Segurança Cibernética

A Microsoft confirmou uma vulnerabilidade crítica de execução remota de código (RCE) em sua ferramenta IIS Web Deploy, identificada como CVE-2025-53772. Essa falha está relacionada à lógica de desserialização insegura nos endpoints msdeployagentservice e msdeploy.axd, permitindo que atacantes autenticados executem comandos arbitrários em servidores web vulneráveis. A vulnerabilidade se origina da desserialização do cabeçalho HTTP MSDeploy.SyncOptions, que deve conter um blob codificado em Base64 e comprimido em GZip. Um payload malicioso pode ser gerado para explorar essa falha, levando à execução de comandos no servidor. A Microsoft avaliou a gravidade da vulnerabilidade em 8.8, o que a classifica como alta. A recomendação é que administradores apliquem as atualizações mais recentes do Web Deploy imediatamente e implementem medidas de mitigação, como restringir o acesso aos endpoints e monitorar logs do IIS. A CVE-2025-53772 destaca os riscos contínuos associados à desserialização insegura em pipelines de implantação modernos, exigindo atenção urgente das organizações para proteger suas implementações automatizadas de aplicações.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança de alta severidade, identificada como CVE-2020-24363, no catálogo de Vulnerabilidades Conhecidas (KEV). Essa vulnerabilidade afeta produtos extensor de Wi-Fi TP-Link TL-WA855RE e permite que atacantes não autenticados na mesma rede realizem um reset de fábrica e obtenham acesso administrativo ao dispositivo. A CISA alerta que essa falha já está sendo explorada ativamente. Embora a vulnerabilidade tenha sido corrigida na versão de firmware TL-WA855RE(EU)_V5_200731, o produto atingiu o status de fim de vida (EoL), o que significa que não receberá mais atualizações ou patches. Os usuários são aconselhados a substituir seus dispositivos por modelos mais novos para garantir uma proteção adequada. Além disso, a CISA também adicionou uma falha no WhatsApp, que está sendo explorada em uma campanha de spyware direcionada. As agências do governo federal dos EUA têm até 23 de setembro de 2025 para aplicar as mitig ações necessárias para ambas as vulnerabilidades.

Pesquisadores de segurança descobriram o ‘AI Waifu RAT’, um Trojan de Acesso Remoto disfarçado como uma ferramenta de pesquisa em IA. Criado por um entusiasta de criptografia, o malware se apresenta como um personagem virtual, ‘Win11 Waifu’, que promete personalização ao acessar arquivos locais. No entanto, ele oferece uma porta dos fundos para os computadores dos usuários. O RAT opera com uma arquitetura simples de cliente-servidor, escutando comandos em texto simples e permitindo a execução de código arbitrário. O autor utiliza táticas de engenharia social, como sugerir que os usuários desativem suas proteções antivírus, explorando a confiança em comunidades online. A implementação rudimentar do RAT é ofuscada por uma narrativa sofisticada que apela ao desejo dos usuários por experiências inovadoras. Este incidente destaca a necessidade de vigilância em relação a ferramentas que prometem execução de código arbitrário e a importância de educar os usuários sobre engenharia social. A ameaça representa um novo vetor de ataque, utilizando IA como canal de comando e controle, e requer atenção especial de profissionais de segurança.

Uma nova vulnerabilidade de execução remota de código (RCE) zero-day, identificada como CVE-2025-7775, está sendo ativamente explorada em dispositivos Citrix Netscaler ADC e Gateway em todo o mundo. Com mais de 28.200 instâncias ainda sem correção até 26 de agosto de 2025, essa falha representa uma ameaça urgente para redes corporativas, especialmente nos Estados Unidos e na Alemanha. A vulnerabilidade permite que atacantes não autenticados enviem requisições HTTP especialmente elaboradas para a interface de gerenciamento de um dispositivo vulnerável, resultando na execução de código arbitrário com privilégios de nsroot. Isso pode levar a um controle total do sistema, possibilitando a instalação de ransomware, backdoors persistentes e a exfiltração de dados sensíveis. A CISA incluiu CVE-2025-7775 em seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), exigindo que as agências federais dos EUA apliquem o patch imediatamente. A Citrix já disponibilizou um boletim de segurança com atualizações de firmware para corrigir a falha, e os administradores são aconselhados a aplicar as correções, revisar logs de servidores e isolar os dispositivos vulneráveis da internet até que as atualizações sejam implementadas.

A Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA divulgou três novos avisos sobre Sistemas de Controle Industrial (ICS) que destacam vulnerabilidades críticas em produtos de automação e controle. Os avisos, publicados em 26 de agosto de 2025, abordam falhas em softwares de interface homem-máquina, controladores lógicos programáveis e dispositivos de monitoramento de bombas. Cada aviso classifica a severidade das vulnerabilidades utilizando o Sistema Comum de Pontuação de Vulnerabilidades (CVSS) e oferece estratégias de mitigação, como endurecimento de configurações e atualizações de software. As organizações que utilizam os produtos afetados são instadas a avaliar sua exposição, implementar soluções alternativas e aplicar patches fornecidos pelos fornecedores imediatamente. Além disso, recomenda-se que os administradores validem os controles de segmentação de rede, reforcem políticas de acesso e monitorem atividades anômalas que possam indicar tentativas de exploração. As vulnerabilidades identificadas têm severidades que variam de 7.8 a 9.1, sendo a mais crítica a relacionada ao software VT-Designer da INVT Electric. A CISA enfatiza a importância de uma gestão eficaz de patches e um monitoramento contínuo para proteger as operações industriais contra possíveis ataques.

Um pesquisador de segurança, conhecido como ‘BobDaHacker’, descobriu vulnerabilidades significativas nos sistemas online da McDonald’s enquanto tentava resgatar uma recompensa de nuggets grátis pelo aplicativo da empresa. A falha permitiu acesso ao ‘Feel-Good Design Hub’, uma plataforma centralizada para ativos de marketing utilizada em mais de 120 países. Além disso, a McDonald’s não possui um canal claro para que pesquisadores relatem vulnerabilidades, o que dificultou a comunicação de Bob com a empresa. Ele teve que buscar contatos no LinkedIn e fazer várias ligações até conseguir uma resposta. Mesmo após a substituição do sistema de senhas por um login baseado em conta, uma nova falha foi identificada: ao alterar a URL de ’login’ para ‘register’, Bob conseguiu criar novas contas com acesso total. O sistema ainda enviava senhas em texto simples, uma prática considerada insegura. Embora a McDonald’s tenha corrigido a maioria das vulnerabilidades, a falta de um canal de reporte confiável pode resultar em falhas sérias sendo ignoradas no futuro. Este incidente levanta questões sobre a prioridade da segurança cibernética na empresa, especialmente considerando que informações de funcionários e clientes podem estar em risco.

Recentemente, a Apple lançou um patch de segurança para uma vulnerabilidade crítica identificada como CVE-2025-43300, que afeta o processamento de imagens em dispositivos iOS e macOS. Essa falha permite a execução remota de código (RCE) sem interação do usuário, simplesmente ao visualizar uma imagem maliciosa. O problema se origina de uma discrepância entre os metadados declarados em arquivos TIFF/DNG e a contagem real de componentes nos fluxos JPEG Lossless, resultando em uma condição de escrita fora dos limites de memória. A Apple confirmou que a exploração dessa vulnerabilidade já foi observada em ataques direcionados, o que destaca sua gravidade. As versões afetadas incluem iOS 18.6.2, macOS Sequoia 15.6.1, entre outras. Especialistas recomendam que usuários e administradores apliquem as atualizações imediatamente, e ferramentas como ELEGANT BOUNCER foram desenvolvidas para detectar inconsistências em arquivos DNG, ajudando a prevenir a exploração. A complexidade dos padrões de imagem utilizados pela Apple é um lembrete de que a segurança pode ser comprometida por falhas em sistemas aparentemente robustos.

A Salesforce divulgou uma série de vulnerabilidades de alta severidade que afetam o Tableau Server e o Tableau Desktop, conforme o lançamento de manutenção de julho de 2025. A falha mais crítica, identificada como CVE-2025-26496, possui uma pontuação CVSS v3 de 9.6 e permite que atacantes realizem ataques de inclusão de código local, comprometendo completamente o sistema. Essa vulnerabilidade afeta versões anteriores a 2025.1.4, 2024.2.13 e 2023.3.20. Além disso, quatro das cinco vulnerabilidades divulgadas envolvem ataques de travessia de caminho, permitindo acesso a arquivos e diretórios fora dos limites pretendidos. As falhas CVE-2025-52450 e CVE-2025-52451, com pontuações de 8.5, afetam módulos da API tabdoc, enquanto CVE-2025-26497 e CVE-2025-26498 exploram componentes do servidor com pontuações de 7.7. A Salesforce recomenda a atualização imediata para as versões corrigidas disponíveis, demonstrando seu compromisso com a segurança em sua plataforma de inteligência de negócios.

