtenham controle total do sistema, incluindo privilégios de nível root. As falhas representam uma ameaça significativa para operações de contact center em todo o mundo, pois podem ser exploradas sem autenticação ou interação do usuário. A primeira vulnerabilidade permite o upload de arquivos arbitrários e a execução de comandos com permissões de root. A segunda permite que atacantes contornem mecanismos de autenticação na aplicação CCX Editor, criando a ilusão de acesso legítimo. Ambas as vulnerabilidades possuem pontuações CVSS de 9.8 e 9.4, respectivamente, indicando níveis críticos de severidade. A Cisco recomenda que as organizações que utilizam versões vulneráveis do CCX atualizem imediatamente para as versões corrigidas, uma vez que não existem alternativas de mitigação. A rápida remediação é essencial para proteger a infraestrutura crítica dos contact centers.

Um grupo de atacantes avançados está explorando vulnerabilidades zero-day não divulgadas em sistemas críticos de empresas, utilizando webshells personalizados para obter acesso administrativo em redes comprometidas. A equipe de inteligência de ameaças da Amazon identificou uma campanha cibernética coordenada que visa o Cisco Identity Service Engine (ISE) e sistemas da Citrix, revelando táticas de um adversário altamente sofisticado. A vulnerabilidade CVE-2025-20337 no Cisco ISE permite a execução remota de código sem autenticação, enquanto a CVE-2025-5777 afeta sistemas Citrix. Após a exploração, os atacantes implantaram um webshell sofisticado disfarçado como um componente legítimo do Cisco ISE, utilizando técnicas avançadas de evasão para evitar a detecção. A operação foi realizada inteiramente na memória, dificultando a coleta de evidências forenses. As organizações devem implementar estratégias de defesa em profundidade e monitorar comportamentos anômalos para se proteger contra essas ameaças.

A equipe de inteligência da Amazon anunciou a descoberta de ataques cibernéticos que exploram vulnerabilidades zero-day em softwares da Cisco e Citrix. As falhas identificadas são a CVE-2025-5777, conhecida como Citrix Bleed 2, e a CVE-2025-20337, que afeta o Mecanismo de Identidade da Cisco. A primeira permite burlar autenticações no NetScaler ADC da Citrix, enquanto a segunda possibilita a execução remota de códigos sem autenticação, comprometendo o sistema operacional. Ambas as vulnerabilidades foram corrigidas em julho de 2025, mas a Amazon identificou que hackers estavam ativamente explorando essas falhas, utilizando um web shell customizado para se infiltrar em sistemas. Este backdoor, disfarçado como um componente legítimo, consegue operar na memória e monitorar requisições HTTP, utilizando técnicas de encriptação para evitar detecção. O Diretor de Segurança da Informação da Amazon, CJ Moses, destacou a necessidade de estratégias de defesa robustas para proteger a infraestrutura crítica de identidade e controle de acesso às redes, evidenciando o alto nível de sofisticação dos atacantes.

A equipe de inteligência de ameaças da Amazon divulgou que um ator de ameaça avançado explorou duas falhas de segurança zero-day em produtos da Cisco e Citrix, visando implantar malware personalizado. As vulnerabilidades identificadas são a CVE-2025-5777, uma falha de validação de entrada no Citrix NetScaler ADC, e a CVE-2025-20337, uma vulnerabilidade de execução remota de código no Cisco Identity Services Engine (ISE). Ambas foram corrigidas em 2025, mas foram ativamente exploradas antes da correção. A exploração da CVE-2025-20337 resultou na implantação de um web shell disfarçado como um componente legítimo do Cisco ISE, evidenciando a sofisticação do ataque. A Amazon descreveu o ator como altamente capacitado, capaz de utilizar múltiplas exploits zero-day, o que ressalta a necessidade de as organizações implementarem estratégias de defesa em profundidade e capacidades robustas de detecção de comportamentos anômalos. O relatório destaca que mesmo sistemas bem configurados podem ser vulneráveis a esses tipos de ataques, enfatizando a importância de limitar o acesso a portais de gerenciamento privilegiados.

A Cisco divulgou um alerta sobre novas variantes de ataque que visam dispositivos com o software Cisco Secure Firewall Adaptive Security Appliance (ASA) e Cisco Secure Firewall Threat Defense (FTD). As vulnerabilidades identificadas como CVE-2025-20333 e CVE-2025-20362 podem causar reinicializações inesperadas em dispositivos não corrigidos, resultando em condições de negação de serviço (DoS). Ambas as falhas foram exploradas como vulnerabilidades zero-day, permitindo a execução de código arbitrário e acesso não autenticado a URLs restritas.

