Exploração

Gestão de Vulnerabilidades A Nova Era da Exploração Rápida

A gestão de vulnerabilidades enfrenta um novo desafio com a aceleração da exploração de falhas, que agora ocorre em horas, em vez de meses. O ‘Zero Day Clock’ indica que o tempo médio entre a divulgação de uma vulnerabilidade e sua exploração caiu para cerca de 8 horas em 2026, uma redução drástica em relação a 53 dias há dois anos. A resposta tradicional de simplesmente aplicar patches não é mais suficiente, pois o tempo médio para corrigir vulnerabilidades conhecidas que já foram exploradas aumentou para 43 dias, enquanto a porcentagem de organizações que conseguem aplicar patches caiu de 38% para 26%. Além disso, a introdução de modelos de IA, como o Mythos, permite que vulnerabilidades sejam identificadas e exploradas de forma autônoma, aumentando a pressão sobre as equipes de segurança. A validação de técnicas de exploração (TTPs) contra controles existentes se torna essencial para determinar a real exposição a riscos, uma vez que apenas 10 a 15% dos ativos podem ser testados com segurança. A abordagem proposta envolve decompor as vulnerabilidades em suas cadeias de técnicas e testar cada uma delas contra as defesas em vigor, permitindo decisões fundamentadas sobre a segurança dos ativos sem a necessidade de exploração ao vivo.

Ameaças em Fortinet FortiSandbox Vulnerabilidades em Exploração

Recentemente, a empresa de inteligência em ameaças Defused Cyber alertou sobre a exploração ativa de múltiplas vulnerabilidades no Fortinet FortiSandbox. Nos últimos dias, três falhas críticas foram identificadas: CVE-2026-39813, CVE-2026-39808 e CVE-2026-25089, todas com uma pontuação CVSS de 9.1, indicando seu alto risco. A CVE-2026-39813 é uma vulnerabilidade de travessia de caminho na API JRPC do FortiSandbox, permitindo que atacantes não autenticados contornem a autenticação através de requisições HTTP manipuladas. A CVE-2026-39808, por sua vez, é uma injeção de comando do sistema operacional, que também pode ser explorada por atacantes não autenticados para executar comandos não autorizados. A CVE-2026-25089, corrigida recentemente, afeta o FortiSandbox e suas interfaces na nuvem, permitindo a execução de comandos não autorizados. Apesar de a Defused Cyber ter notado que o exploit para a CVE-2026-25089 parece ter sido desenvolvido com um modelo de inteligência artificial, ele apresenta falhas e ainda não foi divulgado publicamente. As vulnerabilidades em dispositivos Fortinet têm atraído a atenção de atacantes nos últimos anos, com a empresa já tendo lançado patches para outras falhas críticas em abril de 2026.

Ferramentas de IA tornam exploração de vulnerabilidades mais rápida e fácil

O artigo da TechRadar discute como as ferramentas de inteligência artificial (IA) mudaram o cenário da cibersegurança, tornando a exploração de vulnerabilidades mais rápida e acessível. Tradicionalmente, as equipes de segurança avaliavam o risco de vulnerabilidades com base em dois fatores principais: o potencial de dano e a probabilidade de exploração, utilizando frameworks como o CVSS. No entanto, com o advento de ferramentas de codificação assistidas por IA, essa dinâmica mudou drasticamente. Antes, a exploração de uma vulnerabilidade exigia habilidades técnicas avançadas e um tempo considerável para desenvolver um exploit funcional. Agora, qualquer pessoa pode gerar código de exploração a partir de descrições simples, reduzindo o tempo necessário de semanas para horas ou até minutos. Isso significa que as pontuações de probabilidade do CVSS, que se baseavam na suposição de que a exploração era complexa e demorada, não refletem mais a realidade atual. A análise sugere que os gerentes de risco devem reavaliar suas abordagens, focando em fatores como a exposição do sistema e a robustez dos controles de acesso, em vez de confiar nas pontuações de probabilidade tradicionais. Essa mudança é crucial para que as empresas possam se proteger adequadamente em um ambiente de ameaças em rápida evolução.

