Segurança Cibernética

CISA ordena correção de falha crítica no Adobe ColdFusion

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais corrijam uma vulnerabilidade de alta severidade na plataforma de desenvolvimento de aplicativos web Adobe ColdFusion, identificada como CVE-2026-48282. Essa falha afeta as versões 2025.9, 2023.20 e anteriores, permitindo que atacantes remotos executem código em sistemas não corrigidos, sem necessidade de privilégios. A Adobe lançou atualizações de segurança há uma semana, alertando os administradores sobre o alto risco de exploração. O fundador da KEVIntel, Ryan Dewhurst, informou que os ataques começaram a ocorrer apenas duas horas após a divulgação da falha. A CISA incluiu a CVE-2026-48282 em sua lista de vulnerabilidades ativamente exploradas e exigiu que as agências federais aplicassem os patches até sexta-feira, 10 de junho. Além disso, a Adobe corrigiu outras seis falhas críticas na mesma plataforma, embora não tenha confirmado a exploração ativa dessas vulnerabilidades. A situação é preocupante, pois a CISA já adicionou 80 vulnerabilidades de produtos da Adobe à sua lista desde novembro de 2021, com várias delas sendo utilizadas em ataques de ransomware.

Ubiquiti lança atualizações de segurança para vulnerabilidades críticas

A Ubiquiti lançou atualizações de segurança para corrigir sete vulnerabilidades críticas no UniFi OS, incluindo uma falha de gravidade máxima, identificada como CVE-2026-50746, que pode ser explorada em ataques de injeção de comando. Essa vulnerabilidade afeta a aplicação UniFi Connect (versões 3.4.16 e anteriores), utilizada para gerenciar operações em edifícios comerciais, como sistemas de iluminação LED inteligentes e carregadores de veículos elétricos. A empresa alertou que um ator malicioso com acesso à rede pode explorar uma vulnerabilidade de Controle de Acesso Inadequado para executar injeções de comando no dispositivo host. Os usuários devem atualizar a aplicação UniFi Connect para a versão 3.4.20 ou posterior. Além disso, a Ubiquiti corrigiu outras seis vulnerabilidades críticas em aplicações como UniFi Talk, UniFi Access e UniFi Protect, bem como em seu servidor UniFi OS e uma variedade de roteadores e sistemas de vigilância. A empresa não confirmou se essas vulnerabilidades foram exploradas antes da correção, mas destacou que seis delas podem ser exploradas em ataques de baixa complexidade sem interação do usuário. A empresa de inteligência de ameaças Censys rastreia mais de 100.000 instâncias do UniFi OS expostas online, com a maioria localizada nos Estados Unidos.

CISA alerta sobre vulnerabilidade crítica no Langflow para IA

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais corrigissem uma vulnerabilidade ativa no Langflow, uma ferramenta popular para desenvolvimento de agentes de IA. A falha, identificada como CVE-2026-55255, é uma referência direta insegura (IDOR) que permite a atacantes autenticados acessarem fluxos de outros usuários ao enviar uma solicitação maliciosa ao endpoint /api/v1/responses com o UUID da vítima. A exploração bem-sucedida pode resultar no acesso a dados sensíveis e no consumo de recursos da vítima. A CISA destacou que essa vulnerabilidade é um vetor de ataque frequente e representa riscos significativos para a segurança federal. Além disso, outras falhas no Langflow foram identificadas, incluindo problemas de autenticação e injeção de código. A CISA ordenou que as agências federais garantissem a segurança de seus dispositivos até a última sexta-feira, conforme exigido pela Diretiva Operacional Vinculante 26-04. A exploração dessa vulnerabilidade foi observada pela primeira vez em junho, com motivações financeiras por parte dos atacantes, que buscam computação e credenciais de IA. A situação exige atenção imediata das equipes de segurança cibernética para evitar possíveis compromissos.

CISA adiciona vulnerabilidades críticas ao catálogo de ameaças

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu quatro novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), todas com evidências de exploração ativa. As falhas incluem CVE-2026-48282 e CVE-2026-56290, ambas com pontuação CVSS de 10.0, que permitem a execução remota de código em sistemas vulneráveis, como Adobe ColdFusion e Joomlack Page Builder. A CVE-2026-55255, com pontuação de 6.1, permite que atacantes autenticados contornem autorizações e executem fluxos de outros usuários. A CVE-2026-48908, também com pontuação 10.0, permite o upload irrestrito de arquivos perigosos, resultando na execução de código PHP. A exploração da CVE-2026-48282 foi observada rapidamente após a divulgação pública, com tentativas de ataque originadas da Índia. As organizações são aconselhadas a aplicar correções até 10 de julho de 2026 para proteger suas redes. O cenário destaca a urgência de ações corretivas, especialmente para plataformas amplamente utilizadas como Joomla e WordPress.

BeyondTrust alerta sobre falhas críticas em software de acesso remoto

A BeyondTrust emitiu um alerta para que seus clientes apliquem patches em duas falhas de segurança críticas em seus softwares Remote Support (RS) e Privileged Remote Access (PRA). A primeira vulnerabilidade, identificada como CVE-2026-40138, afeta versões 25.3.2 ou anteriores do RS e do PRA, permitindo que atacantes contornem controles de acesso e acessem dispositivos alvo, incluindo contas com privilégios elevados. A segunda falha, CVE-2026-40139, permite que atacantes remotos não autenticados acessem instâncias vulneráveis devido a um processamento inadequado de solicitações de autenticação. Embora a BeyondTrust tenha destacado que a exploração dessas falhas requer uma configuração específica de autenticação, não foram fornecidos detalhes adicionais. Além disso, a empresa lançou atualizações de segurança para outras duas vulnerabilidades de alta severidade (CVE-2026-40140 e CVE-2026-40141), que podem causar negação de serviço ou acesso a recursos restritos. A BeyondTrust já aplicou patches para clientes em nuvem e recomenda que clientes auto-hospedados atualizem suas versões. O grupo de vigilância de segurança Shadowserver identificou quase 2.000 instâncias do RS e PRA expostas online, mas não há informações sobre quantas já foram corrigidas. Historicamente, falhas anteriores da BeyondTrust foram exploradas em ataques, incluindo um incidente que comprometeu agências do governo dos EUA, destacando a importância de uma resposta rápida a essas vulnerabilidades.

Vulnerabilidade crítica do Adobe ColdFusion está sendo explorada

O Centro Canadense de Cibersegurança (CCCS) alertou sobre a exploração ativa de uma vulnerabilidade crítica no Adobe ColdFusion, identificada como CVE-2026-48282. Essa falha afeta as versões 2025.9, 2023.20 e anteriores do ColdFusion, permitindo que atacantes não privilegiados executem código remotamente em sistemas não corrigidos. A Adobe lançou atualizações de segurança para mitigar essa vulnerabilidade, classificando-a como de alto risco e recomendando que administradores apliquem os patches em até 72 horas. O CCCS confirmou que os atacantes já começaram a explorar essa falha, incentivando a revisão das atualizações necessárias. Embora a Shadowserver tenha identificado quase 800 instâncias do ColdFusion expostas online, não há dados sobre quantas delas estão vulneráveis ou já foram protegidas. Além disso, a Adobe também corrigiu outras falhas críticas em suas plataformas, mas não confirmou a exploração ativa dessas. A situação exige atenção imediata das equipes de segurança, especialmente considerando o histórico de vulnerabilidades em produtos da Adobe que têm sido alvo de ataques cibernéticos.