O Australian Signals Directorate (ASD) emitiu um alerta sobre ataques cibernéticos direcionados a dispositivos Cisco IOS XE não corrigidos, utilizando um implante desconhecido chamado BADCANDY. A vulnerabilidade explorada, CVE-2023-20198, possui uma pontuação CVSS de 10.0, permitindo que atacantes remotos e não autenticados criem contas com privilégios elevados, comprometendo o controle dos sistemas afetados. Desde 2023, essa falha tem sido ativamente explorada, especialmente por grupos de ameaças vinculados à China, como o Salt Typhoon, que visam prestadoras de telecomunicações. O ASD identificou que cerca de 400 dispositivos na Austrália foram comprometidos desde julho de 2025, com 150 infecções ocorrendo apenas em outubro. O BADCANDY é descrito como um shell web baseado em Lua, que não possui um mecanismo de persistência, mas pode ser reintroduzido se os dispositivos permanecerem expostos e não corrigidos. O ASD recomenda que operadores de sistemas apliquem patches, limitem a exposição pública das interfaces web e sigam diretrizes de segurança da Cisco para evitar novas tentativas de exploração. Medidas adicionais incluem a revisão de configurações de contas e interfaces de túnel desconhecidas.

Autoridades de cibersegurança alertam sobre campanhas de exploração direcionadas a dispositivos Cisco IOS XE, utilizando uma vulnerabilidade crítica identificada como CVE-2023-20198. Essa falha permite que atacantes remotos e não autenticados criem contas altamente privilegiadas, comprometendo o controle total dos dispositivos. Desde outubro de 2023, um shell web sofisticado chamado BADCANDY tem sido implantado, afetando mais de 150 dispositivos na Austrália, mesmo após esforços de remediação. O BADCANDY é caracterizado como um implante de baixa complexidade técnica, o que facilita sua adoção por diversos grupos de ameaças, incluindo atores patrocinados por estados. A vulnerabilidade é particularmente preocupante, pois permite que os atacantes apliquem patches não persistentes, dificultando a detecção por administradores de rede. Para mitigar essa ameaça, é essencial que as organizações apliquem os patches oficiais da Cisco e sigam as diretrizes de segurança recomendadas, especialmente desabilitando a interface HTTP, a menos que seja absolutamente necessário. A situação atual exige vigilância contínua e ações rápidas para proteger a infraestrutura crítica das redes.

Recentes incidentes de cibersegurança revelam que brechas silenciosas estão se tornando comuns, com atacantes permanecendo nas redes por longos períodos sem serem detectados. Um dos casos mais alarmantes envolve a F5, que anunciou a violação de seus sistemas por atores desconhecidos, resultando no roubo de códigos fonte do BIG-IP e informações sobre vulnerabilidades não divulgadas. Acredita-se que os atacantes, associados a um grupo de espionagem da China, estavam ativos na rede da F5 por pelo menos 12 meses.

Pesquisadores de cibersegurança revelaram uma nova campanha, chamada Operação Zero Disco, que explora uma vulnerabilidade crítica no Cisco IOS e IOS XE para implantar rootkits em sistemas Linux mais antigos. A falha, identificada como CVE-2025-20352, possui uma pontuação CVSS de 7.7 e permite que atacantes remotos autenticados executem código arbitrário ao enviar pacotes SNMP manipulados. Embora a Cisco tenha lançado um patch para a vulnerabilidade, ataques reais já estavam em andamento, utilizando essa falha como um zero-day. Os dispositivos mais afetados incluem as séries Cisco 9400, 9300 e 3750G. Os rootkits implantados possibilitam acesso não autorizado persistente, configurando senhas universais e instalando hooks na memória do daemon IOS. Os atacantes também tentaram explorar uma vulnerabilidade no Telnet, permitindo acesso à memória em endereços arbitrários. A operação se destacou por atingir sistemas Linux antigos sem soluções de detecção de endpoint, permitindo que os rootkits operassem sem serem detectados. A utilização de endereços IP e e-mails falsificados também foi observada durante as intrusões.