Desmantelada rede criminosa que explorava mulheres ucranianas na Espanha

Autoridades de segurança da Espanha e da Ucrânia desmantelaram uma rede criminosa que explorava mulheres ucranianas deslocadas pela guerra para operar um esquema de apostas online que lavou cerca de €4,75 milhões em lucros ilícitos. O grupo recrutava jovens mulheres de áreas em conflito, financiando sua viagem para a Espanha, onde as mantinham sob controle rigoroso. Após a chegada, as vítimas eram orientadas a abrir contas bancárias e cartões de crédito, que eram imediatamente controlados pelos criminosos. As contas eram utilizadas em uma operação de fraude automatizada, que realizava milhares de apostas simultâneas em plataformas de jogos online, utilizando identidades roubadas de mais de 5.000 cidadãos de 17 nacionalidades. A investigação conjunta resultou na prisão de 12 suspeitos e na apreensão de diversos equipamentos e propriedades, além do bloqueio de contas em 11 países. Este caso destaca a vulnerabilidade das mulheres em situações de conflito e a utilização de tecnologia para fraudes financeiras.

Detalhes sobre como atacantes drenaram 128M de pools da Balancer

Em um ataque significativo ao ecossistema DeFi, a Check Point Research revelou que contratos do ComposableStablePool da Balancer V2 foram explorados em 3 de novembro de 2025, resultando no roubo de $128,64 milhões em menos de 30 minutos. Os atacantes aproveitaram uma falha sutil de precisão aritmética na lógica de invariantes da pool da Balancer, transformando um erro de arredondamento em uma cadeia de exploração catastrófica que contornou mecanismos de segurança padrão. A vulnerabilidade originou-se na função _upscaleArray, que escalava saldos de tokens durante o cálculo de invariantes. Ao manipular os saldos para a faixa microscópica de 8-9 wei, a lógica de divisão inteira do Solidity causou discrepâncias de arredondamento que poderiam chegar a dez por cento por operação. O ataque foi realizado em uma sequência de 65 operações de batchSwap, amplificando perdas de precisão em uma distorção total do valor D da pool. A análise on-chain vinculou a exploração a um contrato específico, e os atacantes conseguiram acumular ativos roubados dentro da camada de contabilidade do Vault da Balancer. Apesar de múltiplas auditorias, a falha sobreviveu devido ao foco da análise em transações únicas, em vez de desvios aritméticos cumulativos. Este evento destaca a importância da modelagem adversarial e do monitoramento contínuo de invariantes nas bibliotecas matemáticas do DeFi.

Nova técnica de exploração para vulnerabilidade do kernel Linux

Uma nova técnica de exploração foi desenvolvida para a vulnerabilidade crítica do kernel Linux, identificada como CVE-2024-50264, que afeta o subsistema AF_VSOCK em versões do kernel a partir da 4.8. Essa vulnerabilidade permite que atacantes não privilegiados provoquem uma condição de uso após a liberação (UAF) no objeto virtio_vsock_sock durante operações de conexão de socket. Embora defesas anteriores, como a aleatorização de caches e o endurecimento de buckets SLAB, tenham dificultado a exploração, pesquisadores demonstraram que uma combinação de novos métodos e temporização precisa pode contornar essas mitigativas. Utilizando o framework de teste open-source kernel-hack-drill, os pesquisadores criaram uma cadeia de exploração que interrompe a chamada de sistema connect() com um sinal POSIX ‘imortal’, permitindo a exploração sem encerrar o processo. Após a liberação do objeto vulnerável, o ataque utiliza uma abordagem de alocação cruzada para recuperar o objeto e corromper estruturas críticas do kernel, permitindo a elevação de privilégios. Com a CVE-2024-50264 agora considerada explorável em kernels endurecidos, é crucial que as equipes de segurança priorizem a implementação de patches e reavaliem as estratégias de endurecimento de objetos do kernel.