Nova plataforma de phishing como serviço ameaça contas do Microsoft 365

Uma nova plataforma de phishing como serviço (PhaaS) chamada ‘ARToken’ foi descoberta, operando como uma afiliada da EvilTokens, que visa comprometer contas do Microsoft 365. Pesquisadores da Cisco Talos identificaram um painel de gerenciamento baseado em React, o ‘ARToken Panel’, que expõe mais de 80 endpoints de API. Através da engenharia reversa do código JavaScript, foram reveladas funcionalidades que vão além do que é comum em plataformas de phishing. A ARToken permite que atacantes roubem tokens de autenticação do Microsoft 365, acessem caixas de entrada do Outlook, sites do SharePoint e arquivos do OneDrive, além de automatizar operações de comprometimento de e-mail corporativo (BEC). A plataforma utiliza um modelo de implantação semelhante ao Cloudflare Workers e permite que afiliados gerenciem suas campanhas em espaços dedicados. O uso de phishing baseado em código de dispositivo da Microsoft, que engana as vítimas a inserirem códigos legítimos, permite que os atacantes contornem a autenticação multifator. Com um aumento significativo nos ataques de phishing, a ARToken representa uma ameaça crescente para organizações que utilizam o Microsoft 365.

CISA alerta sobre vulnerabilidade crítica no Microsoft SharePoint

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração de uma vulnerabilidade crítica no Microsoft SharePoint, identificada como CVE-2026-45659. Essa falha de execução remota de código, resultante da desserialização de dados não confiáveis, permite que atacantes com privilégios baixos executem códigos arbitrários em servidores SharePoint não corrigidos, sem necessidade de interação do usuário. A CISA destacou que qualquer atacante autenticado, com permissões mínimas de Membro do Site, pode explorar essa vulnerabilidade, que é acessível pela rede e de baixa complexidade. A Microsoft lançou atualizações de segurança para as versões do SharePoint afetadas em 21 de maio de 2026, após a falha ter sido acidentalmente omitida nas atualizações de segurança anteriores. A CISA também incluiu a vulnerabilidade em seu catálogo de vulnerabilidades conhecidas exploradas, exigindo que as agências federais dos EUA protejam seus servidores até o próximo sábado. A situação é preocupante, pois mais de 10.000 servidores SharePoint estão expostos online, e a falta de informações sobre quantos já foram corrigidos aumenta o risco de ataques em larga escala.

Anthropic reativa Fable 5 após controle de exportação dos EUA

A Anthropic anunciou a reativação do modelo de inteligência artificial Fable 5 em 1º de julho de 2026, após o Departamento de Comércio dos EUA ter levantado os controles de exportação que restringiam seu uso. Esses controles foram impostos em resposta a um jailbreak que permitiu ao modelo contornar suas regras de segurança, levando a preocupações sobre a segurança da tecnologia. A empresa, que também possui o modelo Mythos 5, implementou um novo filtro de segurança que bloqueia 99% das tentativas de jailbreak, redirecionando solicitações problemáticas para um modelo menos potente. A reativação foi precedida por negociações com o governo, que exigiu que a Anthropic se comprometesse a monitorar problemas de segurança e a relatar usos maliciosos. A situação destaca a crescente tensão entre inovação em IA e a necessidade de segurança, especialmente em um contexto onde modelos chineses estão ganhando espaço. A Anthropic também propôs um sistema de classificação para avaliar a gravidade de jailbreaks, visando melhorar a segurança na indústria. A reativação do Fable 5 e as medidas de segurança implementadas são relevantes para empresas que dependem de tecnologias de IA, especialmente em setores críticos.

CISA dá prazo para corrigir vulnerabilidades críticas em sistemas Cisco e PTC

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) estabeleceu um prazo até domingo, 28 de junho, para que agências federais corrijam uma vulnerabilidade crítica no Cisco Unified Communications Manager Server, identificada como CVE-2026-20230. Esta falha, que permite a exploração remota sem autenticação através de requisições HTTP manipuladas, foi classificada como uma falha de falsificação de requisições do lado do servidor (SSRF). A Cisco já disponibilizou um patch em 3 de junho, mas a exploração ativa foi confirmada recentemente por uma startup de detecção de ameaças.

Vulnerabilidade crítica em software PDM da PTC é explorada ativamente

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica de execução remota de código (CVE-2026-12569) no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Essa falha, com uma pontuação CVSS de 9.3, afeta os softwares PTC Windchill PDMlink e PTC FlexPLM, permitindo que atacantes executem códigos arbitrários ao enviar requisições maliciosas. A PTC confirmou que, apesar da liberação de patches, a exploração da vulnerabilidade continua, com atacantes utilizando shells web JSP para comprometer sistemas vulneráveis. A empresa divulgou endereços IP associados a atividades maliciosas e recomendações de mitigação, como bloquear IPs suspeitos e verificar logs de acesso. Essa situação destaca a rapidez com que os cibercriminosos estão se aproveitando de vulnerabilidades recém-descobertas, tornando-se um alerta para empresas que utilizam essas soluções de gerenciamento de dados e ciclo de vida de produtos.

Malware Rust para macOS engana ferramentas de IA de análise

Um novo malware baseado em Rust, denominado Gaslight, foi descoberto como um implante e ladrão de informações para macOS. Este malware possui um recurso notável: um payload de injeção de prompt que engana ferramentas de inteligência artificial (IA) utilizadas por analistas de segurança, fazendo com que elas interrompam ou recusem a análise do artefato. Gaslight é atribuído a atores de ameaças alinhados à Coreia do Norte. O malware utiliza um canal de comando e controle (C2) baseado na API do Telegram, permitindo que o operador emita comandos e receba resultados. Entre os comandos disponíveis, destacam-se a execução de comandos de shell e a exfiltração de arquivos. Além disso, Gaslight incorpora um script Python codificado em Base64 que coleta dados sensíveis do sistema, como históricos de comandos do Terminal e informações do Keychain do macOS. O malware se destaca por não codificar informações sensíveis, como tokens do bot do Telegram, mas sim fornecê-las em tempo de execução, dificultando a captura de logs. A presença de mensagens de erro fabricadas visa confundir agentes de segurança, tornando a detecção mais difícil. Essa nova ameaça representa um risco significativo para usuários de macOS, especialmente em ambientes corporativos.

