Exploração Ativa

Uma vulnerabilidade crítica de segurança, identificada como CVE-2025-42957, está afetando o software SAP S/4HANA, amplamente utilizado para gestão empresarial. Com uma pontuação CVSS de 9.9, essa falha permite a injeção de código ABAP arbitrário por atacantes com privilégios de usuário, comprometendo a confidencialidade, integridade e disponibilidade do sistema. A exploração bem-sucedida pode levar a sérias consequências, como a modificação de bancos de dados, criação de contas de superusuário e instalação de ransomware. A empresa SecurityBridge alertou que a exploração ativa já foi observada, afetando tanto as edições on-premise quanto as de nuvem privada. Embora a exploração em larga escala ainda não tenha sido detectada, a facilidade de engenharia reversa do patch torna a situação alarmante. As organizações são aconselhadas a aplicar os patches imediatamente, monitorar logs em busca de chamadas RFC suspeitas e implementar medidas de segmentação e backup adequadas. Recomenda-se também a implementação do SAP UCON para restringir o uso de RFC e revisar o acesso ao objeto de autorização S_DMIS.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou duas vulnerabilidades críticas que afetam roteadores TP-Link ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). As falhas, CVE-2023-50224 e CVE-2025-9377, têm sido exploradas ativamente. A primeira, com um CVSS de 6.5, permite a bypass de autenticação no serviço httpd do modelo TL-WR841N, resultando na exposição de credenciais armazenadas. A segunda, com um CVSS de 8.6, é uma vulnerabilidade de injeção de comandos do sistema operacional que pode levar à execução remota de código em modelos como o Archer C7 e TL-WR841N. Embora a TP-Link tenha lançado atualizações de firmware em novembro de 2024, os modelos afetados já atingiram o status de fim de vida (EoL) e não recebem mais suporte ativo. A CISA recomenda que as agências federais implementem as mitig ações necessárias até 24 de setembro de 2025. A atividade maliciosa associada a essas vulnerabilidades está ligada a um botnet conhecido como Quad7, utilizado por um ator de ameaças vinculado à China. A falta de relatórios públicos sobre a exploração dessas falhas não diminui a urgência de ações corretivas.