Recentemente, a China experimentou uma interrupção em sua conexão com a internet global, que durou 74 minutos, afetando especificamente o tráfego no TCP port 443, utilizado para HTTPS. O incidente ocorreu entre 00:34 e 01:48, horário de Pequim, quando a maioria dos cidadãos estava dormindo, levantando questões sobre se foi um erro ou uma ação intencional. Durante a interrupção, o Grande Firewall da China bloqueou o acesso a sites externos e interrompeu serviços de empresas como Apple e Tesla. Curiosamente, apenas o port 443 foi afetado, enquanto outros, como 22 (SSH) e 80 (HTTP), permaneceram operacionais. A análise sugere que o dispositivo responsável pela interrupção não correspondia aos equipamentos conhecidos do Grande Firewall, o que pode indicar um novo dispositivo de censura ou uma configuração incorreta. Além disso, não houve eventos políticos significativos que pudessem justificar a ação, tornando a situação ainda mais enigmática. Coincidentemente, horas antes, o Paquistão também enfrentou uma queda significativa no tráfego da internet, o que pode indicar uma possível conexão entre os dois eventos, dado o histórico de censura em ambos os países.

Uma nova análise revela que dezenas de milhares de servidores Redis em todo o mundo estão vulneráveis a uma campanha avançada de cryptojacking, orquestrada pelo grupo de ameaças TA-NATALSTATUS. Este ataque evoluiu para além da simples mineração de criptomoedas, visando a tomada de controle de infraestrutura de forma persistente e furtiva. A campanha explora instâncias Redis expostas para implantar malware sofisticado que oculta processos e ofusca comandos, mantendo persistência a longo prazo por meio de técnicas semelhantes a rootkits.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica da Apple em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-43300, afeta iOS, iPadOS e macOS, permitindo que atacantes executem código arbitrário ou provoquem falhas no sistema. Essa vulnerabilidade é classificada como uma escrita fora dos limites (CWE-787) dentro do framework Image I/O, que é responsável pelo processamento de dados de imagem nos sistemas da Apple. A exploração pode ocorrer através de arquivos de imagem maliciosos enviados por e-mail ou acessados em sites comprometidos. A CISA recomenda que as organizações apliquem as correções fornecidas pela Apple e monitorem atividades suspeitas relacionadas ao processamento de arquivos de imagem. A inclusão dessa vulnerabilidade no catálogo KEV indica que é uma preocupação de segurança de alta prioridade, exigindo atenção imediata das equipes de segurança em todos os setores.

Um grupo de hackers vinculado ao FSB da Rússia, conhecido como Static Tundra, está explorando uma vulnerabilidade de sete anos na Cisco, especificamente a CVE-2018-0171, para comprometer infraestruturas críticas em setores como telecomunicações, educação superior e manufatura. Essa falha, que permite que atacantes remotos não autenticados reiniciem dispositivos ou executem códigos arbitrários, foi corrigida pela Cisco em 2018, mas muitos dispositivos ainda permanecem desatualizados. O Static Tundra utiliza ferramentas automatizadas para escanear dispositivos vulneráveis em várias regiões do mundo, incluindo América do Norte, Ásia, África e Europa. Após obter acesso inicial, o grupo implementa técnicas sofisticadas para manter uma presença de longo prazo, como a modificação de configurações de dispositivos e a utilização de implantes de firmware. A campanha tem se intensificado desde o início do conflito entre Rússia e Ucrânia, com organizações ucranianas sendo alvos frequentes. Especialistas alertam que é crucial que as organizações apliquem imediatamente os patches de segurança ou desativem a funcionalidade Smart Install em dispositivos que não podem ser atualizados.