CISA alerta sobre falha crítica em dispositivos Lantronix EDS5000

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma falha crítica de segurança nos dispositivos da série EDS5000 da Lantronix. A vulnerabilidade, identificada como CVE-2025-67038, possui uma pontuação CVSS de 9.8 e permite a injeção de código, possibilitando a execução de comandos arbitrários com privilégios elevados. O problema reside no módulo HTTP RPC, que executa comandos de shell sem a devida sanitização dos dados de entrada, permitindo que atacantes injetem comandos maliciosos. A CISA recomendou que as agências do governo federal dos EUA apliquem as correções até 26 de junho de 2026. Além disso, a CISA também confirmou a exploração ativa de três vulnerabilidades críticas no sistema Ubiquiti UniFi OS, que podem permitir mudanças não autorizadas no sistema e acesso a arquivos sensíveis. A combinação dessas falhas representa um risco significativo à segurança das redes, especialmente considerando que dispositivos UniFi OS são frequentemente integrados em redes centrais, facilitando movimentos laterais de atacantes. As organizações devem estar atentas e implementar as correções necessárias para mitigar esses riscos.

Ataque de ransomware compromete dados pessoais em Kootenai County

Kootenai County, em Idaho, notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em 30 de março de 2026, quando um ataque de ransomware afetou sua rede. Embora a contagem exata de indivíduos impactados e os tipos de dados comprometidos não tenham sido divulgados, a revisão do incidente, concluída em 22 de junho de 2026, confirmou a aquisição não autorizada de informações pessoais, conforme definido pela legislação do estado. O condado não informou se um resgate foi pago ou como os atacantes conseguiram acessar a rede. Para mitigar os danos, o condado está oferecendo monitoramento de crédito gratuito aos afetados. Este não é o primeiro incidente de segurança na região; em fevereiro de 2024, o hospital local Kootenai Health também sofreu uma violação que expôs dados sensíveis de mais de 460 mil pessoas. O aumento de ataques de ransomware a entidades governamentais nos EUA, com 28 incidentes confirmados em 2026, levanta preocupações sobre a segurança de dados e a continuidade dos serviços públicos.

CISA alerta sobre exploração de falhas em Ubiquiti e Lantronix

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre hackers que estão explorando vulnerabilidades em sistemas Ubiquiti UniFi OS e servidores Lantronix. As falhas identificadas incluem CVE-2026-34908, CVE-2026-34909 e CVE-2026-34910, que permitem a execução remota de comandos e acesso não autorizado a sistemas. A Ubiquiti lançou atualizações de segurança em maio, mas a CISA recomenda que as agências federais apliquem essas correções em até três dias. Além disso, a vulnerabilidade CVE-2025-67038 nos servidores Lantronix permite a injeção de comandos de sistema, afetando o modelo EDS5000. A Lantronix também disponibilizou um patch para essa falha. Apesar da gravidade das vulnerabilidades, a CISA não divulgou detalhes sobre a exploração observada. Administradores de sistemas devem agir rapidamente para aplicar as atualizações e mitigações recomendadas, uma vez que a exploração dessas falhas pode levar a compromissos significativos de segurança.

OpenAI lança modelo GPT-5.5-Cyber para segurança cibernética

A OpenAI anunciou o lançamento do modelo GPT-5.5-Cyber, uma versão aprimorada de sua inteligência artificial voltada para a segurança cibernética, que será disponibilizada a defensores confiáveis como parte da iniciativa Daybreak. Este modelo é descrito como o mais robusto para identificar e ajudar a corrigir vulnerabilidades de software, permitindo análises mais profundas em grandes bases de código. Além disso, a empresa atualizou o plugin Codex Security, que acelera a descoberta e correção de vulnerabilidades em sistemas existentes. O plugin permite que desenvolvedores realizem varreduras profundas, gerem relatórios detalhados e desenvolvam patches específicos para suas bases de código. Em parceria com a Trail of Bits, a OpenAI lançou a iniciativa Patch the Planet, que visa ajudar a proteger projetos de código aberto, envolvendo participantes como cURL e Python. As novas ferramentas surgem em um contexto onde a descoberta de vulnerabilidades está acelerando, mas o desafio agora é a correção rápida dessas falhas. Especialistas alertam que modelos de IA mais avançados também estão sendo utilizados por agentes maliciosos, aumentando a necessidade de uma resposta rápida e eficaz das organizações. A OpenAI destaca que a iniciativa já ajudou a identificar várias vulnerabilidades críticas em sistemas operacionais e navegadores, enfatizando a importância de integrar a segurança cibernética nas estratégias empresariais.

CISA alerta sobre ataque FortiBleed a dispositivos Fortinet

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou os clientes da Fortinet sobre uma campanha de ataque chamada FortiBleed, que comprometeu mais de 86 mil dispositivos FortiGate acessíveis pela internet. Acredita-se que o ataque seja realizado por atores de ameaça de língua russa, que utilizam uma abordagem automatizada para explorar credenciais padrão e específicas de organizações. Dados da SOCRadar indicam que 35% das credenciais comprometidas são contas administrativas genéricas, enquanto 28,3% são contas do sistema Fortinet. Os setores mais afetados incluem telecomunicações, governo e educação, com a maioria das exposições localizadas na Índia, EUA, México, Colômbia e Tailândia. O ataque envolve a varredura em massa de dispositivos Fortinet e o uso de combinações conhecidas de login e senha para obter acesso. A CISA recomenda que as organizações terminem todas as sessões ativas, redefinam senhas e implementem autenticação multifator (MFA) para mitigar os riscos. O incidente destaca a importância de práticas adequadas de segurança de senhas e a vulnerabilidade de dispositivos de segurança de perímetro a ataques automatizados.

CISA alerta sobre vulnerabilidade crítica no Splunk Enterprise

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais protejam seus sistemas contra uma vulnerabilidade crítica no Splunk Enterprise, identificada como CVE-2026-20253. Essa falha afeta versões do software entre 10.0.0 a 10.2.3, permitindo que atacantes remotos não autorizados criem ou truncem arquivos arbitrários em dispositivos vulneráveis através de um endpoint do serviço PostgreSQL. A falta de controles de autenticação nesse endpoint é a principal causa da vulnerabilidade, conforme indicado pela equipe de segurança da Splunk. Após a descoberta, a CISA ordenou que as agências federais aplicassem patches até domingo, devido à exploração ativa da falha. A empresa também recomendou que administradores que não consigam aplicar as correções imediatamente desativem o serviço PostgreSQL, embora isso possa afetar outras funcionalidades do sistema. A situação é crítica, pois a exploração dessa vulnerabilidade pode levar a ataques de execução remota de código, representando um risco significativo para a segurança das informações. A CISA enfatizou a importância de avaliar a exposição à internet de cada ativo e seguir as diretrizes de correção estabelecidas.