Pesquisadores de cibersegurança da Trend Micro descobriram uma campanha de ataque sofisticada chamada “Operação Zero Disco”, que explora uma vulnerabilidade crítica no protocolo SNMP da Cisco para implantar rootkits Linux em dispositivos de infraestrutura de rede. A vulnerabilidade, identificada como CVE-2025-20352, permite a execução remota de código (RCE) em modelos de switches Cisco mais antigos, como as séries 9400, 9300 e 3750G. Os atacantes conseguem estabelecer acesso persistente e evitar sistemas de detecção, utilizando senhas universais que comprometem a segurança dos dispositivos. Além disso, a campanha demonstra técnicas avançadas de infiltração na rede, como manipulação de VLANs e spoofing de ARP, permitindo que os invasores contornem múltiplas camadas de segurança. A Cisco confirmou que a falha afeta diversos modelos de switches, sendo os 3750G os mais vulneráveis devido à falta de proteções modernas. A Trend Micro recomenda o uso de suas soluções de segurança para detectar e mitigar esses ataques, mas alerta que não há ferramentas automatizadas confiáveis para verificar se um switch Cisco foi comprometido, exigindo investigação manual.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) identificou uma vulnerabilidade crítica no Cisco IOS e IOS XE, classificada como CVE-2025-20352, que afeta o protocolo Simple Network Management Protocol (SNMP). Esta falha, resultante de um estouro de buffer baseado em pilha, está sendo ativamente explorada, permitindo que atacantes com acesso à rede provoquem condições de negação de serviço ou até mesmo execução remota de código. A CISA estabeleceu um prazo de remediação até 20 de outubro de 2025 para agências federais, enquanto empresas do setor privado são aconselhadas a acelerar a aplicação de patches para evitar interrupções. A vulnerabilidade pode ser explorada por atacantes de baixo privilégio para causar falhas nos equipamentos de rede, enquanto atacantes com privilégios elevados podem obter controle total do dispositivo afetado, possibilitando manipulação de tráfego e instalação de malware. A Cisco já disponibilizou medidas de mitigação e recomenda que os clientes apliquem atualizações de segurança imediatamente. A inclusão da CVE-2025-20352 no catálogo de vulnerabilidades conhecidas exploradas (KEV) da CISA indica que a exploração dessa falha pode se tornar uma prática comum entre cibercriminosos, tornando a rápida remediação essencial para a segurança das redes corporativas e governamentais.

A Cisco confirmou duas vulnerabilidades críticas em seus firewalls Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD), identificadas como CVE-2025-20333 e CVE-2025-20362. Ambas as falhas permitem que atacantes remotos executem código arbitrário em dispositivos não corrigidos. De acordo com relatórios, mais de 48.800 instâncias de ASA/FTD expostas permanecem sem patch, com os Estados Unidos liderando o número de dispositivos vulneráveis, seguidos por Alemanha, Brasil, Índia e Reino Unido. As vulnerabilidades comprometem a função de defesa de perímetro dos firewalls, permitindo que invasores contornem filtros de rede e acessem dados sensíveis. A Cisco recomenda que as organizações verifiquem suas versões de firewall e apliquem patches imediatamente, dado o alto risco associado, com pontuações CVSS de 9.8 e 9.1. As melhores práticas incluem restringir o acesso à interface de gerenciamento, reforçar credenciais e monitorar logs para atividades suspeitas. A falha em corrigir essas vulnerabilidades pode resultar em comprometimento total da rede e exfiltração de dados.

Nesta semana, o cenário de cibersegurança foi marcado por diversas ameaças significativas. Entre os principais destaques, duas falhas de segurança em firewalls da Cisco foram exploradas por grupos de hackers, resultando na entrega de novos tipos de malware, como RayInitiator e LINE VIPER. Essas falhas, CVE-2025-20362 e CVE-2025-20333, possuem pontuações CVSS de 6.5 e 9.9, respectivamente, e permitem a execução de código malicioso em dispositivos vulneráveis. Além disso, o grupo de espionagem cibernética Nimbus Manticore, alinhado ao Irã, ampliou suas operações para atacar infraestruturas críticas na Europa, utilizando variantes de malware como MiniJunk e MiniBrowse. Outro ponto alarmante foi a campanha de DDoS do botnet ShadowV2, que visa contêineres Docker mal configurados na AWS, transformando ataques em um negócio por encomenda. Em resposta a essas ameaças, a Cloudflare conseguiu mitigar um ataque DDoS recorde, que atingiu 22.2 Tbps. Por fim, vulnerabilidades em servidores da Supermicro foram identificadas, permitindo a instalação remota de firmware malicioso, o que representa um risco elevado para a segurança de dados. As organizações devem priorizar a aplicação de patches e a revisão de suas configurações de segurança para evitar compromissos.

