Cisco

Cisco confirma exploração de vulnerabilidade no Unified CM

A Cisco confirmou que atacantes estão explorando uma vulnerabilidade no Unified Communications Manager (Unified CM), identificada como CVE-2026-20230, que foi corrigida em junho de 2026. O Unified CM, que gerencia sistemas de telefonia IP da Cisco, permite que atacantes não privilegiados realizem ataques de Server-Side Request Forgery (SSRF) de forma remota, enviando requisições HTTP manipuladas. Apesar de a Cisco ter informado em 3 de junho que não havia evidências de exploração ativa, a situação mudou em 22 de junho, quando a empresa de inteligência Defused revelou que os atacantes começaram a explorar a falha. A Cisco aconselha os clientes a atualizarem para versões corrigidas do software e, enquanto isso, recomenda desativar o serviço WebDialer vulnerável. Atualmente, mais de 200 instâncias do Unified CM estão expostas online, principalmente na Ásia e América do Norte. A situação é crítica, pois a exploração ativa pode levar a compromissos sérios de segurança, especialmente considerando que a CISA identificou 93 vulnerabilidades da Cisco como ativamente exploradas desde novembro de 2021.

CISA dá prazo para corrigir vulnerabilidades críticas em sistemas Cisco e PTC

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) estabeleceu um prazo até domingo, 28 de junho, para que agências federais corrijam uma vulnerabilidade crítica no Cisco Unified Communications Manager Server, identificada como CVE-2026-20230. Esta falha, que permite a exploração remota sem autenticação através de requisições HTTP manipuladas, foi classificada como uma falha de falsificação de requisições do lado do servidor (SSRF). A Cisco já disponibilizou um patch em 3 de junho, mas a exploração ativa foi confirmada recentemente por uma startup de detecção de ameaças.

Exploração de vulnerabilidade crítica no Cisco Catalyst SD-WAN

Um ator de ameaças desconhecido explorou uma vulnerabilidade crítica no Cisco Catalyst SD-WAN, identificada como CVE-2026-20245, antes de sua divulgação pública. Essa falha, com uma pontuação CVSS de 7.8, permite que um atacante autenticado execute comandos arbitrários com privilégios elevados ao fornecer um arquivo malicioso ao sistema afetado. A Cisco confirmou que a exploração requer privilégios de administrador de rede. Durante a intrusão, o atacante utilizou técnicas anti-forenses para ocultar suas atividades, como a exclusão e restauração seletiva de arquivos de configuração do sistema. O ataque visou um provedor de serviços de comunicação não especificado, permitindo que uma conta de administrador comprometida obtivesse acesso total ao sistema. Dois períodos distintos de atividade não autorizada foram identificados, um entre o final de 2025 e janeiro de 2026, e outro em março de 2026. O segundo ataque ocorreu em um dispositivo com uma versão de software mais recente, que já tinha sido corrigido para uma vulnerabilidade anterior. O invasor alterou credenciais padrão e utilizou um upload malicioso de arquivo CSV para escalar privilégios, criando uma conta oculta com controle total. A Mandiant destacou que a exploração de zero-days em dispositivos de borda, como o SD-WAN, é uma tendência crescente, dada a falta de telemetria para análises forenses profundas.

Hackers exploram vulnerabilidade crítica da Cisco em ataques SD-WAN

Recentemente, detalhes sobre a exploração de uma vulnerabilidade crítica da Cisco, identificada como CVE-2026-20245, foram revelados. Essa falha de injeção de comandos permite que atacantes autenticados executem comandos arbitrários como root em dispositivos Cisco Catalyst SD-WAN. A vulnerabilidade foi explorada em ataques de dia zero, onde os invasores conseguiram criar contas root não autorizadas. A Cisco informou que a falha se originou de uma validação insuficiente de entradas fornecidas pelo usuário e que a exploração requer acesso local aos dispositivos afetados.

Vulnerabilidade crítica no Cisco Unified Communications Manager

Uma falha de segurança crítica, identificada como CVE-2026-20230, foi descoberta no Cisco Unified Communications Manager (Unified CM) e na edição Session Management (Unified CM SME). Com uma pontuação CVSS de 8.6, essa vulnerabilidade permite que atacantes remotos não autenticados realizem ataques de Server-Side Request Forgery (SSRF) ao enviar requisições HTTP manipuladas para dispositivos afetados. A Cisco alertou que a exploração bem-sucedida pode permitir que um invasor escreva arquivos no sistema operacional subjacente, possibilitando elevação de privilégios para root. A empresa Defused Cyber relatou que a exploração ativa dessa vulnerabilidade já está em andamento, com ataques originados de uma única fonte. Para que a exploração ocorra, o serviço WebDialer deve estar habilitado, o que não é o padrão. A Cisco já lançou patches para as versões 14SU6 e 15SU5 do Unified CM e recomenda que, caso a aplicação imediata do patch não seja viável, o serviço WebDialer seja desativado até que a correção possa ser aplicada. A situação é crítica, pois a falha pode ser utilizada para executar código malicioso no servidor, colocando em risco a segurança das comunicações corporativas.

Vulnerabilidade crítica SSRF no Cisco Unified Communications Manager

Uma vulnerabilidade de alta severidade, identificada como CVE-2026-20230, foi descoberta no Cisco Unified Communications Manager Server e está sendo ativamente explorada em ataques. A Cisco lançou atualizações de segurança em 3 de junho, alertando que a exploração dessa falha pode conceder privilégios de root ao invasor. A vulnerabilidade se origina de uma validação inadequada de entradas em solicitações HTTP específicas, permitindo que um atacante não autenticado realize ataques de Server-Side Request Forgery (SSRF) através de um dispositivo afetado. A empresa de inteligência de ameaças Defused relatou que os ataques estão sendo realizados a partir de um único endereço IP, utilizando cargas úteis bem construídas para criar arquivos no dispositivo. Embora a exploração atual pareça ser de natureza de reconhecimento, a divulgação completa da falha pode levar a um aumento no número de atacantes visando esses servidores. A SSD Secure, que divulgou a vulnerabilidade, também forneceu um artigo técnico explicando como a falha pode ser explorada, permitindo que um invasor escreva arquivos arbitrários no sistema operacional, potencialmente levando à execução remota de código e obtenção de privilégios de root. A situação exige atenção imediata das equipes de segurança para mitigar riscos potenciais.

Cisco corrige falha de segurança em SD-WAN Manager com exploração ativa

A Cisco divulgou atualizações de segurança para uma vulnerabilidade de média gravidade no Catalyst SD-WAN Manager, identificada como CVE-2026-20262, que está sendo ativamente explorada. Com uma pontuação CVSS de 6.5, a falha permite que um atacante remoto autenticado crie ou sobrescreva arquivos no sistema afetado devido à validação inadequada de entradas durante o processo de upload de arquivos. Para explorar essa vulnerabilidade, o invasor precisa ter credenciais válidas com acesso de gravação. A falha afeta diversas versões do Cisco Catalyst SD-WAN Manager, tanto em ambientes on-premises quanto na nuvem. A Cisco lançou patches para corrigir a vulnerabilidade em várias versões, e a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu a falha em seu catálogo de Vulnerabilidades Conhecidas e Explotadas, exigindo que agências federais apliquem as correções até 29 de junho de 2026. A empresa também forneceu indicadores de comprometimento para ajudar os clientes a auditar possíveis atividades maliciosas relacionadas a essa falha.