A nova ameaça do phishing como contornar a autenticação multifatorial

A autenticação multifatorial (MFA) é considerada uma das principais defesas contra o comprometimento de contas, mas os atacantes estão cada vez mais utilizando técnicas de phishing que não dependem do roubo de senhas ou da violação da MFA. Um exemplo alarmante é o phishing por código de dispositivo, onde os atacantes induzem os usuários a autorizar o acesso através de páginas de autenticação legítimas da Microsoft. Isso permite que os invasores obtenham acesso contínuo sem precisar roubar credenciais. O webinar ‘Stop chasing alerts: Automating email security with behavioral AI’, que ocorrerá em 8 de julho de 2026, abordará como campanhas modernas de phishing, comprometimento de e-mails empresariais (BEC) e ataques de tomada de conta (ATO) exploram serviços confiáveis e fluxos de autenticação para acessar contas corporativas. A solução proposta envolve o uso de inteligência artificial comportamental para identificar atividades incomuns e automatizar a detecção e resposta a esses ataques. O evento promete fornecer abordagens práticas para detectar compromissos de conta mais cedo, reduzir a carga de investigação e melhorar os tempos de resposta.

CISA alerta sobre vazamento de credenciais da Fortinet em 74 mil dispositivos

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para clientes da Fortinet após a exposição de quase 74 mil credenciais de firewalls e VPNs em um vazamento de dados conhecido como ‘FortiBleed’. O incidente envolve credenciais comprometidas que foram utilizadas por atores maliciosos para atacar dispositivos Fortinet acessíveis pela internet em organizações governamentais e do setor privado ao redor do mundo. A CISA recomenda que os proprietários de dispositivos FortiGate encerrem todas as sessões de VPN e administrativas, redefinam senhas e implementem autenticação multifator resistente a phishing. O vazamento foi descoberto pelo pesquisador de segurança Volodymyr Diachenko, que encontrou um servidor contendo credenciais válidas, incluindo nomes de usuário e senhas em texto claro. A análise da empresa de inteligência em segurança Hudson Rock revelou que o vazamento abrange 21.632 domínios únicos em 194 países, afetando grandes organizações como Samsung, Mercedes-Benz e Toyota. A operação está ligada a um grupo de ameaças de língua russa, que realizou mais de 1,16 bilhão de tentativas de credenciais contra alvos FortiGate. A CISA monitora 26 falhas de segurança da Fortinet que foram exploradas em ataques recentes, incluindo 13 relacionadas a ransomware.

CISA ordena correção de falha crítica no plugin JCE do Joomla

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais corrijam uma falha de alta severidade no plugin Widget Factory Joomla Content Editor (JCE), que está sendo ativamente explorada. A vulnerabilidade, identificada como CVE-2026-48907, permite que atacantes executem código malicioso sem privilégios, utilizando ataques de baixa complexidade em implementações do Joomla que utilizam o editor WYSIWYG JCE. A CISA alertou que a falha permite o upload e a execução de código PHP por meio da criação de novos perfis de editor para usuários não autenticados. O time de segurança do JCE lançou uma atualização em junho, recomendando que os usuários apliquem o patch imediatamente, pois a exploração da vulnerabilidade é automatizada e o código de exploração está disponível publicamente. Além de atualizar, os usuários devem realizar uma série de ações para limpar sites comprometidos, incluindo a exclusão de perfis maliciosos e a execução de uma varredura completa em busca de malware. A CISA incluiu a vulnerabilidade em sua lista de falhas ativamente exploradas e ordenou que as agências federais garantam a segurança de seus sistemas até sexta-feira, conforme a Diretriz Operacional Vinculativa (BOD) 26-04.

Vulnerabilidade crítica no Joomla Content Editor afeta segurança

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no Joomla Content Editor (JCE) em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2026-48907, possui uma pontuação CVSS de 10.0 e permite a execução arbitrária de código devido a um controle de acesso inadequado. Essa vulnerabilidade afeta as versões do JCE de 1.0.0 a 2.9.99.4 e foi corrigida na versão 2.9.99.5, lançada em 3 de junho de 2026. A CISA alertou que a falha pode permitir que usuários não autenticados criem perfis de editor e façam upload de código PHP malicioso.

Vulnerabilidade no Plugin LiteSpeed cPanel exige atenção urgente

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança no plugin LiteSpeed cPanel em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2026-54420, possui uma pontuação CVSS de 8.5 e permite que usuários com acesso FTP ou web shell escalem privilégios para root em servidores de hospedagem compartilhada que utilizam CloudLinux ou CageFS. A falha ocorre devido ao manuseio inadequado de symlinks por parte do plugin LiteSpeed cPanel antes da versão 2.4.8. Embora ainda não se saiba como a vulnerabilidade está sendo explorada ativamente, a LiteSpeed recomenda que os usuários executem um comando específico para verificar se seus servidores foram afetados. Caso o comando retorne resultados, a empresa sugere a atualização para a versão 5.3.2.1 do LiteSpeed WHM Plugin para corrigir a falha. A descoberta da vulnerabilidade foi creditada à Namecheap, que alertou sobre o problema em 31 de maio de 2026.

Diretor do Google renuncia por contratos de IA com o Pentágono

René Mayrhofer, diretor de segurança da plataforma Android do Google, renunciou ao seu cargo em protesto contra os novos contratos da empresa com o Departamento de Defesa dos EUA (DoD). Em uma carta interna, ele expressou sua preocupação com a utilização dos modelos de inteligência artificial (IA) da empresa para fins classificados, afirmando que a gestão atual do Google havia perdido seu ’norte moral’. Mayrhofer destacou que a decisão de colaborar com o Pentágono contraria os princípios éticos que a empresa havia estabelecido anteriormente, incluindo a proibição de usar IA para desenvolver armas ou ferramentas de vigilância. O Google, que já havia abandonado suas metas de neutralidade de carbono em favor do desenvolvimento de IA, agora permite que o DoD utilize seus modelos para ‘qualquer propósito legal’, o que, segundo Mayrhofer, pode incluir ações que violam leis internacionais. A renúncia de Mayrhofer ocorre em um contexto em que centenas de funcionários do Google já haviam assinado uma carta aberta pedindo ao CEO Sundar Pichai que rejeitasse essa decisão, considerada ‘antiética e perigosa’. A situação levanta questões sobre a responsabilidade das empresas de tecnologia em suas colaborações com entidades governamentais e militares.

CISA ordena correção de falha crítica no Ivanti Sentry em 3 dias

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais corrijam uma vulnerabilidade crítica no Ivanti Sentry, identificada como CVE-2026-10520, em um prazo de três dias. Essa falha, que permite a injeção de comandos no sistema operacional, já está sendo explorada ativamente por atacantes, conforme relatado pela Shadowserver, que identificou que muitos gateways Sentry expostos na internet foram comprometidos. Apesar de a Ivanti ter lançado patches para a vulnerabilidade, a empresa não atualizou seu aviso sobre a exploração ativa da falha. A CISA incluiu a CVE-2026-10520 em seu catálogo de vulnerabilidades conhecidas e alertou que esse tipo de vulnerabilidade é um vetor comum de ataque, representando riscos significativos para a segurança federal. A nova diretiva operacional, BOD 26-04, exige que agências federais priorizem a correção de falhas em ativos expostos publicamente. Nos últimos anos, a CISA já havia sinalizado 35 vulnerabilidades em produtos da Ivanti, com 12 delas sendo alvo de grupos de ransomware.