A Cisco divulgou um aviso de segurança crítico (ID cisco-sa-http-code-exec-WmfP3h3O) sobre uma vulnerabilidade de execução remota de código que afeta várias plataformas da empresa. Revelada em 25 de setembro de 2025, a falha (CVE-2025-20363) impacta o Cisco Secure Firewall Adaptive Security Appliance (ASA), o Cisco Secure Firewall Threat Defense (FTD) e diversos sistemas operacionais baseados em IOS. Com uma pontuação CVSS 3.1 de 9.0, a vulnerabilidade permite que atacantes não autenticados ou com privilégios baixos obtenham privilégios de root, o que pode levar à completa compromissão do dispositivo.

O National Cyber Security Centre (NCSC) alertou sobre uma campanha de malware persistente que ataca dispositivos da série Cisco ASA 5500-X, utilizando uma vulnerabilidade 0-day para implantar os malwares RayInitiator e LINE VIPER. Esses malwares permitem execução remota de comandos, acesso persistente e possível exfiltração de dados. A Cisco confirmou que o mesmo ator de ameaça, identificado anteriormente, está explorando novas falhas nos dispositivos ASA para obter acesso root e implantar cargas úteis personalizadas. O NCSC recomenda que as organizações afetadas apliquem atualizações de segurança, auditem logs de dispositivos e isolem sistemas com comportamentos anômalos. A falha afeta versões específicas do firmware e é explorada através de pacotes de rede especialmente elaborados que contornam controles de autenticação. O NCSC também enfatiza a importância de substituir ou atualizar unidades obsoletas, pois dispositivos sem suporte representam riscos significativos de segurança. A análise detalhada do malware, incluindo assinaturas e padrões de rede, está disponível no relatório do NCSC, que também sugere práticas recomendadas para gerenciar hardware obsoleto.

O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) alertou sobre a exploração de falhas de segurança em firewalls da Cisco, resultando em ataques de dia zero que implantaram malwares como RayInitiator e LINE VIPER. Esses malwares são considerados mais sofisticados do que os utilizados em campanhas anteriores, apresentando técnicas avançadas de evasão. A Cisco iniciou investigações em maio de 2025, após ataques a agências governamentais, que visavam dispositivos da série Adaptive Security Appliance (ASA) 5500-X. Os atacantes exploraram vulnerabilidades críticas, como CVE-2025-20333, com um CVSS de 9.9, para contornar autenticações e executar códigos maliciosos. Além disso, modificações no ROMMON foram detectadas, permitindo persistência após reinicializações. A campanha está ligada ao grupo de hackers UAT4356, supostamente vinculado ao governo chinês. A Cisco também corrigiu uma falha crítica (CVE-2025-20363) que poderia permitir a execução de código arbitrário. O Centro Canadense de Cibersegurança recomendou que organizações atualizassem seus sistemas imediatamente para mitigar os riscos.

A Cisco emitiu um alerta sobre duas vulnerabilidades críticas em seu software de firewall, afetando o Cisco Secure Firewall Adaptive Security Appliance (ASA) e o Cisco Secure Firewall Threat Defense (FTD). As falhas, identificadas como CVE-2025-20333 e CVE-2025-20362, têm pontuações CVSS de 9.9 e 6.5, respectivamente. A primeira permite que um atacante remoto autenticado execute código arbitrário como root, enquanto a segunda possibilita que um atacante não autenticado acesse endpoints restritos. Ambas as vulnerabilidades estão sendo ativamente exploradas, com a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitindo uma diretiva de emergência para que agências federais identifiquem e mitiguem possíveis compromissos. A CISA também associou a exploração a um ator de ameaças conhecido como ArcaneDoor, que já demonstrou capacidade de manipular a memória ROM dos dispositivos. A Cisco recomenda que os usuários apliquem patches imediatamente para evitar compromissos em suas redes.