Cisco corrige vulnerabilidade crítica no Catalyst SD-WAN Manager

A Cisco lançou atualizações de segurança para corrigir uma vulnerabilidade crítica no Catalyst SD-WAN Manager, identificada como CVE-2026-20262, que permitia a escalada de privilégios para root. Este software de gerenciamento de rede, anteriormente conhecido como SD-WAN vManage, possibilita que administradores gerenciem até 6.000 dispositivos SD-WAN a partir de um único painel. A falha, que afeta todos os tipos de implantação, foi causada por uma validação insuficiente de entradas fornecidas pelo usuário durante o upload de arquivos. Isso permitia que atacantes remotos de baixo privilégio executassem comandos arbitrários como root ao enviar requisições HTTP manipuladas para um endpoint de API vulnerável. A Cisco alertou que a exploração dessa vulnerabilidade poderia resultar na criação ou sobrescrita de arquivos no sistema afetado, potencialmente permitindo a elevação de privilégios. A empresa recomendou fortemente que os clientes aplicassem os patches disponíveis. Além disso, a Cisco identificou que a exploração dessa falha estava em andamento, e os administradores devem verificar logs específicos para detectar tentativas de upload de arquivos maliciosos. Este incidente se junta a uma série de vulnerabilidades críticas que afetaram o Catalyst SD-WAN Manager nos últimos meses.

CISA adiciona novas vulnerabilidades críticas ao catálogo KEV

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu três novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) após relatos de exploração ativa. As vulnerabilidades são: CVE-2026-20245, com um escore CVSS de 7.8, que afeta o Cisco Catalyst SD-WAN Manager, permitindo que um atacante local autenticado execute comandos arbitrários; CVE-2026-11645, com um escore CVSS de 8.8, que impacta o Google Chrome V8, possibilitando que um atacante remoto execute código arbitrário através de uma página HTML maliciosa; e CVE-2026-7473, com um escore CVSS de 6.9, que afeta o sistema operacional extensível da Arista (EOS), permitindo a exploração de tráfego de túnel não configurado. A Arista reconheceu que a vulnerabilidade CVE-2026-7473 está sendo explorada ativamente, mas não planeja lançar um patch, citando riscos de quebra de configurações existentes. Em vez disso, a empresa sugere a aplicação de listas de controle de acesso (ACLs) para mitigar o problema. As agências do governo federal dos EUA foram instruídas a implementar correções ou mitigação até 23 de junho de 2026.

Cisco alerta sobre falha crítica no Catalyst SD-WAN Manager

A Cisco emitiu um alerta sobre uma vulnerabilidade de alta severidade, identificada como CVE-2026-20245, que afeta o Catalyst SD-WAN Manager. Com uma pontuação CVSS de 7.8, essa falha permite que um atacante autenticado execute comandos arbitrários como root, ao enviar um arquivo malicioso para o sistema afetado. A vulnerabilidade é resultado de uma validação insuficiente de entradas fornecidas pelo usuário, o que pode levar a ataques de injeção de comandos e elevação de privilégios. Para explorar essa falha, o atacante precisa ter privilégios de netadmin, o que requer credenciais válidas ou a exploração de outras vulnerabilidades conhecidas, como CVE-2026-20182 e CVE-2026-20127, ambas já exploradas ativamente. A Cisco não possui patches disponíveis para CVE-2026-20245, mas recomenda que os clientes atualizem seu software SD-WAN para corrigir as falhas anteriores. A empresa também alertou que sistemas expostos à internet estão em risco elevado de comprometimento e sugere que os usuários verifiquem logs específicos em busca de indicadores de comprometimento. Essa é a sétima vulnerabilidade crítica identificada na plataforma SD-WAN da Cisco em 2026, destacando a necessidade urgente de atenção e ação por parte das organizações que utilizam essas tecnologias.

Cisco alerta sobre vulnerabilidade crítica em SD-WAN Manager

Na última quinta-feira, a Cisco emitiu um alerta sobre uma vulnerabilidade crítica, classificada como zero-day, no Cisco Catalyst SD-WAN Manager, identificada como CVE-2026-20245. Essa falha, que ainda não possui correção, permite a escalada de privilégios para usuários com permissões limitadas, possibilitando a execução de comandos arbitrários como root. A vulnerabilidade afeta todos os tipos de implantação, incluindo soluções on-premises e na nuvem. A Cisco informou que a exploração dessa falha requer que o atacante tenha privilégios de netadmin, o que pode ser obtido através de credenciais válidas ou pela exploração de outras vulnerabilidades conhecidas. A empresa também observou tentativas limitadas de exploração que resultaram em alterações de configuração em dispositivos de borda. Além disso, a Cisco já havia identificado outras falhas críticas em seu SD-WAN Manager, algumas das quais também estão sendo ativamente exploradas. A recomendação é que os administradores verifiquem os logs do sistema para identificar possíveis tentativas de exploração e que abram um chamado com o suporte técnico da Cisco para assistência.

Ameaças cibernéticas em ascensão vulnerabilidades e operações de espionagem

O cenário de cibersegurança continua a apresentar desafios significativos, com a recente divulgação de uma vulnerabilidade crítica no Cisco Unified Communications Manager (CVE-2026-20230), que permite ataques de Server-Side Request Forgery (SSRF) por atacantes remotos não autenticados. A Cisco já lançou patches para mitigar essa falha, que pode permitir a execução de comandos maliciosos no sistema operacional subjacente. Além disso, a Rússia revelou uma operação em larga escala de espionagem, onde serviços de inteligência estrangeiros implantaram spyware em dispositivos móveis de altos oficiais, visando a exfiltração de dados sensíveis.

Cisco corrige falha crítica no Unified Communications Manager

A Cisco lançou um patch para uma vulnerabilidade crítica no Unified Communications Manager (UCM), identificada como CVE-2026-20230. Essa falha permite que um atacante não autenticado na rede escreva arquivos no sistema, possibilitando a escalada de privilégios até o nível root. O problema é classificado como uma ‘server-side request forgery’ (SSRF), onde requisições HTTP malformadas podem ser utilizadas para comprometer a integridade do sistema. Embora a Cisco não tenha registrado ataques explorando essa vulnerabilidade até o momento, a disponibilidade de um código de prova de conceito (PoC) aumenta a preocupação com possíveis explorações. A falha só se manifesta quando o serviço WebDialer está ativo, o que não é o padrão, mas organizações que o ativaram estão em risco. A correção para a versão 14 do UCM está disponível, enquanto a atualização completa para a versão 15 está prevista para setembro de 2026. A situação é alarmante, considerando que o UCM já foi alvo de outras vulnerabilidades críticas no passado, como a presença de uma conta SSH root hard-coded.