A Revolução da Inteligência Artificial nas Operações de Segurança

Nos últimos 18 meses, a adoção de inteligência artificial (IA) nas operações de segurança cibernética (SOC) cresceu exponencialmente, com bilhões de dólares investidos em plataformas de segurança impulsionadas por IA. No entanto, um relatório recente revelou que apenas 10% dos SOCs consideram que a IA trouxe valor excelente, enquanto 71% relataram valor limitado ou nenhum. O estudo identificou que a maioria dos SOCs adota um modelo de ’taker’, utilizando IA padrão sem personalização, o que resulta em baixa eficácia. Além disso, os desafios de maturidade operacional e a falta de melhores práticas aumentaram, indicando que muitos SOCs não sabem como utilizar a IA adquirida de forma eficaz. A primeira onda de ferramentas de IA foi integrada como recursos em produtos de segurança existentes, mas não conseguiu conectar os diferentes estágios do fluxo de trabalho, resultando em um aumento da fragmentação. Os SOCs que obtiveram sucesso na implementação da IA têm arquiteturas que permitem uma operação integrada e contínua, onde a IA é governável e adaptável ao ambiente dinâmico em que opera. Para que a indústria avance, é crucial que as operações de segurança conectem suas etapas e adotem uma abordagem mais holística em relação à IA.

CISA alerta sobre vulnerabilidades críticas no Linux e Android

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre hackers que estão explorando vulnerabilidades no kernel do Linux e no sistema operacional Android. A mais recente falha, identificada como CVE-2025-48595, é uma vulnerabilidade de estouro de inteiro de alta severidade no Android Framework, que pode ser utilizada para obter privilégios elevados. Essa falha afeta as versões do Android 14 a 16 e não requer interação do usuário para ser explorada. Embora o Google tenha indicado que a exploração dessa vulnerabilidade pode estar ocorrendo de forma limitada, não foram fornecidos detalhes específicos sobre as atividades ou informações técnicas sobre a falha. O problema foi corrigido com a liberação de patches de segurança em junho de 2026.

Falha crítica no Oracle WebLogic Server pode comprometer dados

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no Oracle WebLogic Server em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Identificada como CVE-2024-21182, essa falha possui um escore CVSS de 7.5 e permite que atacantes não autenticados, com acesso à rede, assumam o controle de servidores vulneráveis. A CISA alertou que ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos. Embora não haja relatos públicos sobre a exploração ativa dessa vulnerabilidade, falhas anteriores no WebLogic foram frequentemente utilizadas para formar botnets, minerar criptomoedas e implantar ransomware. A Oracle lançou um patch para corrigir essa vulnerabilidade em julho de 2024. Diante da exploração ativa, a CISA recomenda que as agências do governo federal dos EUA apliquem as correções necessárias até 4 de junho de 2026 para proteger suas redes.

Microsoft defende divulgação coordenada de vulnerabilidades após incidentes

A Microsoft reafirmou seu apoio à Divulgação Coordenada de Vulnerabilidades (CVD) após uma série de vulnerabilidades zero-day serem divulgadas sem aviso prévio, colocando em risco a segurança de seus usuários. O pesquisador conhecido como Chaotic Eclipse revelou falhas críticas em componentes do Windows, como o Defender e o BitLocker, resultando em exploração ativa das vulnerabilidades BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) e UnDefend (CVE-2026-45498). A empresa expressou preocupação com o impacto dessas divulgações não coordenadas, que dificultam a proteção de seus clientes e podem ser exploradas por agentes maliciosos. A Microsoft também destacou a importância do diálogo com a comunidade de pesquisa em segurança, embora tenha enfrentado críticas por sua abordagem ao processo de divulgação. O incidente levou à suspensão da conta do pesquisador no GitHub, que se manifestou publicamente contra a empresa, prometendo novas divulgações em julho de 2026. A situação ressalta a necessidade de um processo mais colaborativo e seguro para a comunicação de vulnerabilidades entre pesquisadores e fornecedores.

Grupo de hackers iraniano MuddyWater ataca organizações globais

O grupo de hackers iraniano MuddyWater está vinculado a uma nova campanha de espionagem cibernética que afetou pelo menos nove organizações em quatro continentes no primeiro trimestre de 2026. Os alvos incluem setores de manufatura industrial e eletrônica, educação, serviços públicos, serviços financeiros e profissionais. Um dos ataques mais significativos ocorreu contra um grande fabricante de eletrônicos da Coreia do Sul, onde os invasores permaneceram na rede por uma semana. Os hackers utilizaram técnicas de DLL side-loading, empregando binários legítimos para executar códigos maliciosos, o que lhes permitiu contornar detecções de segurança. Além disso, foram utilizados scripts Node.js para lançar códigos PowerShell que realizavam operações de reconhecimento e coleta de informações. A campanha também está associada a um aumento nas operações de higiene cibernética do grupo, que agora opera de forma mais discreta e disciplinada. O artigo destaca a importância de monitorar e proteger redes contra essas táticas, especialmente considerando as sanções impostas pela União Europeia a uma empresa iraniana envolvida em atividades de hacking.

Falha crítica de segurança no Drupal Core é explorada ativamente

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha crítica de segurança no Drupal Core em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2026-9082, possui uma pontuação CVSS de 6.5 e é uma falha de injeção SQL que afeta todas as versões suportadas do Drupal Core. Essa falha pode permitir a escalada de privilégios e execução remota de código através de requisições especialmente elaboradas. Menos de dois dias após a liberação de correções, a Drupal confirmou que tentativas de exploração estão sendo detectadas, com mais de 15.000 tentativas de ataque em quase 6.000 sites em 65 países, principalmente em sites de serviços financeiros e de jogos. As agências do governo federal dos EUA foram aconselhadas a aplicar as correções até 27 de maio de 2026 para garantir proteção adequada. A natureza da vulnerabilidade sugere que, embora a atividade atual seja predominantemente de reconhecimento, a exploração bem-sucedida pode rapidamente evoluir para extração de dados ou escalada de privilégios.

Homem canadense é preso por operar botnet DDoS Kimwolf

O Departamento de Justiça dos EUA anunciou a prisão de Jacob Butler, um canadense de 23 anos, acusado de operar a botnet Kimwolf, uma variante do AISURU. Essa botnet foi projetada para infectar dispositivos normalmente protegidos por firewalls, como câmeras e molduras digitais, e utilizava um modelo de ‘cibercrime como serviço’ para vender acesso a esses dispositivos a outros criminosos. Os dispositivos infectados eram forçados a participar de ataques DDoS, que visavam servidores em todo o mundo, incluindo endereços IP da rede de informações do Departamento de Defesa dos EUA. Butler foi identificado através de registros de IP e mensagens em plataformas como Discord. A operação de desmantelamento da Kimwolf ocorreu em colaboração com autoridades canadenses e alemãs, resultando na interrupção de sua infraestrutura de comando e controle. A botnet é responsável por mais de 25.000 comandos de ataque e por alguns dos maiores ataques DDoS já registrados, com picos de tráfego de 31,4 Terabits por segundo. Butler enfrenta até 10 anos de prisão se condenado por intrusão de computador.