Uma vulnerabilidade crítica nas plataformas Cisco IOS e IOS XE permite que um atacante remoto não autenticado contorne a autenticação TACACS+, potencialmente concedendo controle administrativo total sobre roteadores e switches afetados. Identificada como CVE-2025-20160, a falha possui uma pontuação CVSS 3.1 de 8.1 e resulta de uma validação inadequada da configuração do segredo compartilhado do TACACS+. A vulnerabilidade se manifesta quando o TACACS+ é ativado sem um segredo compartilhado, permitindo que um invasor, posicionado na rede, leia pacotes TACACS+ não criptografados ou se faça passar pelo servidor TACACS+ enviando respostas manipuladas. Isso pode levar à divulgação não autorizada de credenciais e dados de configuração, além de permitir o controle total do dispositivo, o que representa riscos severos à segurança da rede e à continuidade operacional. Embora a Cisco não tenha observado exploração ativa, recomenda a atualização imediata para versões corrigidas do software. Administradores devem auditar suas configurações TACACS+ para garantir que cada entrada de servidor inclua um segredo válido e programar uma atualização para uma versão corrigida conforme sua janela de manutenção.

A Cisco emitiu um alerta sobre uma vulnerabilidade de alta severidade, identificada como CVE-2025-20352, que afeta o software IOS e IOS XE. Com uma pontuação CVSS de 7.7, essa falha pode permitir que um atacante remoto execute código arbitrário ou cause uma condição de negação de serviço (DoS) em dispositivos afetados. A vulnerabilidade está relacionada ao protocolo SNMP (Simple Network Management Protocol) e foi descoberta após a violação de credenciais de administrador local. Para explorar a falha, um atacante precisa enviar um pacote SNMP malicioso a um dispositivo vulnerável, sendo que as condições para a exploração variam conforme o nível de privilégios do atacante. A Cisco recomenda que apenas usuários confiáveis tenham acesso SNMP e sugere a execução do comando “show snmp host” para monitoramento. A falha afeta todas as versões do SNMP e dispositivos como os switches Meraki MS390 e Cisco Catalyst 9300. A correção já está disponível na versão 17.15.4a do Cisco IOS XE, e a empresa alerta que não há soluções alternativas para mitigar a vulnerabilidade.

No final de agosto de 2025, houve um aumento significativo na atividade de reconhecimento direcionada a dispositivos Cisco Adaptive Security Appliance (ASA), com mais de 25.000 IPs únicos realizando varreduras no caminho de login da web do ASA. A empresa de inteligência de segurança GreyNoise identificou que 16.794 IPs únicos participaram dessas tentativas de acesso, com 14.000 deles compartilhando a mesma assinatura TLS e TCP, indicando uma infraestrutura de varredura unificada. A maioria das varreduras teve origem no Brasil (64%), com os alvos principais localizados nos Estados Unidos (97%). Essas atividades de escaneamento são frequentemente precursoras da divulgação pública de novas vulnerabilidades (CVEs), e a pesquisa sugere que as explosões de escaneamento podem indicar uma divulgação iminente de vulnerabilidades no ASA. Organizações, mesmo aquelas com sistemas atualizados, são aconselhadas a bloquear proativamente IPs maliciosos identificados para reduzir o risco de serem alvo de campanhas de exploração. O artigo destaca a importância de não expor interfaces de gerenciamento do ASA diretamente à Internet e de implementar autenticação multifator para acesso remoto.

O FBI emitiu um alerta sobre uma campanha em andamento de operadores cibernéticos do Serviço Federal de Segurança da Rússia (FSB), conhecida como Centro 16, que visa equipamentos de rede legados. A exploração de uma vulnerabilidade não corrigida, CVE-2018-0171, na funcionalidade Smart Install (SMI) da Cisco, permite que atacantes remotos acessem arquivos de configuração dos dispositivos e, em alguns casos, injetem modificações maliciosas que garantem acesso não autorizado persistente. Essa vulnerabilidade, divulgada pela primeira vez em 2018, afeta dispositivos Cisco que utilizam o SMI sem exigir autenticação do usuário. O FBI observou que os operadores russos estão atacando milhares de dispositivos de rede associados a organizações dos EUA em setores críticos, como sistemas de controle industrial e tecnologia operacional, levantando preocupações sobre possíveis interrupções em serviços essenciais. O FBI recomenda que as organizações apliquem imediatamente atualizações de software da Cisco, desativem o SMI onde não for possível aplicar atualizações e implementem monitoramento contínuo de arquivos de configuração. A situação destaca a importância de práticas rigorosas de higiene cibernética, especialmente em um cenário onde a infraestrutura de rede está envelhecendo e as atividades patrocinadas pelo estado estão se intensificando.