Cisco lança atualizações de segurança para falha crítica no Unified CM

A Cisco divulgou atualizações de segurança para corrigir uma vulnerabilidade crítica no Cisco Unified Communications Manager (Unified CM), que permite que atacantes obtenham privilégios de root. A falha, identificada como CVE-2026-20230, pode ser explorada remotamente por meio de ataques de Server-Side Request Forgery (SSRF) de baixa complexidade, sem a necessidade de privilégios. Um atacante pode enviar uma solicitação HTTP manipulada para um dispositivo afetado, possibilitando a escrita de arquivos no sistema operacional subjacente, o que pode ser usado para elevar privilégios a root.

Segurança de Senhas A Ameaça do Bombardeio de MFA

A autenticação multifator (MFA) foi criada para aumentar a segurança das contas, mas um novo ataque conhecido como ‘bombardeio de prompts MFA’ está se tornando uma ameaça real. Nesse ataque, os invasores não precisam roubar o segundo fator de autenticação; eles apenas precisam que o usuário o forneça. O ataque envolve três elementos principais: credenciais de conta válidas, um portal de login que utiliza MFA baseada em push e uma vítima que recebe repetidamente solicitações de login. Os atacantes tentam enganar ou cansar a vítima até que ela aprove a solicitação. Um exemplo notável desse ataque ocorreu na Cisco em 2022, onde um invasor conseguiu acessar a rede da empresa após enganar um funcionário para aceitar um prompt de MFA. Para mitigar esses riscos, as organizações devem considerar fatores de MFA mais resistentes ao phishing, bloquear senhas comprometidas e adicionar sinais de risco ao processo de login. Embora o MFA continue sendo uma ferramenta importante, é crucial revisar as práticas atuais para garantir uma proteção eficaz contra essas novas táticas de ataque.

Cisco corrige falha crítica no Secure Workload que expõe dados sensíveis

A Cisco lançou atualizações para uma vulnerabilidade de alta severidade no Secure Workload, identificada como CVE-2026-20223, com uma pontuação CVSS de 10.0. Essa falha permite que um atacante remoto e não autenticado acesse dados sensíveis devido à validação e autenticação insuficientes ao acessar endpoints da API REST. Segundo a Cisco, um atacante pode explorar essa vulnerabilidade enviando uma solicitação de API manipulada para um endpoint afetado, o que pode resultar na leitura de informações confidenciais e na realização de alterações de configuração com privilégios de administrador do site. A vulnerabilidade afeta o Cisco Secure Workload Cluster Software em implementações SaaS e locais, independentemente da configuração do dispositivo, e não há soluções alternativas disponíveis. As versões afetadas incluem o Cisco Secure Workload Release 3.9 e anteriores, com correções disponíveis nas versões 3.10.8.3 e 4.0.3.17. A Cisco identificou a falha durante testes internos de segurança e não há evidências de exploração ativa até o momento.

Cisco lança atualizações para vulnerabilidade crítica no Secure Workload

A Cisco divulgou atualizações de segurança para corrigir uma vulnerabilidade crítica no Cisco Secure Workload, anteriormente conhecido como Cisco Tetration. Essa falha, identificada como CVE-2026-20223, permite que atacantes não autenticados obtenham privilégios de Site Admin através de APIs REST internas do Secure Workload. A vulnerabilidade decorre de uma validação e autenticação insuficientes ao acessar os endpoints da API, possibilitando que um atacante envie uma solicitação API manipulada para um endpoint afetado. A exploração bem-sucedida dessa falha pode permitir que o invasor leia informações sensíveis e faça alterações de configuração em diferentes inquilinos com os privilégios de um usuário Site Admin. A Cisco não encontrou evidências de que essa vulnerabilidade tenha sido explorada antes da divulgação do aviso. Para mitigar o problema, a empresa lançou atualizações de software para clientes on-premises e já corrigiu a falha na versão SaaS do Cisco Secure Workload. A situação é alarmante, especialmente considerando que a Cisco já havia alertado sobre outra vulnerabilidade crítica em sua plataforma Catalyst SD-WAN, que estava sendo explorada ativamente. Com um histórico de 91 vulnerabilidades da Cisco sendo exploradas nos últimos cinco anos, a necessidade de atenção redobrada por parte das equipes de segurança é evidente.

Vulnerabilidades em servidores e ataques a pacotes de software

O cenário de cibersegurança apresenta uma série de incidentes preocupantes, incluindo a exploração ativa de uma vulnerabilidade no Microsoft Exchange Server, identificada como CVE-2026-42897, com um CVSS de 8.1. Essa falha, que permite spoofing devido a um erro de cross-site scripting, está sendo explorada, embora detalhes sobre os atacantes e a extensão dos ataques ainda sejam desconhecidos. Além disso, um grupo de ameaças sofisticadas, UAT-8616, está atacando o Cisco Catalyst SD-WAN Controller, utilizando uma falha crítica de bypass de autenticação (CVE-2026-20182) para obter acesso não autorizado e escalar privilégios. Outro ataque significativo foi atribuído ao TeamPCP, que comprometeu pacotes npm, visando a cadeia de suprimentos de software para implantar malware e roubar credenciais. Esses incidentes destacam a importância de uma vigilância constante e de ações rápidas para mitigar riscos. Por fim, a Apple e o Google estão implementando mensagens RCS com criptografia de ponta a ponta, enquanto a Instructure chegou a um acordo com os atacantes do grupo ShinyHunters após um ataque que comprometeu dados de instituições educacionais.

Vulnerabilidade crítica no Cisco Catalyst SD-WAN exige atenção urgente

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma nova vulnerabilidade crítica no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), afetando o Cisco Catalyst SD-WAN Controller. A falha, identificada como CVE-2026-20182, permite que atacantes remotos não autenticados contornem a autenticação e obtenham privilégios administrativos no sistema. Com uma pontuação de 10.0 no sistema CVSS, a vulnerabilidade é considerada de máxima gravidade. A Cisco alertou que a exploração ativa dessa falha está ligada a um grupo de ameaças identificado como UAT-8616, que também está por trás da exploração de outras vulnerabilidades relacionadas. Os atacantes têm utilizado códigos de exploração disponíveis publicamente para implantar shells web, permitindo a execução de comandos arbitrários. A CISA exige que as agências do governo federal dos EUA remediem a vulnerabilidade até 17 de maio de 2026. Dada a gravidade da situação, a Cisco recomenda que os clientes sigam as orientações para proteger seus ambientes.