Usuários de Android em alerta campanha de fraude atinge milhões globalmente

Pesquisadores de segurança cibernética descobriram uma grande campanha de fraude publicitária chamada Trapdoor, que afetou milhões de usuários de Android em todo o mundo. A operação utilizou 455 aplicativos disponíveis no Google Play Store, que pareciam inofensivos, como leitores de PDF, mas que, após a instalação, solicitavam uma atualização falsa. Essa atualização, na verdade, baixava um aplicativo oculto que gerava 659 milhões de solicitações de anúncios fraudulentos diariamente, resultando em perdas significativas para anunciantes e empresas que utilizam redes de anúncios. Os aplicativos maliciosos foram baixados mais de 24 milhões de vezes antes de serem removidos pelo Google após a notificação dos pesquisadores. A campanha destaca a interconexão entre malvertising e fraudes publicitárias, onde cada etapa do processo alimenta a próxima, criando um ciclo vicioso de exploração e lucro para os atacantes. Os usuários devem desinstalar qualquer aplicativo suspeito e manter vigilância sobre suas instalações para evitar serem vítimas dessa fraude.

Vulnerabilidade no Linux permite escalonamento de privilégios locais

Uma vulnerabilidade recentemente corrigida no módulo rxgk do kernel Linux, conhecida como DirtyDecrypt ou DirtyCBC, permite que atacantes obtenham acesso root em alguns sistemas Linux. Essa falha de segurança foi identificada e relatada pela equipe de segurança V12, que descobriu que se tratava de uma duplicata de uma vulnerabilidade já corrigida, a CVE-2026-31635, em 25 de abril. Para explorar essa vulnerabilidade, é necessário executar um kernel Linux com a opção de configuração CONFIG_RXGK, que habilita o suporte de segurança RxGK para o cliente do Andrew File System (AFS). Isso limita a superfície de ataque a distribuições Linux que seguem de perto as versões mais recentes do kernel, como Fedora, Arch Linux e openSUSE Tumbleweed. A equipe V12 testou a prova de conceito apenas no Fedora. Os usuários de Linux em distribuições potencialmente afetadas são aconselhados a instalar as atualizações mais recentes do kernel o mais rápido possível. Para aqueles que não podem aplicar o patch imediatamente, uma mitigação temporária é sugerida, embora isso possa afetar VPNs IPsec e sistemas de arquivos distribuídos AFS. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou sobre a exploração ativa de outras vulnerabilidades semelhantes, como a Copy Fail, que também requer atenção imediata.

Vulnerabilidade Fragnasia permite escalonamento de privilégios no Linux

Recentemente, distribuições Linux começaram a lançar patches para uma nova vulnerabilidade de alta severidade, conhecida como Fragnasia (CVE-2026-46300). Essa falha de segurança, descoberta por William Bowling, permite que atacantes locais não privilegiados executem código malicioso com privilégios de root, explorando um erro lógico no subsistema XFRM ESP-in-TCP do Linux. O ataque é realizado através da escrita de bytes arbitrários no cache de página do kernel de arquivos somente leitura, sem a necessidade de condições de corrida. Bowling também revelou um exploit de prova de conceito que corrompe a memória do cache de página do binário /usr/bin/su, possibilitando acesso root em sistemas vulneráveis. A vulnerabilidade Fragnasia pertence à classe de vulnerabilidades Dirty Frag, que afeta todos os kernels Linux lançados antes de 13 de maio de 2026. Para mitigar os riscos, os usuários do Linux são aconselhados a aplicar atualizações de kernel imediatamente. Caso não consigam, devem remover módulos vulneráveis, embora isso possa impactar sistemas de arquivos distribuídos e VPNs IPsec. A divulgação da Fragnasia ocorre em um momento em que outras vulnerabilidades, como a Copy Fail, também estão sendo exploradas ativamente, aumentando a urgência para que as organizações atualizem suas defesas.

Fortinet lança atualizações para vulnerabilidades críticas em sistemas

A Fortinet divulgou atualizações de segurança para corrigir duas vulnerabilidades críticas em seus produtos FortiSandbox e FortiAuthenticator, que podem permitir que atacantes executem comandos ou códigos arbitrários em sistemas não corrigidos. A primeira vulnerabilidade, identificada como CVE-2026-44277, afeta a solução de Gerenciamento de Identidade e Acesso (IAM) FortiAuthenticator, permitindo que um atacante não autenticado execute código não autorizado por meio de requisições manipuladas. Essa falha foi corrigida nas versões 6.5.7, 6.6.9 e 8.0.3 do FortiAuthenticator. A segunda vulnerabilidade, CVE-2026-26083, refere-se ao FortiSandbox e pode ser explorada para execução remota de código em sistemas vulneráveis, permitindo que atacantes não autenticados executem comandos não autorizados via requisições HTTP. Embora a Fortinet não tenha indicado que essas falhas estejam sendo ativamente exploradas, a empresa tem um histórico de vulnerabilidades que são frequentemente utilizadas em ataques de ransomware e espionagem cibernética. A CISA, agência de segurança cibernética dos EUA, já adicionou 24 vulnerabilidades da Fortinet ao seu catálogo de falhas ativamente exploradas nos últimos anos, destacando a necessidade de atenção e ação imediata por parte das organizações.

Campanha de malvertising usa Google Ads e chats do Claude.ai

Uma nova campanha de malvertising está explorando o Google Ads e chats compartilhados do Claude.ai para disseminar malware entre usuários de macOS. Pesquisadores identificaram que ao buscar por ‘Claude mac download’, os usuários podem encontrar anúncios patrocinados que direcionam para um guia de instalação malicioso disfarçado de suporte oficial da Apple. O ataque foi descoberto por Berk Albayrak, engenheiro de segurança do Trendyol Group, que alertou sobre a presença de chats compartilhados que contêm instruções para executar comandos no Terminal do macOS, resultando na instalação silenciosa de malware.

CISA dá prazo para agências dos EUA corrigirem vulnerabilidade crítica

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais corrijam uma vulnerabilidade de alta severidade no Ivanti Endpoint Manager Mobile (EPMM), identificada como CVE-2026-6973. Essa falha permite que atacantes com privilégios administrativos executem código arbitrário remotamente em sistemas que utilizam versões do EPMM 12.8.0.0 e anteriores. A Ivanti recomendou a atualização para as versões 12.6.1.1, 12.7.0.1 e 12.8.0.1, além de revisar e rotacionar credenciais de contas administrativas. Embora a exploração da vulnerabilidade tenha sido limitada até o momento, a CISA alertou que esse tipo de falha é um vetor comum para ataques cibernéticos maliciosos, representando riscos significativos para a segurança das agências federais. A Ivanti já havia corrigido outras falhas críticas em janeiro, e a CISA reiterou a importância de ações rápidas para mitigar riscos. A Shadowserver, organização de segurança sem fins lucrativos, identificou mais de 800 dispositivos EPMM expostos online, mas não há informações sobre quantos já foram corrigidos. O prazo para a correção é até a meia-noite de domingo, 10 de maio.