A Cisco emitiu um alerta de segurança crítico sobre uma vulnerabilidade no Integrated Management Controller (IMC), que afeta a funcionalidade do Teclado Virtual Video Monitor (vKVM). A falha, descoberta durante testes internos, resulta de uma verificação inadequada dos endpoints do vKVM. Se não for corrigida, um atacante não autenticado pode redirecionar usuários desavisados para sites maliciosos, possibilitando o roubo de credenciais e outras compromissos mais amplos. A Cisco recomenda atualizações imediatas, pois não existem soluções alternativas. A vulnerabilidade é preocupante devido à sua ampla abrangência em diversos produtos da Cisco, incluindo servidores UCS B-Series e C-Series, além de sistemas HyperFlex e centros de gerenciamento de firewall. A empresa já disponibilizou versões corrigidas, e os administradores devem agir rapidamente para aplicar os patches, uma vez que a simplicidade do ataque, que depende de engenharia social, aumenta o risco de exploração. Embora não haja evidências de exploração ativa até o momento, a natureza crítica da falha exige atenção urgente das organizações.

A Cisco divulgou um aviso de segurança sobre múltiplas vulnerabilidades de média gravidade em seu software UCS Manager, identificadas como CVE-2025-20294 e CVE-2025-20295. Essas falhas afetam dispositivos que operam o UCS Manager em várias plataformas de Fabric Interconnect. Ambas as vulnerabilidades resultam de validação insuficiente de entradas em argumentos de comando, permitindo que um atacante com acesso administrativo realize injeções de comandos e execute atividades maliciosas no sistema operacional subjacente. A CVE-2025-20294, com uma pontuação CVSS de 6.5, impacta tanto a interface de linha de comando quanto a interface de gerenciamento baseada na web, possibilitando que um invasor autenticado execute comandos arbitrários com privilégios de root. A CVE-2025-20295, com pontuação CVSS de 6.0, permite que um atacante local leia, crie ou sobrescreva arquivos críticos do sistema. A Cisco já disponibilizou atualizações de software para corrigir as falhas e recomenda que os usuários atualizem imediatamente, pois não há soluções alternativas disponíveis. Embora as vulnerabilidades sejam classificadas como de média gravidade, sua exploração pode comprometer a infraestrutura crítica de data centers, tornando-se um alvo de alto valor para atacantes.

A Cisco divulgou uma vulnerabilidade de alto risco em seu software NX-OS, que afeta uma ampla gama de dispositivos utilizados em data centers. A falha permite que atacantes com credenciais válidas injetem comandos no sistema operacional subjacente, explorando a validação inadequada de entradas no interface de linha de comando (CLI). Embora os privilégios de root não sejam concedidos, um atacante pode executar instruções com os privilégios de uma conta não-root, possibilitando o acesso a arquivos e potencialmente facilitando movimentos laterais dentro da rede. A vulnerabilidade impacta dispositivos como os switches da série Nexus e MDS 9000, além de interconectores UCS. A Cisco já disponibilizou patches para corrigir a falha, e os administradores são aconselhados a aplicar as atualizações o mais rápido possível. Não há registros de exploração ativa até o momento, mas a possibilidade de uso indevido em ambientes com ameaças internas é significativa. A empresa reforça a importância de manter a segurança e a estabilidade operacional através da aplicação das correções recomendadas.

O cenário atual de cibersegurança é profundamente influenciado pela dinâmica política global, onde uma única violação pode impactar cadeias de suprimento e alterar o equilíbrio de poder. Recentemente, vulnerabilidades em gerenciadores de senhas foram descobertas, permitindo ataques de clickjacking que podem comprometer credenciais e dados financeiros. Além disso, hackers russos estão explorando uma falha antiga em dispositivos Cisco, coletando arquivos de configuração e alterando configurações para obter acesso não autorizado a redes críticas. A Apple também lançou correções para uma vulnerabilidade zero-day em seus sistemas operacionais, que estava sendo ativamente explorada. Outro ator, conhecido como Murky Panda, tem abusado de relações de confiança na nuvem para invadir redes empresariais. A INTERPOL anunciou a prisão de mais de 1.200 cibercriminosos na África, destacando a necessidade de cooperação internacional no combate ao cibercrime. Esses incidentes ressaltam a importância de uma abordagem estratégica em cibersegurança, onde as decisões de segurança transcendem a TI e se conectam a questões de negócios e confiança.