Falha crítica no Cisco Catalyst SD-WAN permite acesso não autorizado

A Cisco alertou sobre uma falha crítica de bypass de autenticação no Catalyst SD-WAN Controller, identificada como CVE-2026-20182, que está sendo ativamente explorada em ataques zero-day. Com uma gravidade máxima de 10.0, a vulnerabilidade afeta tanto o Cisco Catalyst SD-WAN Controller quanto o Cisco Catalyst SD-WAN Manager em implementações locais e na nuvem. A falha se origina de um mecanismo de autenticação de peering que não funciona corretamente, permitindo que atacantes enviem requisições manipuladas para obter privilégios administrativos. Uma vez explorada, a vulnerabilidade permite que o invasor acesse o sistema como um usuário interno de alto privilégio, podendo manipular a configuração da rede SD-WAN. A Cisco detectou a exploração da falha em maio, mas não divulgou detalhes sobre os métodos utilizados. A empresa recomenda que os administradores verifiquem os logs do SD-WAN Controller em busca de eventos de peering não autorizados e restrinjam o acesso às interfaces de gerenciamento. A CISA incluiu a CVE-2026-20182 no catálogo de vulnerabilidades conhecidas e ordenou que agências federais atualizassem os dispositivos afetados até 17 de maio de 2026.

Falha crítica de autenticação no Cisco Catalyst SD-WAN

A Cisco divulgou atualizações para corrigir uma falha de autenticação crítica no Catalyst SD-WAN Controller, identificada como CVE-2026-20182, que possui uma pontuação CVSS de 10.0. Essa vulnerabilidade permite que um atacante remoto não autenticado contorne a autenticação e obtenha privilégios administrativos no sistema afetado. O problema está relacionado ao mecanismo de autenticação de peering, que pode ser explorado através do envio de requisições manipuladas. A exploração bem-sucedida da falha permite que o invasor acesse o sistema como um usuário interno de alto privilégio, possibilitando a manipulação da configuração da rede SD-WAN. A vulnerabilidade afeta diversas implementações, incluindo a Cisco SD-WAN Cloud e a versão para governo (FedRAMP). A Cisco alertou sobre a exploração limitada da falha em maio de 2026 e recomendou que os clientes apliquem as atualizações imediatamente, especialmente aqueles que têm sistemas expostos à internet. Além disso, a empresa sugere que os clientes auditem logs de autenticação para identificar acessos não autorizados.

Cisco corrige vulnerabilidade crítica em controladores de rede

A Cisco lançou atualizações de segurança para corrigir uma vulnerabilidade de negação de serviço (DoS) nos sistemas Crosswork Network Controller (CNC) e Network Services Orchestrator (NSO). Essa falha, identificada como CVE-2026-20188, é considerada de alta severidade e resulta de uma limitação inadequada na taxa de conexões de rede recebidas. A vulnerabilidade pode ser explorada remotamente por agentes de ameaça não autenticados, levando à interrupção dos sistemas CNC e NSO não corrigidos. A exploração bem-sucedida pode esgotar os recursos de conexão disponíveis, tornando os sistemas inoperantes e exigindo um reinício manual para recuperação. A Cisco recomenda fortemente que os clientes atualizem para as versões corrigidas mencionadas em seu aviso. Embora a CVE-2026-20188 ainda não tenha sido explorada ativamente, a empresa já enfrentou outras vulnerabilidades de DoS que foram utilizadas em ataques. A situação destaca a importância de manter os sistemas atualizados para evitar possíveis interrupções nos serviços e garantir a continuidade das operações.

Agências de Cibersegurança Alertam sobre Malware Firestarter em Dispositivos Cisco

Agências de cibersegurança dos EUA e do Reino Unido emitiram um alerta sobre um malware personalizado chamado Firestarter, que persiste em dispositivos Cisco Firepower e Secure Firewall que utilizam o software Adaptive Security Appliance (ASA) ou Firepower Threat Defense (FTD). O malware, atribuído a um ator de ameaças conhecido como UAT-4356, é utilizado em campanhas de ciberespionagem e permite acesso remoto contínuo mesmo após a aplicação de patches. A vulnerabilidade inicial explorada foi identificada como CVE-2025-20333, relacionada a uma falha de autorização, e CVE-2025-20362, um bug de estouro de buffer.

Dispositivo da Cisco é comprometido por malware FIRESTARTER

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) revelou que um dispositivo Cisco Firepower de uma agência federal foi comprometido em setembro de 2025 por um malware chamado FIRESTARTER. Este malware é considerado uma backdoor que permite acesso remoto e controle, sendo parte de uma campanha de um ator de ameaça persistente avançada (APT). O ataque explorou vulnerabilidades críticas, como CVE-2025-20333 e CVE-2025-20362, que já foram corrigidas, mas dispositivos comprometidos antes da aplicação dos patches permanecem vulneráveis. O FIRESTARTER pode persistir mesmo após atualizações de firmware, manipulando a sequência de inicialização do dispositivo. Além disso, um kit de ferramentas pós-exploração chamado LINE VIPER foi utilizado para executar comandos e capturar pacotes. A Cisco recomenda a reimagens dos dispositivos afetados para remover completamente o malware. O incidente destaca a crescente complexidade das redes de ataque, especialmente com a utilização de dispositivos IoT e roteadores comprometidos por grupos patrocinados pelo estado, como os hackers chineses. Isso levanta preocupações sobre a segurança de infraestruturas críticas e a necessidade de vigilância constante.

CISA dá prazo para agências dos EUA corrigirem vulnerabilidade da Cisco

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou as agências governamentais sobre uma vulnerabilidade no Catalyst SD-WAN Manager, que está sendo ativamente explorada em ataques. A falha, identificada como CVE-2026-20133, permite que atacantes remotos não autenticados acessem informações sensíveis em dispositivos não corrigidos. A Cisco já havia lançado um patch para essa vulnerabilidade em fevereiro, mas a CISA agora exige que as agências federais apliquem as correções até 24 de abril. A vulnerabilidade é resultado de restrições insuficientes de acesso ao sistema de arquivos, permitindo que um invasor acesse a API do sistema afetado. Além disso, a CISA incluiu essa falha em seu Catálogo de Vulnerabilidades Conhecidas (KEV) devido a evidências de exploração ativa. A Cisco ainda não confirmou a exploração da falha, mas já havia identificado outras vulnerabilidades críticas em seus produtos. A situação destaca a importância de uma resposta rápida a vulnerabilidades em sistemas amplamente utilizados, como os da Cisco, que são comuns em diversas organizações.

CISA adiciona novas vulnerabilidades críticas ao catálogo KEV

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu recentemente oito novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), destacando três falhas críticas que afetam o Cisco Catalyst SD-WAN Manager. Entre as vulnerabilidades, a CVE-2025-32975 se destaca com um escore CVSS de 10.0, permitindo que atacantes se façam passar por usuários legítimos sem credenciais válidas. Outras falhas incluem a CVE-2023-27351, que permite a bypass de autenticação no PaperCut NG/MF, e a CVE-2024-27199, que possibilita ações administrativas limitadas no JetBrains TeamCity. A CISA recomenda que as agências do governo federal dos EUA abordem as vulnerabilidades da Cisco até 23 de abril de 2026, e as demais até 4 de maio de 2026. A exploração ativa dessas falhas foi observada, com grupos de ameaças conhecidos, como Lace Tempest, utilizando-as em ataques de ransomware. A situação é crítica, pois as falhas podem comprometer a segurança de sistemas amplamente utilizados, exigindo atenção imediata das organizações para evitar possíveis incidentes de segurança.