Pesquisadores de segurança revelaram uma vulnerabilidade crítica na CodeRabbit, uma plataforma popular de revisão de código impulsionada por IA, que permitiu a execução remota de código (RCE) em servidores de produção e acesso não autorizado a mais de um milhão de repositórios. A falha, descoberta pelo pesquisador Nils Amiet e apresentada na Black Hat USA 2024, foi divulgada de forma responsável e corrigida em janeiro de 2025.

A vulnerabilidade surgiu da integração da CodeRabbit com o Rubocop, uma ferramenta de análise estática para Ruby. O design da plataforma permitiu que usuários especificassem arquivos de configuração personalizados para ferramentas de análise estática através de arquivos .rubocop.yml. Os pesquisadores exploraram essa mecânica criando arquivos de configuração maliciosos que instruíam o Rubocop a carregar e executar código Ruby arbitrário durante o processo de análise. Isso resultou na execução de um payload malicioso nos servidores de produção, estabelecendo um shell remoto com privilégios totais.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta sobre uma vulnerabilidade crítica no Trend Micro Apex One Management Console, identificada como CVE-2025-54948. Essa falha de injeção de comandos do sistema operacional permite que atacantes remotos, com credenciais de autenticação prévia, executem comandos arbitrários em sistemas vulneráveis. A vulnerabilidade foi adicionada ao catálogo de Vulnerabilidades Conhecidas (KEV) em 18 de agosto de 2025, e as organizações têm até 8 de setembro de 2025 para implementar as mitig ações recomendadas. A falha, classificada como CWE-78, pode ser explorada por usuários com acesso legítimo, permitindo movimentos laterais e escalonamento de privilégios dentro de redes comprometidas. Embora não haja confirmação de uso em campanhas de ransomware, a inclusão no KEV indica exploração ativa. As empresas que utilizam o Apex One enfrentam riscos imediatos, pois a exploração dessa vulnerabilidade pode comprometer a infraestrutura de segurança e desativar mecanismos de proteção de endpoints. A CISA recomenda que as equipes de segurança priorizem esforços de correção e implementem segmentação de rede para limitar movimentos laterais.

Pesquisadores de segurança descobriram uma campanha de ataque sofisticada em que atores de ameaças estão explorando Arquivos de Índice de Ajuda da Microsoft (.mshi) como um novo mecanismo de entrega para o backdoor PipeMagic. Essa campanha culmina na exploração da vulnerabilidade crítica CVE-2025-29824, que foi corrigida pela Microsoft em abril de 2025. Os atacantes utilizam um arquivo chamado ‘metafile.mshi’, que contém código C# ofuscado, para executar um payload malicioso através do utilitário MSBuild da Microsoft. Após a execução, o malware explora a vulnerabilidade CVE-2025-29824, que permite elevação de privilégios, e injeta cargas em processos do sistema, como winlogon.exe, para extrair credenciais. O ataque resulta na implantação de ransomware, com arquivos criptografados recebendo extensões aleatórias e notas de resgate sendo deixadas nos sistemas comprometidos. A Microsoft atribui essa atividade ao grupo de ameaças Storm-2460, que continua a adaptar suas táticas e a expandir seus métodos de entrega para evitar detecções.

Uma nova vulnerabilidade crítica no protocolo HTTP/2, chamada ‘MadeYouReset’ (CVE-2025-8671), foi divulgada em 13 de agosto de 2025, apresentando riscos significativos de negação de serviço para servidores web em todo o mundo. Essa falha permite que atacantes contornem as proteções existentes, tornando os servidores completamente indisponíveis para usuários legítimos. A vulnerabilidade é uma evolução do ataque ‘Rapid Reset’, que já havia causado grandes danos em 2023. O ‘MadeYouReset’ explora os mecanismos de concorrência do HTTP/2, permitindo que os atacantes criem um trabalho concorrente praticamente ilimitado nos servidores, sem a necessidade de recursos substanciais. Isso gera um desequilíbrio de custo que torna o ataque altamente eficaz. A pesquisa, conduzida por acadêmicos da Universidade de Tel Aviv e apoiada pela Imperva, identificou que a falha afeta várias implementações populares de servidores web, como Netty, Apache Tomcat e F5 BIG-IP. Organizações que utilizam servidores habilitados para HTTP/2 devem revisar os avisos dos fornecedores e aplicar patches imediatamente, pois a vulnerabilidade pode levar a quedas completas dos sistemas.