O FBI emitiu um alerta sobre hackers russos, associados ao Centro 16 do FSB, que estão explorando uma vulnerabilidade antiga da Cisco, identificada como CVE-2018-0171. Essa falha, que afeta o protocolo SNMP e o recurso Smart Install do software Cisco IOS, permite que adversários não autenticados realizem ações maliciosas, como a execução de código arbitrário ou a negação de serviço (DoS). A vulnerabilidade impacta uma variedade de dispositivos, incluindo switches da série Catalyst, muitos dos quais já atingiram o fim de vida e não receberam patches. O FBI relatou que esses hackers conseguiram coletar arquivos de configuração de milhares de dispositivos de rede em entidades dos EUA, especialmente no setor de infraestrutura crítica, e modificaram configurações para obter acesso não autorizado. A agência recomenda que as organizações atualizem seus sistemas e considerem a substituição de dispositivos obsoletos para mitigar os riscos associados a essa vulnerabilidade.

Um grupo de hackers vinculado ao FSB da Rússia, conhecido como Static Tundra, está explorando uma vulnerabilidade de sete anos na Cisco, especificamente a CVE-2018-0171, para comprometer infraestruturas críticas em setores como telecomunicações, educação superior e manufatura. Essa falha, que permite que atacantes remotos não autenticados reiniciem dispositivos ou executem códigos arbitrários, foi corrigida pela Cisco em 2018, mas muitos dispositivos ainda permanecem desatualizados. O Static Tundra utiliza ferramentas automatizadas para escanear dispositivos vulneráveis em várias regiões do mundo, incluindo América do Norte, Ásia, África e Europa. Após obter acesso inicial, o grupo implementa técnicas sofisticadas para manter uma presença de longo prazo, como a modificação de configurações de dispositivos e a utilização de implantes de firmware. A campanha tem se intensificado desde o início do conflito entre Rússia e Ucrânia, com organizações ucranianas sendo alvos frequentes. Especialistas alertam que é crucial que as organizações apliquem imediatamente os patches de segurança ou desativem a funcionalidade Smart Install em dispositivos que não podem ser atualizados.

O FBI emitiu um alerta urgente sobre operações cibernéticas sofisticadas conduzidas por hackers associados ao serviço de inteligência russo, que estão comprometendo redes de infraestrutura crítica nos Estados Unidos e internacionalmente. Os atacantes, vinculados ao Centro 16 do FSB, têm explorado vulnerabilidades em equipamentos de rede, como o protocolo Simple Network Management Protocol (SNMP) e uma falha não corrigida no Cisco Smart Install (CVE-2018-0171). Essa vulnerabilidade permitiu acesso não autorizado a sistemas sensíveis em diversos setores. A operação é extensa, com o FBI identificando a coleta de arquivos de configuração de milhares de dispositivos de rede. Além disso, os hackers demonstraram habilidades avançadas ao modificar arquivos de configuração para garantir acesso persistente, permitindo uma exploração detalhada das redes das vítimas, especialmente em sistemas de controle industrial. O grupo, conhecido por vários nomes, como ‘Berserk Bear’, tem operado por mais de uma década, visando dispositivos que utilizam protocolos legados. O FBI recomenda que organizações suspeitas de comprometimento avaliem imediatamente seus dispositivos de rede e relatem incidentes às autoridades competentes.

O grupo de ciberespionagem russo conhecido como Static Tundra está explorando uma vulnerabilidade crítica, CVE-2018-0171, presente no Cisco IOS e Cisco IOS XE, para obter acesso persistente a redes de organizações em setores estratégicos como telecomunicações, educação superior e manufatura. Essa falha, que possui um CVSS de 9.8, permite que atacantes não autenticados provoquem condições de negação de serviço ou executem código arbitrário. Os alvos são escolhidos com base no interesse estratégico da Rússia, com foco recente em organizações da Ucrânia e seus aliados, especialmente após o início da guerra russo-ucraniana em 2022.

Pesquisadores de cibersegurança da Raven AI descobriram uma campanha de phishing sofisticada que explora a tecnologia Safe Links da Cisco, transformando um mecanismo de segurança confiável em um vetor de ataque. A campanha demonstra como os atacantes utilizam a infraestrutura de segurança legítima para contornar sistemas tradicionais de filtragem de e-mails, aproveitando a confiança dos usuários em marcas estabelecidas de cibersegurança.

O ataque utiliza a funcionalidade de reescrita de URL do Cisco Safe Links, que visa proteger os usuários ao redirecionar links suspeitos através da infraestrutura de análise de ameaças da Cisco. Os criminosos cibernéticos encontraram várias maneiras de gerar links seguros da Cisco que redirecionam para destinos maliciosos, explorando a confiança inerente dos usuários em URLs que começam com “secure-web.cisco.com”.