Cisco corrige vulnerabilidades críticas no Webex e Identity Services Engine

A Cisco lançou atualizações de segurança para corrigir quatro vulnerabilidades críticas, incluindo uma falha de validação de certificado no Webex Services, que exige ação adicional dos clientes. A vulnerabilidade, identificada como CVE-2026-20184, afeta a integração de autenticação única (SSO) com o Control Hub, permitindo que atacantes remotos sem privilégios se façam passar por qualquer usuário. A Cisco alertou que os clientes que utilizam a integração SSO devem fazer o upload de um novo certificado SAML para evitar interrupções no serviço. Além disso, três outras falhas críticas foram corrigidas na plataforma Identity Services Engine (ISE), que poderiam permitir a execução de comandos arbitrários no sistema operacional, embora a exploração exija credenciais administrativas. A empresa também abordou 10 falhas de severidade média que podem ser exploradas para contornar autenticações e escalar privilégios. A Cisco não encontrou evidências de que essas vulnerabilidades tenham sido exploradas em ataques. O alerta é especialmente relevante para organizações que utilizam as soluções da Cisco, considerando a possibilidade de impactos significativos em suas operações.

Cisco lança patches para falhas críticas em Webex e Identity Services

A Cisco anunciou a correção de quatro vulnerabilidades críticas que afetam seus serviços de Identity Services e Webex, as quais podem permitir a execução de código arbitrário e a impersonificação de usuários. As falhas incluem a CVE-2026-20184, que envolve uma validação inadequada de certificados na integração do single sign-on (SSO) com o Control Hub do Webex, permitindo que atacantes remotos não autenticados se façam passar por qualquer usuário. Outras vulnerabilidades, como a CVE-2026-20147, permitem que atacantes autenticados com credenciais administrativas executem código remotamente ao enviar requisições HTTP manipuladas. As CVEs 2026-20180 e 2026-20186 também apresentam falhas de validação que podem permitir a execução de comandos arbitrários em sistemas afetados. A Cisco recomenda que os usuários atualizem suas versões para evitar possíveis explorações, embora não tenha conhecimento de ataques ativos relacionados a essas vulnerabilidades. Para a CVE-2026-20184, não é necessária ação do cliente, mas os usuários de SSO devem carregar um novo certificado SAML no Control Hub.

Cisco lança atualizações para vulnerabilidades críticas em servidores

A Cisco divulgou atualizações de segurança para corrigir várias vulnerabilidades críticas e de alta severidade, incluindo uma falha de bypass de autenticação no Integrated Management Controller (IMC), que permite que atacantes obtenham acesso administrativo. Conhecido como CIMC, o Cisco IMC é um módulo de hardware presente nas placas-mãe dos servidores Cisco, oferecendo gerenciamento fora de banda para os servidores UCS C-Series e E-Series. A vulnerabilidade, rastreada como CVE-2026-20093, foi identificada na funcionalidade de alteração de senha do Cisco IMC e pode ser explorada remotamente por atacantes não autenticados. A Cisco recomenda fortemente que os clientes atualizem para o software corrigido, uma vez que não existem soluções alternativas para mitigar essa falha de segurança. Além disso, a empresa lançou patches para outra vulnerabilidade crítica (CVE-2026-20160) no Smart Software Manager On-Prem, que pode permitir a execução remota de código por atacantes sem privilégios. A Cisco também enfrentou um incidente de segurança em seu ambiente de desenvolvimento interno, onde credenciais foram comprometidas durante um ataque à cadeia de suprimentos. Diante disso, a atualização imediata dos sistemas é essencial para evitar possíveis explorações.

Cisco corrige falhas críticas em controladores de gerenciamento

A Cisco lançou atualizações para corrigir uma falha de segurança crítica no Integrated Management Controller (IMC), identificada como CVE-2026-20093, que permite a um atacante remoto não autenticado contornar a autenticação e obter acesso ao sistema com privilégios elevados. A vulnerabilidade, que possui uma pontuação CVSS de 9.8, resulta de um manuseio incorreto de solicitações de alteração de senha. Um atacante pode explorar essa falha enviando uma solicitação HTTP manipulada para um dispositivo afetado, o que pode permitir a alteração de senhas de qualquer usuário, incluindo administradores.

Cisco sofre ataque cibernético após violação de credenciais

A Cisco foi alvo de um ataque cibernético que resultou no roubo de código-fonte de seus produtos e de clientes, após a exploração de credenciais roubadas em um ataque à cadeia de suprimentos do Trivy. Os atacantes utilizaram um plugin malicioso do GitHub Action, comprometendo o ambiente de desenvolvimento interno da empresa. A violação afetou diversas estações de trabalho e sistemas de desenvolvimento, levando à clonagem de mais de 300 repositórios do GitHub, incluindo códigos de produtos de inteligência artificial. Embora a Cisco tenha contido a violação e isolado os sistemas afetados, a empresa está se preparando para as consequências de ataques subsequentes relacionados ao LiteLLM e Checkmarx. Além disso, chaves da AWS foram roubadas e utilizadas para atividades não autorizadas em algumas contas da Cisco. O ataque está vinculado ao grupo de ameaças TeamPCP, que já havia realizado ataques semelhantes em plataformas de desenvolvimento de código. A Cisco ainda não respondeu a solicitações de comentários sobre o incidente.

CISA ordena correção urgente de vulnerabilidade crítica em Cisco FMC

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais corrijam uma vulnerabilidade de alta severidade, identificada como CVE-2026-20131, no Cisco Secure Firewall Management Center (FMC) até o dia 22 de março. A Cisco divulgou um boletim de segurança no dia 4 de março, alertando os administradores de sistemas sobre a necessidade de aplicar as atualizações de segurança imediatamente, uma vez que não existem soluções alternativas disponíveis. A falha permite que um atacante remoto não autenticado execute código Java arbitrário como root em dispositivos afetados, devido à deserialização insegura de um fluxo de bytes Java fornecido pelo usuário. A situação se agrava com a confirmação de que a vulnerabilidade está sendo ativamente explorada por grupos de ransomware, como o Interlock, que a utilizam desde o final de janeiro. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), destacando seu uso em campanhas de ransomware. Embora a ordem da CISA se aplique a agências federais, recomendações semelhantes são válidas para empresas privadas e governos estaduais e locais, dada a gravidade da situação.

