Segurança Cibernética

A Agência de Segurança Cibernética e de Infraestrutura (CISA), em parceria com a Agência de Segurança Nacional e aliados internacionais, lançou um guia abrangente de melhores práticas de segurança para fortalecer a infraestrutura dos servidores Microsoft Exchange. Este documento é essencial para organizações que buscam proteger seus ambientes Exchange locais contra ameaças sofisticadas. Os servidores Exchange são alvos valiosos para atacantes que buscam acesso não autorizado e a exfiltração de dados sensíveis. O guia enfatiza a importância da autenticação multifatorial (MFA) e do controle de acesso robusto como pilares fundamentais da segurança. Além disso, recomenda a implementação de protocolos de criptografia para proteger as comunicações de e-mail, tanto em trânsito quanto em repouso. Outro ponto crítico abordado é a manutenção de servidores Exchange legados durante migrações para a nuvem, que frequentemente ficam sem monitoramento adequado, tornando-se vulneráveis. A CISA sugere que as organizações desenvolvam planos de descomissionamento para essas infraestruturas obsoletas, eliminando pontos de entrada para atacantes e simplificando a segurança. O guia também lista várias vulnerabilidades críticas (CVE) que afetam versões do Exchange, destacando a necessidade urgente de ações corretivas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), afetando o Broadcom VMware Tools e o VMware Aria Operations. Identificada como CVE-2025-41244, essa falha possui uma pontuação CVSS de 7.8 e permite que atacantes locais com privilégios não administrativos escalem suas permissões para nível root em sistemas vulneráveis. A CISA destacou que a exploração dessa vulnerabilidade pode ocorrer em máquinas virtuais (VMs) com VMware Tools instalados e geridos pelo Aria Operations, especialmente com o SDMP habilitado. A falha foi descoberta pela NVISO Labs e já estava sendo explorada como um zero-day desde outubro de 2024 por um ator de ameaça vinculado à China, identificado como UNC5174. Além disso, a CISA também listou uma vulnerabilidade crítica de injeção eval no XWiki, que permite a execução remota de código por usuários convidados. As agências do Federal Civilian Executive Branch (FCEB) devem implementar as mitig ações necessárias até 20 de novembro de 2025 para proteger suas redes contra essas ameaças.

O Lampion Stealer, um trojan bancário desenvolvido por atores de ameaça brasileiros, evoluiu suas táticas de infecção ao incorporar a técnica de engenharia social conhecida como ClickFix. Desde junho de 2024, essa campanha tem demonstrado capacidades sofisticadas de evasão, visando usuários de língua portuguesa e resultando em dezenas de novas infecções diariamente. A campanha utiliza contas de e-mail comprometidas para enviar mensagens de phishing que se disfarçam como recibos de transferências bancárias. Os e-mails contêm anexos ZIP que iniciam uma cadeia de infecção em múltiplas etapas, projetada para implantar um malware que rouba credenciais. A técnica ClickFix substitui links maliciosos tradicionais, levando as vítimas a executar comandos no Windows que baixam e executam scripts maliciosos. O malware coleta informações sensíveis, como credenciais bancárias portuguesas, e utiliza uma infraestrutura distribuída para evitar a detecção. A taxa de detecção permanece baixa, com os arquivos iniciais apresentando zero detecções em ferramentas de segurança. Essa evolução nas táticas de ataque destaca a necessidade de vigilância constante e de medidas de segurança robustas para proteger os usuários contra essas ameaças.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica no Windows Server Update Service (WSUS), identificada como CVE-2025-59287. Essa falha permite que atacantes não autenticados executem código remotamente com privilégios de sistema, comprometendo a infraestrutura de milhões de servidores. A CISA atualizou suas diretrizes em 29 de outubro de 2025, recomendando que as organizações identifiquem servidores vulneráveis e apliquem imediatamente a atualização de segurança emergencial da Microsoft, lançada em 23 de outubro de 2025. Para aqueles que não conseguem aplicar os patches rapidamente, a CISA sugere desabilitar temporariamente o WSUS ou bloquear o tráfego para as portas padrão do WSUS. Além disso, as equipes de segurança devem monitorar tentativas de exploração e movimentos laterais dentro da rede, prestando atenção a processos suspeitos que possam indicar uma violação. A vulnerabilidade foi adicionada ao catálogo de Vulnerabilidades Conhecidas da CISA, confirmando a exploração ativa desde pelo menos 24 de outubro de 2025. A situação exige atenção imediata das organizações para evitar compromissos severos em suas operações.