A Cisco identificou uma vulnerabilidade crítica, classificada como 10/10, em seu produto Secure Firewall Management Center (FMC). Essa falha, localizada no subsistema RADIUS, pode permitir que um atacante remoto não autenticado injete comandos de shell arbitrários, comprometendo a segurança do sistema. O RADIUS é um protocolo utilizado para autenticar e autorizar administradores e usuários de VPN, e a exploração da falha requer que o FMC esteja configurado para autenticação RADIUS. Essa configuração é comum em redes empresariais e governamentais, aumentando o risco de ataques. A Cisco já disponibilizou um patch para corrigir a vulnerabilidade e recomenda que os usuários que não puderem aplicar a atualização desativem a autenticação RADIUS, optando por métodos alternativos, como contas de usuário locais ou LDAP. Embora não haja evidências de exploração ativa da falha até o momento, a empresa alerta que a superfície de ataque é significativa, dada a popularidade do FMC em ambientes críticos.

A Cisco divulgou uma vulnerabilidade crítica em seu software Secure Firewall Management Center (FMC), que permite que atacantes remotos não autenticados executem comandos de shell arbitrários nos sistemas afetados. A falha, identificada como CVE-2025-20265, recebeu a pontuação máxima de 10.0 no Common Vulnerability Scoring System (CVSS), indicando sua gravidade e potencial de exploração. O problema reside na implementação do subsistema RADIUS do software, especificamente na forma como o sistema lida com a entrada do usuário durante a autenticação. Um atacante pode explorar essa vulnerabilidade enviando entradas maliciosas durante o login, permitindo a injeção de comandos que são executados com altos níveis de privilégio. A vulnerabilidade afeta as versões 7.0.7 e 7.7.0 do Cisco Secure FMC, mas apenas quando a autenticação RADIUS está habilitada. A Cisco recomenda que as organizações afetadas apliquem as atualizações de segurança disponíveis e considerem desabilitar temporariamente a autenticação RADIUS, utilizando métodos alternativos como contas de usuário locais ou autenticação LDAP externa. A empresa também confirmou que outros produtos de firewall não são afetados por essa falha.

A Cisco emitiu um alerta de segurança crítico sobre uma vulnerabilidade de alta severidade em seu software Secure Firewall Threat Defense (FTD), que pode permitir que atacantes realizem ataques de negação de serviço (DoS). A falha, identificada como CVE-2025-20217, afeta o componente Snort 3 Detection Engine e foi publicada em 14 de agosto de 2025. Com uma pontuação CVSS de 8.6, a vulnerabilidade resulta do processamento incorreto de tráfego de rede durante a inspeção de pacotes. Um atacante remoto não autenticado pode explorar essa falha enviando tráfego especialmente elaborado, fazendo com que o sistema entre em um loop infinito durante a inspeção, resultando em uma condição de DoS que pode interromper funções críticas de segurança da rede. A Cisco recomenda que as organizações verifiquem se o Snort 3 está ativo em suas instalações do FTD, pois apenas dispositivos com esse motor habilitado são suscetíveis. Não existem soluções alternativas, e a única forma de mitigar o problema é através da atualização do software, que já está disponível gratuitamente para clientes com contratos de serviço ativos. A empresa não encontrou evidências de exploração ativa da vulnerabilidade até o momento.

A Cisco divulgou atualizações de segurança para corrigir uma falha de alta severidade no software Secure Firewall Management Center (FMC), identificada como CVE-2025-20265, com uma pontuação CVSS de 10.0. Essa vulnerabilidade afeta a implementação do subsistema RADIUS, permitindo que um atacante remoto e não autenticado injete comandos de shell arbitrários que podem ser executados pelo dispositivo. A falha ocorre devido à falta de tratamento adequado da entrada do usuário durante a fase de autenticação, possibilitando que um invasor envie dados maliciosos ao tentar autenticar-se no servidor RADIUS configurado. Para que a exploração seja bem-sucedida, o Cisco Secure FMC Software deve estar configurado para autenticação RADIUS na interface de gerenciamento baseada na web ou no SSH. As versões afetadas incluem 7.0.7 e 7.7.0, e não há alternativas além da aplicação dos patches fornecidos pela Cisco. Além dessa vulnerabilidade crítica, a Cisco também corrigiu várias outras falhas de alta severidade, todas exigindo atenção imediata dos usuários para evitar possíveis explorações. Embora nenhuma das falhas tenha sido explorada ativamente até o momento, é crucial que os usuários atualizem suas instâncias para as versões mais recentes.