Campanha de ransomware Interlock explora falha crítica da Cisco

A Amazon Threat Intelligence alertou sobre uma campanha ativa de ransomware chamada Interlock, que está explorando uma falha crítica de segurança no Cisco Secure Firewall Management Center (FMC) Software, identificada como CVE-2026-20131, com uma pontuação CVSS de 10.0. Essa vulnerabilidade permite que atacantes remotos não autenticados contornem a autenticação e executem código Java arbitrário como root em dispositivos afetados. A falha foi explorada como um zero-day desde 26 de janeiro de 2026, antes de ser divulgada publicamente pela Cisco. A campanha de Interlock utiliza uma cadeia de ataque complexa, que inclui scripts de reconhecimento em PowerShell, trojans de acesso remoto personalizados e técnicas de evasão. A Amazon compartilhou suas descobertas com a Cisco para ajudar a proteger os clientes. Diante da exploração ativa da falha, os usuários são aconselhados a aplicar patches imediatamente e realizar avaliações de segurança. A Cisco atualizou seu aviso sobre a vulnerabilidade, recomendando a atualização para uma versão corrigida do software.

Cisco alerta sobre falhas de segurança no Catalyst SD-WAN Manager

A Cisco identificou duas falhas de segurança no Catalyst SD-WAN Manager, software de gerenciamento de rede, que estão sendo ativamente exploradas. As vulnerabilidades, identificadas como CVE-2026-20128 e CVE-2026-20122, exigem que os administradores atualizem seus dispositivos vulneráveis. A CVE-2026-20122 é uma falha de alta severidade que permite a sobrescrita arbitrária de arquivos, acessível apenas a atacantes remotos com credenciais de leitura e acesso à API. Já a CVE-2026-20128 é uma falha de severidade média que requer credenciais válidas no sistema alvo. Além disso, a Cisco também destacou uma vulnerabilidade crítica (CVE-2026-20127) que permite a bypass de autenticação, permitindo que atacantes sofisticados comprometam controladores e adicionem dispositivos maliciosos às redes desde 2023. A CISA emitiu uma diretiva de emergência, exigindo que agências federais realizem inventários e apliquem atualizações. Recentemente, a Cisco lançou atualizações de segurança para corrigir falhas em seu software Secure Firewall Management Center, que também podem ser exploradas remotamente. É crucial que as organizações que utilizam esses sistemas realizem as atualizações necessárias para evitar compromissos de segurança.

Cisco revela vulnerabilidades ativas no Catalyst SD-WAN Manager

A Cisco divulgou que duas vulnerabilidades críticas no Catalyst SD-WAN Manager estão sendo ativamente exploradas. As falhas, identificadas como CVE-2026-20122 e CVE-2026-20128, têm pontuações CVSS de 7.1 e 5.5, respectivamente. A primeira permite que um atacante remoto autenticado sobrescreva arquivos arbitrários no sistema, enquanto a segunda possibilita que um atacante local obtenha privilégios de usuário do Data Collection Agent (DCA). Para mitigar os riscos, a Cisco lançou patches para diversas versões do software, recomendando que os usuários atualizem imediatamente para versões corrigidas e adotem medidas de segurança adicionais, como restringir o acesso a redes não seguras e monitorar o tráfego de logs. A empresa também alertou sobre uma falha crítica anterior (CVE-2026-20127) que foi explorada por um ator de ameaças sofisticado, destacando a necessidade urgente de atenção à segurança em ambientes corporativos. As vulnerabilidades afetam um produto amplamente utilizado, o que aumenta a relevância para empresas que dependem da tecnologia da Cisco.

Cisco lança atualizações de segurança para vulnerabilidades críticas

A Cisco divulgou atualizações de segurança para corrigir duas vulnerabilidades de gravidade máxima em seu software Secure Firewall Management Center (FMC). Essas falhas, identificadas como CVE-2026-20079 e CVE-2026-20131, podem ser exploradas remotamente por atacantes não autenticados. A primeira vulnerabilidade permite o bypass de autenticação, possibilitando que atacantes obtenham acesso root ao sistema operacional subjacente. A segunda, uma vulnerabilidade de execução remota de código (RCE), permite a execução de código Java arbitrário como root em dispositivos não corrigidos. Ambas as falhas afetam o Cisco Secure FMC, mas a CVE-2026-20131 também impacta o Cisco Security Cloud Control (SCC). Até o momento, não há evidências de que essas vulnerabilidades tenham sido exploradas em ataques. A Cisco também corrigiu outras falhas de segurança, incluindo 15 de alta gravidade em diversos produtos. A empresa já havia alertado sobre outra vulnerabilidade crítica em agosto, que permitia a injeção de comandos shell por atacantes não autenticados. Dada a gravidade das falhas, é crucial que as organizações atualizem seus sistemas o mais rápido possível.

Vulnerabilidades e Ameaças em Cibersegurança Panorama Atual

Nesta semana, o cenário de cibersegurança apresenta uma série de incidentes e vulnerabilidades que refletem a evolução das ameaças digitais. Um dos principais destaques é a exploração ativa de uma falha crítica no Cisco Catalyst SD-WAN, identificada como CVE-2026-20127, que permite a atacantes não autenticados obterem privilégios administrativos. Além disso, a Anthropic acusou três empresas chinesas de realizar ataques em larga escala para extrair informações de seu modelo de IA, enquanto o Google desmantelou a infraestrutura de um grupo de espionagem cibernética ligado à China, conhecido como UNC2814, que visava organizações globais. Outro ponto crítico é a exposição de chaves de API do Google Cloud, que poderiam ser utilizadas para acessar dados sensíveis. Por fim, um novo grupo de ameaças, UAT-10027, tem como alvo os setores de educação e saúde nos EUA, utilizando um backdoor chamado Dohdoor. Esses eventos ressaltam a necessidade de vigilância constante e atualização de sistemas para mitigar riscos.

Vulnerabilidade crítica no Cisco Catalyst SD-WAN exposta a ataques

Uma nova vulnerabilidade de alta severidade foi descoberta nos sistemas Cisco Catalyst SD-WAN Controller e SD-WAN Manager, permitindo que atacantes remotos não autenticados contornem a autenticação e obtenham privilégios administrativos. A falha, identificada como CVE-2026-20127, possui uma pontuação CVSS de 10.0, indicando seu potencial crítico. A exploração bem-sucedida pode permitir que um invasor acesse configurações da rede SD-WAN, comprometendo a segurança de sistemas em diversas configurações, incluindo ambientes on-premises e na nuvem. A Cisco já lançou correções para várias versões afetadas e recomenda que os usuários auditem logs de autenticação para identificar acessos não autorizados. A Australian Cyber Security Centre (ASD-ACSC) alertou que a exploração dessa vulnerabilidade está em andamento desde 2023, com um grupo de ameaças sofisticadas, identificado como UAT-8616, utilizando-a para comprometer redes SD-WAN. A CISA também emitiu uma diretiva de emergência exigindo que agências federais apliquem as correções rapidamente, destacando a urgência da situação.