Ransomware destrói arquivos e inviabiliza resgate

Uma nova variante de ransomware, chamada VECT 2.0, está causando problemas não apenas para suas vítimas, mas também para os próprios hackers que a utilizam. Identificado pela Check Point Research, esse malware, que opera no modelo ransomware-as-a-service, apresenta uma falha crítica em seu código que resulta na destruição permanente de arquivos ao invés de apenas bloqueá-los para cobrança de resgate. O VECT 2.0 foi lançado em um fórum cibercriminoso russo em 2025 e, ao encriptar arquivos maiores que 128 KB, sobrescreve códigos de desencriptação, tornando impossível a recuperação dos dados. Essa falha não só prejudica as vítimas, mas também os cibercriminosos que dependem do pagamento do resgate para lucrar. A pesquisa revelou que o código contém erros amadores, como funções de evasão de segurança que não estão ativadas e ferramentas que não funcionam. Apesar da ineficiência técnica, o VECT 2.0 tem um alcance significativo, pois está associado ao BreachForums, uma das maiores comunidades de hackers da internet, que oferece acesso gratuito ao kit de ferramentas do ransomware. Essa situação levanta preocupações sobre a evolução dos ataques cibernéticos e suas consequências para a segurança digital.

Vulnerabilidade Copy Fail no Linux expõe sistemas a ataques

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) alertou sobre a exploração da vulnerabilidade de segurança ‘Copy Fail’, identificada como CVE-2026-31431, que afeta o kernel do Linux. Essa falha permite que usuários locais não privilegiados obtenham privilégios de root em sistemas Linux não corrigidos, manipulando quatro bytes controlados na cache de páginas de arquivos legíveis. A vulnerabilidade foi divulgada por pesquisadores da Theori, que também disponibilizaram um exploit em Python considerado ‘100% confiável’ para diversas distribuições Linux, incluindo Ubuntu 24.04 LTS e Amazon Linux 2023. A CISA incluiu a falha em seu catálogo de Vulnerabilidades Conhecidas e ordenou que agências federais atualizassem seus sistemas em até duas semanas. Embora as principais distribuições Linux já tenham iniciado a distribuição de correções, a falta de atualizações oficiais no momento da divulgação da vulnerabilidade levanta preocupações sobre a segurança de sistemas em uso. A CISA enfatizou que esse tipo de vulnerabilidade é um vetor de ataque comum e representa riscos significativos para a segurança das agências federais.

CISA ordena proteção contra vulnerabilidade crítica do Windows

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam seus sistemas Windows contra uma vulnerabilidade crítica, identificada como CVE-2026-32202. Esta falha de segurança, relatada pela empresa de cibersegurança Akamai, é uma vulnerabilidade de ‘zero-click’ que permite o roubo de credenciais sem a necessidade de interação do usuário. A vulnerabilidade foi deixada após um patch incompleto de uma falha anterior de execução remota de código (CVE-2026-21510) em fevereiro. O grupo de ciberespionagem russo APT28 já explorou a falha anterior em ataques direcionados à Ucrânia e países da UE. A CISA incluiu a CVE-2026-32202 em seu Catálogo de Vulnerabilidades Conhecidas (KEV) e ordenou que as agências federais aplicassem patches até 12 de maio. A agência alertou que esse tipo de vulnerabilidade é um vetor frequente de ataque e representa riscos significativos para a segurança federal. Embora a ordem se aplique apenas a agências federais, a CISA incentivou todas as equipes de segurança a priorizarem a correção dessa vulnerabilidade em suas redes.

CISA adiciona falhas de segurança críticas ao catálogo de vulnerabilidades

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), com base em evidências de exploração ativa. A primeira, CVE-2024-1708, é uma vulnerabilidade de travessia de caminho no ConnectWise ScreenConnect, com uma pontuação CVSS de 8.4, que permite a execução remota de código e pode comprometer dados confidenciais. Esta falha foi corrigida em fevereiro de 2024. A segunda, CVE-2026-32202, com uma pontuação CVSS de 4.3, é uma falha no mecanismo de proteção do Microsoft Windows Shell, permitindo que atacantes não autorizados realizem spoofing em redes. Essa vulnerabilidade foi corrigida em abril de 2026. A inclusão da CVE-2026-32202 no catálogo ocorreu após a Microsoft reconhecer que a falha estava sendo ativamente explorada, relacionada a um patch incompleto de outra vulnerabilidade. A CVE-2024-1708 tem sido explorada em conjunto com a CVE-2024-1709, uma falha crítica de bypass de autenticação, em ataques associados a grupos de ameaças, incluindo um ator baseado na China. As agências do governo dos EUA têm até 12 de maio de 2026 para aplicar as correções necessárias.

Aplicativos maliciosos na App Store visam carteiras de criptomoedas

Pesquisadores de cibersegurança descobriram um conjunto de aplicativos maliciosos na Apple App Store que se passam por carteiras de criptomoedas populares, com o objetivo de roubar frases de recuperação e chaves privadas desde o outono de 2025. Esses aplicativos, conhecidos como FakeWallet, imitam carteiras como Bitpie, Coinbase e MetaMask, e redirecionam os usuários para páginas de navegador que se assemelham à App Store, distribuindo versões trojanizadas de carteiras legítimas. Embora muitos desses aplicativos tenham sido removidos pela Apple após a divulgação, a campanha representa uma evolução nas táticas de roubo de criptomoedas, pois os aplicativos estão disponíveis para download diretamente da App Store, especialmente para usuários com contas configuradas para a China. Os atacantes utilizam ícones semelhantes aos originais, mas com erros de digitação intencionais nos nomes para enganar os usuários. Além disso, a campanha pode estar ligada a um grupo de ameaças que já atuou anteriormente, utilizando técnicas sofisticadas de phishing para capturar frases mnemônicas e comprometer carteiras de criptomoedas. A situação é preocupante, pois o roubo de ativos digitais pode ter consequências financeiras significativas para os usuários.

CISA dá prazo para agências dos EUA corrigirem vulnerabilidade da Cisco

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou as agências governamentais sobre uma vulnerabilidade no Catalyst SD-WAN Manager, que está sendo ativamente explorada em ataques. A falha, identificada como CVE-2026-20133, permite que atacantes remotos não autenticados acessem informações sensíveis em dispositivos não corrigidos. A Cisco já havia lançado um patch para essa vulnerabilidade em fevereiro, mas a CISA agora exige que as agências federais apliquem as correções até 24 de abril. A vulnerabilidade é resultado de restrições insuficientes de acesso ao sistema de arquivos, permitindo que um invasor acesse a API do sistema afetado. Além disso, a CISA incluiu essa falha em seu Catálogo de Vulnerabilidades Conhecidas (KEV) devido a evidências de exploração ativa. A Cisco ainda não confirmou a exploração da falha, mas já havia identificado outras vulnerabilidades críticas em seus produtos. A situação destaca a importância de uma resposta rápida a vulnerabilidades em sistemas amplamente utilizados, como os da Cisco, que são comuns em diversas organizações.