Vulnerabilidade crítica no Cisco Catalyst SD-WAN expõe redes a ataques

A Cisco alertou sobre uma vulnerabilidade crítica de bypass de autenticação, identificada como CVE-2026-20127, que está sendo ativamente explorada em ataques zero-day. Essa falha afeta o Cisco Catalyst SD-WAN Controller e o Cisco Catalyst SD-WAN Manager, tanto em instalações locais quanto na nuvem. A vulnerabilidade permite que atacantes remotos comprometam controladores e adicionem pares maliciosos a redes-alvo. A falha está relacionada a um mecanismo de autenticação de peering que não funciona corretamente, permitindo que um invasor envie solicitações manipuladas e obtenha acesso a contas de usuário privilegiadas. Com esse acesso, o atacante pode manipular a configuração da rede SD-WAN. A Cisco recomenda que as organizações atualizem seus sistemas imediatamente, pois não há soluções alternativas que mitiguem completamente o problema. Além disso, a CISA emitiu uma diretiva de emergência exigindo que agências federais realizem inventários e apliquem patches até 27 de fevereiro de 2026, dada a gravidade da situação. A exploração da vulnerabilidade representa uma ameaça iminente para redes federais e privadas, e as organizações devem investigar atividades maliciosas em seus sistemas expostos à internet.

Cisco corrige vulnerabilidade crítica em Unified Communications e Webex

A Cisco anunciou a correção de uma vulnerabilidade crítica de execução remota de código, identificada como CVE-2026-20045, que estava sendo explorada ativamente como um zero-day. Essa falha afeta diversos produtos da Cisco, incluindo o Unified Communications Manager e o Webex Calling. A vulnerabilidade se origina de uma validação inadequada de entradas fornecidas pelo usuário em requisições HTTP, permitindo que um atacante envie requisições manipuladas para a interface de gerenciamento web de dispositivos afetados. O sucesso na exploração pode conceder acesso ao sistema operacional subjacente e, posteriormente, privilégios de root. Com uma pontuação CVSS de 8.2, a Cisco classificou a vulnerabilidade como crítica, dada a possibilidade de acesso root em servidores. A empresa disponibilizou atualizações de software e patches específicos para diferentes versões dos produtos afetados. A Cisco também alertou que não existem soluções alternativas para mitigar a falha sem a instalação das atualizações. A CISA dos EUA incluiu a CVE-2026-20045 em seu catálogo de vulnerabilidades conhecidas exploradas, estabelecendo um prazo até 11 de fevereiro de 2026 para que agências federais realizem as atualizações necessárias.

Cisco lança patches para vulnerabilidade crítica em produtos de comunicação

A Cisco divulgou novos patches para corrigir uma vulnerabilidade de segurança classificada como “crítica”, afetando diversos produtos de Comunicações Unificadas e o Webex Calling Dedicated Instance. Identificada como CVE-2026-20045, a falha possui uma pontuação CVSS de 8.2 e permite que um atacante remoto não autenticado execute comandos arbitrários no sistema operacional subjacente de dispositivos vulneráveis. A vulnerabilidade decorre de uma validação inadequada de entradas fornecidas pelo usuário em requisições HTTP. Um atacante pode explorar essa falha enviando requisições HTTP manipuladas para a interface de gerenciamento web do dispositivo afetado, obtendo acesso ao sistema operacional e podendo elevar privilégios a root. A Cisco já está ciente de tentativas de exploração dessa vulnerabilidade e recomenda que os clientes atualizem para versões corrigidas até 11 de fevereiro de 2026, conforme exigido pela CISA. A falha impacta produtos como Unified CM Session Management Edition, Unified CM IM & Presence Service, Unity Connection e Webex Calling Dedicated Instance. Não há soluções alternativas disponíveis no momento.

Cisco corrige falha crítica explorada por hackers chineses

A Cisco anunciou a correção de uma vulnerabilidade crítica em seus roteadores, identificada como CVE-2025-20393, que permitia a execução remota de códigos no AsyncOS, afetando o Gateway de E-mail Seguro (SEG) e o Gerenciador Seguro de Web e E-mail (SEWM). A falha foi explorada por grupos de hackers chineses, incluindo UAT-9686, APT41 e UNC5174, durante pelo menos cinco semanas, desde novembro de 2025. Os atacantes conseguiram instalar mecanismos de persistência, como uma backdoor chamada Aquashell, que permitia o controle contínuo dos sistemas comprometidos. A Cisco recomenda que as organizações afetadas atualizem seus softwares imediatamente e contatem seu Centro de Assistência Técnica para suporte. Embora a empresa tenha corrigido a falha, não divulgou quantas instâncias foram comprometidas ou o número de organizações afetadas, o que levanta preocupações sobre a extensão do ataque e a segurança dos dados das vítimas.

Cisco corrige vulnerabilidade crítica em dispositivos de e-mail

A Cisco lançou um patch para uma vulnerabilidade crítica de zero-day no Cisco AsyncOS, que estava sendo explorada em ataques a dispositivos Secure Email Gateway (SEG) e Secure Email and Web Manager (SEWM) desde novembro de 2025. A falha, identificada como CVE-2025-20393, permite que atacantes executem comandos arbitrários com privilégios de root no sistema operacional dos dispositivos afetados, especialmente quando a funcionalidade de Spam Quarantine está habilitada e exposta à Internet. A Cisco Talos, equipe de inteligência de ameaças da empresa, atribui os ataques a um grupo de hackers chinês conhecido como UAT-9686, que utilizou ferramentas como AquaShell e AquaTunnel para manter acesso persistente e ocultar suas atividades maliciosas. A CISA também incluiu essa vulnerabilidade em seu catálogo de falhas conhecidas, exigindo que agências federais tomem medidas de segurança até 24 de dezembro. A Cisco recomenda que os administradores verifiquem a exposição e apliquem as correções assim que disponíveis, dado que essas vulnerabilidades são vetores frequentes de ataque e representam riscos significativos para a segurança.

Cisco corrige falha crítica em software de segurança de e-mail

A Cisco anunciou atualizações de segurança para uma vulnerabilidade crítica em seu software AsyncOS, utilizado no Cisco Secure Email Gateway e no Cisco Secure Email and Web Manager. A falha, identificada como CVE-2025-20393, possui uma pontuação CVSS de 10.0, indicando seu alto potencial de risco. Essa vulnerabilidade permite a execução remota de comandos com privilégios de root, devido à validação insuficiente de requisições HTTP na funcionalidade de Spam Quarantine. Para que um ataque seja bem-sucedido, três condições devem ser atendidas: o appliance deve estar rodando uma versão vulnerável do software, a funcionalidade de Spam Quarantine deve estar habilitada e acessível pela internet. A Cisco identificou que um ator de ameaça persistente avançada, conhecido como UAT-9686, explorou essa falha desde novembro de 2025, utilizando ferramentas como ReverseSSH e um backdoor em Python chamado AquaShell. A empresa já lançou patches para diversas versões do AsyncOS e recomenda que os usuários sigam diretrizes de segurança, como proteger os appliances atrás de firewalls e desabilitar serviços de rede desnecessários.