CISA adiciona novas vulnerabilidades críticas ao catálogo KEV

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu recentemente oito novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), destacando três falhas críticas que afetam o Cisco Catalyst SD-WAN Manager. Entre as vulnerabilidades, a CVE-2025-32975 se destaca com um escore CVSS de 10.0, permitindo que atacantes se façam passar por usuários legítimos sem credenciais válidas. Outras falhas incluem a CVE-2023-27351, que permite a bypass de autenticação no PaperCut NG/MF, e a CVE-2024-27199, que possibilita ações administrativas limitadas no JetBrains TeamCity. A CISA recomenda que as agências do governo federal dos EUA abordem as vulnerabilidades da Cisco até 23 de abril de 2026, e as demais até 4 de maio de 2026. A exploração ativa dessas falhas foi observada, com grupos de ameaças conhecidos, como Lace Tempest, utilizando-as em ataques de ransomware. A situação é crítica, pois as falhas podem comprometer a segurança de sistemas amplamente utilizados, exigindo atenção imediata das organizações para evitar possíveis incidentes de segurança.

Ameaças de Botnets em Dispositivos IoT Vulnerabilidades em Roteadores e DVRs

Pesquisas recentes da Fortinet e Palo Alto Networks revelam que atores de ameaças estão explorando falhas de segurança em dispositivos TBK DVR e roteadores TP-Link fora de suporte para implantar variantes da botnet Mirai. A vulnerabilidade CVE-2024-3721, que afeta modelos de DVR, permite a injeção de comandos e a instalação de um malware chamado Nexcorium. Este malware é projetado para persistir e realizar ataques de negação de serviço (DDoS). Além disso, a CVE-2023-33538, que impacta roteadores TP-Link, também está sendo alvo de tentativas de exploração, embora com abordagens falhas. Os dispositivos afetados, como o TL-WR940N e TL-WR841N, não recebem mais suporte, o que aumenta o risco para os usuários. Especialistas alertam que a combinação de credenciais padrão e vulnerabilidades conhecidas torna os dispositivos IoT alvos fáceis para ataques. A recomendação é que os usuários substituam esses dispositivos por modelos mais novos e seguros.

Versões antigas do Excel apresentam falhas críticas de segurança

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) alertou sobre uma vulnerabilidade crítica em versões antigas do Microsoft Excel, identificada como CVE-2009-0238. Essa falha, detectada em 2009, permite a execução remota de código (RCE), possibilitando que cibercriminosos comprometam sistemas ao enviar documentos Excel maliciosos. Os ataques podem resultar no roubo de informações sensíveis, implantação de ransomware e corrupção da memória do dispositivo. A vulnerabilidade afeta versões do Microsoft Office Excel 2000 SP3 até 2004 e 2008 para Mac, enquanto versões mais recentes já receberam correções. A CISA não detalhou como os documentos maliciosos são enviados, mas a ameaça permanece ativa, com a possibilidade de exploração por hackers. Especialistas associaram a falha à distribuição de um malware conhecido como “Trojan.Mdropper.AC”. É crucial que usuários e empresas que ainda utilizam essas versões antigas do Excel tomem medidas imediatas para mitigar os riscos associados a essa vulnerabilidade.

Ameaças exploram vulnerabilidades do Windows para obter privilégios elevados

Recentemente, três vulnerabilidades de segurança do Windows estão sendo exploradas por atores maliciosos para obter permissões de administrador ou SYSTEM. O pesquisador de segurança conhecido como ‘Chaotic Eclipse’ divulgou códigos de exploração para essas falhas, em protesto à forma como o Centro de Resposta a Segurança da Microsoft (MSRC) lidou com o processo de divulgação. As vulnerabilidades, chamadas BlueHammer e RedSun, são falhas de escalonamento de privilégios locais no Microsoft Defender, enquanto a terceira, UnDefend, permite que um usuário padrão bloqueie atualizações de definições do Defender. No momento da divulgação, essas falhas eram consideradas zero-days, pois não havia patches disponíveis. Pesquisadores da Huntress Labs relataram que as três explorações estão sendo usadas ativamente, com a BlueHammer sendo explorada desde 10 de abril. Embora a Microsoft tenha corrigido a vulnerabilidade BlueHammer, as falhas RedSun e UnDefend ainda não têm patches disponíveis. A RedSun, por exemplo, permite que atacantes obtenham privilégios SYSTEM em sistemas Windows 10, 11 e Server 2019 e posteriores, mesmo após a aplicação de correções anteriores. A Microsoft reafirmou seu compromisso em investigar problemas de segurança reportados e atualizar dispositivos afetados rapidamente.

Vulnerabilidade crítica no Apache ActiveMQ é explorada em ataques

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou sobre uma vulnerabilidade crítica no Apache ActiveMQ, identificada como CVE-2026-34197, que está sendo ativamente explorada em ataques. O Apache ActiveMQ é um popular broker de mensagens open-source baseado em Java, utilizado para comunicação assíncrona entre aplicações. A falha, que passou despercebida por 13 anos, foi descoberta pelo pesquisador Naveen Sunkavally da Horizon3, e se origina de uma validação inadequada de entrada, permitindo que atacantes autenticados executem código arbitrário através de ataques de injeção. A correção foi disponibilizada em 30 de março para as versões 6.2.3 e 5.19.4 do ActiveMQ Classic. A CISA incluiu a vulnerabilidade em seu Catálogo de Vulnerabilidades Conhecidas e ordenou que agências federais atualizassem seus servidores ActiveMQ até 30 de abril. A Horizon3 também destacou que mais de 7.500 servidores ActiveMQ estão expostos online, aumentando o risco de exploração. A CISA recomenda que organizações que utilizam ActiveMQ tratem essa vulnerabilidade como prioridade alta, dada a frequência com que o ActiveMQ é alvo de ataques reais.

Operação internacional desmantela serviços de DDoS por contratação

Uma operação internacional de aplicação da lei, chamada Operação PowerOFF, resultou na desativação de 53 domínios e na prisão de quatro indivíduos envolvidos em operações comerciais de negação de serviço distribuído (DDoS). Esses serviços eram utilizados por mais de 75.000 cibercriminosos. A ação, que contou com a participação de 21 países, incluindo o Brasil, teve como objetivo interromper o acesso a serviços de DDoS por contratação, desmantelar a infraestrutura técnica que os sustentava e acessar bancos de dados com mais de 3 milhões de contas de usuários criminosos. A Europol destacou que esses serviços permitem que até mesmo pessoas com pouco conhecimento técnico realizem ataques maliciosos em larga escala, causando danos significativos a empresas. A operação também incluiu o envio de avisos a usuários identificados e a emissão de 25 mandados de busca. A atividade de DDoS é considerada uma das tendências mais acessíveis e prolíficas do cibercrime, com motivações que vão desde extorsão até hacktivismo. A operação é um passo importante na luta contra a criminalidade cibernética, especialmente após a desativação de uma botnet chamada RapperBot em agosto de 2025, que havia realizado ataques em mais de 80 países desde 2021.