Cisco corrige falha de segurança no Identity Services Engine

A Cisco lançou atualizações para corrigir uma vulnerabilidade de segurança de média gravidade no Identity Services Engine (ISE) e no ISE Passive Identity Connector (ISE-PIC), identificada como CVE-2026-20029, com uma pontuação CVSS de 4.9. Essa falha está relacionada ao recurso de licenciamento e pode permitir que um atacante remoto autenticado com privilégios administrativos acesse informações sensíveis. A vulnerabilidade decorre de uma análise inadequada de XML processada pela interface de gerenciamento baseada na web do Cisco ISE e do ISE-PIC. Um atacante poderia explorar essa falha ao fazer o upload de um arquivo malicioso para a aplicação, possibilitando a leitura de arquivos arbitrários do sistema operacional subjacente, o que deveria ser restrito até mesmo para administradores. A Cisco informou que não há soluções alternativas e que está ciente da disponibilidade de um código de prova de conceito (PoC) para a exploração da falha, embora não haja indícios de que tenha sido explorada ativamente. Além disso, a empresa também corrigiu outras duas vulnerabilidades de média gravidade relacionadas ao processamento de solicitações DCE/RPC, que poderiam permitir que um atacante remoto não autenticado causasse vazamento de informações ou reiniciasse o mecanismo de detecção Snort 3, afetando a disponibilidade.

Falha crítica no Cisco AsyncOS é explorada por grupo APT da China

A Cisco alertou sobre uma vulnerabilidade zero-day de gravidade máxima no software Cisco AsyncOS, que está sendo ativamente explorada por um grupo de ameaças persistentes avançadas (APT) da China, conhecido como UAT-9686. A falha, identificada como CVE-2025-20393, permite que atacantes executem comandos arbitrários com privilégios de root em dispositivos afetados, comprometendo a segurança do sistema operacional subjacente. A vulnerabilidade afeta todas as versões do Cisco AsyncOS, mas a exploração só é possível se o recurso de Quarentena de Spam estiver habilitado e acessível pela internet. A Cisco recomenda que os usuários verifiquem a configuração de seus dispositivos e adotem medidas de segurança, como limitar o acesso à internet e monitorar o tráfego de logs. A CISA dos EUA incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades conhecidas, exigindo que agências federais implementem mitigação até 24 de dezembro de 2025. Além disso, a GreyNoise relatou uma campanha coordenada de tentativas de login automatizadas em infraestruturas de autenticação de VPN, destacando a necessidade de vigilância contínua contra ataques cibernéticos.

IA com 30 anos de memória é usada para combater crimes digitais

A Cisco anunciou o desenvolvimento de uma nova inteligência artificial (IA) que utiliza 30 anos de dados sobre ataques cibernéticos para aprimorar a segurança digital. O projeto visa expandir o modelo Foundation-Sec-8B, que atualmente opera com 8 bilhões de parâmetros, para 17 bilhões, aumentando a precisão na detecção de ameaças. Raj Chopra, vice-presidente sênior da Cisco, destacou que o foco não é criar um sucessor, mas sim um modelo expandido que utilize um vasto arsenal de informações coletadas ao longo das últimas três décadas, incluindo incidentes e manuais de treinamento. A equipe de especialistas em segurança digital da Cisco liderará esse processo, que deve ser concluído até o final do ano. Além disso, a empresa está desenvolvendo novos modelos de IA para complementar essa versão atualizada, com o objetivo de apoiar os profissionais de segurança no combate ao cibercrime com ferramentas mais sofisticadas.

CISA alerta sobre falhas exploradas da Cisco atualize agora

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre duas vulnerabilidades críticas nos firewalls da Cisco, identificadas como CVE-2025-20333 e CVE-2025-20362. Essas falhas, descobertas em setembro de 2025, estão sendo ativamente exploradas por grupos de ataque, incluindo a campanha ArcaneDoor, que tem como alvo redes governamentais. Apesar das diretrizes de emergência da CISA, que exigiam que as agências federais aplicassem patches em 24 horas, mais de 32.000 dispositivos ainda permanecem vulneráveis. A CISA observou que várias organizações acreditavam ter aplicado as atualizações necessárias, mas não o fizeram corretamente, o que as deixou expostas a ataques de malware e ransomware. A Cisco já havia alertado que as falhas eram exploradas como zero-days, afetando dispositivos da série 5500-X com serviços web habilitados. A CISA recomenda que todas as organizações verifiquem se as atualizações corretas foram aplicadas e sugere ações adicionais para mitigar os riscos em dispositivos ainda não atualizados.

Múltiplas falhas no Cisco Unified CCX permitem execução de comandos arbitrários

A Cisco divulgou vulnerabilidades críticas de execução remota de código que afetam o Cisco Unified Contact Center Express (CCX), expondo organizações a riscos severos de segurança. O aviso detalha duas vulnerabilidades independentes no processo de Java Remote Method Invocation (RMI), que podem permitir que atacantes não autenticados obtenham controle total do sistema, incluindo privilégios de nível root. As falhas representam uma ameaça significativa para operações de contact center em todo o mundo, pois podem ser exploradas sem autenticação ou interação do usuário. A primeira vulnerabilidade permite o upload de arquivos arbitrários e a execução de comandos com permissões de root. A segunda permite que atacantes contornem mecanismos de autenticação na aplicação CCX Editor, criando a ilusão de acesso legítimo. Ambas as vulnerabilidades possuem pontuações CVSS de 9.8 e 9.4, respectivamente, indicando níveis críticos de severidade. A Cisco recomenda que as organizações que utilizam versões vulneráveis do CCX atualizem imediatamente para as versões corrigidas, uma vez que não existem alternativas de mitigação. A rápida remediação é essencial para proteger a infraestrutura crítica dos contact centers.

Active Campaign usa 0-days da Cisco e Citrix para implantar webshells

Um grupo de atacantes avançados está explorando vulnerabilidades zero-day não divulgadas em sistemas críticos de empresas, utilizando webshells personalizados para obter acesso administrativo em redes comprometidas. A equipe de inteligência de ameaças da Amazon identificou uma campanha cibernética coordenada que visa o Cisco Identity Service Engine (ISE) e sistemas da Citrix, revelando táticas de um adversário altamente sofisticado. A vulnerabilidade CVE-2025-20337 no Cisco ISE permite a execução remota de código sem autenticação, enquanto a CVE-2025-5777 afeta sistemas Citrix. Após a exploração, os atacantes implantaram um webshell sofisticado disfarçado como um componente legítimo do Cisco ISE, utilizando técnicas avançadas de evasão para evitar a detecção. A operação foi realizada inteiramente na memória, dificultando a coleta de evidências forenses. As organizações devem implementar estratégias de defesa em profundidade e monitorar comportamentos anômalos para se proteger contra essas ameaças.