A Apache Software Foundation divulgou duas vulnerabilidades críticas que afetam várias versões do Apache Tomcat, sendo uma delas uma falha de travessia de diretório que pode permitir a execução remota de código (RCE) em servidores vulneráveis. A vulnerabilidade mais grave, identificada como CVE-2025-55752, resulta de uma regressão introduzida ao corrigir um bug anterior. Essa falha permite que atacantes manipulem URIs de requisições através de URLs reescritas, contornando restrições de segurança que protegem diretórios sensíveis como /WEB-INF/ e /META-INF/. O risco se intensifica quando as requisições PUT estão habilitadas, permitindo o upload de arquivos maliciosos. A segunda vulnerabilidade, CVE-2025-55754, envolve a falha do Tomcat em escapar corretamente sequências de escape ANSI em mensagens de log, o que pode ser explorado para manipular a exibição do console em sistemas Windows. Ambas as vulnerabilidades afetam as versões 9, 10 e 11 do Apache Tomcat, e a Apache já lançou versões corrigidas. Administradores são aconselhados a atualizar imediatamente para evitar possíveis ataques.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta crítico sobre vulnerabilidades sérias no sistema TLS4B Automatic Tank Gauge da Veeder-Root, que podem permitir a execução de comandos de sistema por atacantes. Identificadas por pesquisadores da Bitsight, as falhas incluem uma injeção de comando (CVE-2025-58428) com uma pontuação CVSS de 9.9, que permite que atacantes remotos, utilizando credenciais válidas, executem comandos no sistema Linux subjacente. A segunda vulnerabilidade, relacionada a um estouro de inteiro (CVE-2025-55067), afeta o tratamento de valores de tempo Unix e pode causar falhas de autenticação e interrupções em funções críticas do sistema. A Veeder-Root já lançou uma versão corrigida (11.A) para a falha de injeção de comando, mas um conserto permanente para o estouro de inteiro ainda está em desenvolvimento. A CISA recomenda que as organizações atualizem imediatamente para a versão corrigida e adotem práticas de segurança de rede para minimizar a exposição à internet. Embora não haja exploração pública conhecida dessas vulnerabilidades até a data do alerta, a gravidade das falhas exige atenção urgente das organizações, especialmente no setor de energia, onde esses sistemas são amplamente utilizados.

A atualização do sistema operacional iOS 26 da Apple introduziu uma mudança significativa no funcionamento do arquivo shutdown.log, que pode ter consequências graves para a segurança dos dispositivos. Este arquivo, que anteriormente registrava atividades do sistema durante o desligamento, agora é sobrescrito a cada reinicialização, eliminando evidências cruciais de infecções por malwares sofisticados como Pegasus e Predator. Essa alteração pode ser vista como uma falha de design ou um bug, mas suas implicações são profundas, especialmente para usuários que podem ter sido infectados sem saber. Antes da atualização, pesquisadores de segurança podiam identificar indicadores de comprometimento através de anomalias nesse log, mas agora, com a remoção automática de dados históricos, dispositivos comprometidos se tornam indistinguíveis de sistemas limpos. A situação é alarmante, pois ataques de spyware continuam a atingir figuras de destaque globalmente. Para mitigar riscos, usuários são aconselhados a extrair e preservar dados do sysdiagnose antes de atualizar para o iOS 26, garantindo que informações sobre possíveis infecções sejam mantidas.

Uma falha crítica de segurança nos resolvers BIND 9 foi divulgada, permitindo que atacantes envenenem caches DNS e redirecionem o tráfego da internet para destinos maliciosos. A vulnerabilidade, identificada como CVE-2025-40778, afeta mais de 706 mil instâncias expostas em todo o mundo, conforme a empresa de escaneamento de internet Censys. Com uma pontuação CVSS de 8.6, a falha resulta do tratamento excessivamente permissivo de registros de recursos não solicitados nas respostas DNS. Isso permite que atacantes injetem dados falsificados sem precisar de acesso direto à rede. O Internet Systems Consortium (ISC), responsável pelo software BIND, recomendou que os administradores apliquem patches imediatamente, uma vez que a vulnerabilidade pode impactar significativamente empresas, provedores de internet e agências governamentais que dependem de resolvers recursivos. Embora não haja relatos de exploração ativa, a liberação pública de um exploit de prova de conceito no GitHub aumenta a urgência, fornecendo um modelo para ataques direcionados. O ISC sugere que organizações que não podem atualizar imediatamente restrinjam a recursão a clientes confiáveis e monitorem o conteúdo do cache em busca de anomalias.

No dia 24 de outubro de 2025, a Microsoft divulgou atualizações de segurança fora do ciclo regular para corrigir uma vulnerabilidade crítica no Windows Server Update Service (WSUS), identificada como CVE-2025-59287, com uma pontuação CVSS de 9.8. Essa falha permite a execução remota de código e já está sendo explorada ativamente na natureza, com um exploit de prova de conceito (PoC) disponível publicamente. A vulnerabilidade resulta da desserialização insegura de dados não confiáveis, permitindo que um atacante não autenticado execute código remotamente. A Microsoft recomenda que os administradores de sistemas instalem a atualização imediatamente e realizem uma reinicialização do sistema. Como medidas temporárias, é aconselhável desativar o papel do servidor WSUS e bloquear o tráfego nas portas 8530 e 8531. A situação é crítica, pois o Centro Nacional de Segurança Cibernética da Holanda relatou que a exploração da vulnerabilidade foi observada no mesmo dia do anúncio. A CISA dos EUA também incluiu essa falha em seu catálogo de vulnerabilidades exploradas, exigindo que agências federais a remediem até 14 de novembro de 2025.

O uso crescente de inteligência artificial (IA) nas empresas traz benefícios como produtos mais rápidos e sistemas mais inteligentes, mas também levanta preocupações significativas em relação à segurança. Atualmente, estima-se que existam 100 agentes de IA para cada funcionário humano, e alarmantes 99% desses agentes estão completamente não gerenciados, sem supervisão ou controles de ciclo de vida. Isso representa um risco real, pois cada um desses agentes pode se tornar uma porta dos fundos para invasões. O artigo destaca a necessidade urgente de adaptar as ferramentas de segurança tradicionais para lidar com esse novo cenário. Um webinar gratuito intitulado ‘Transformando Controles em Aceleradores da Adoção de IA’ promete oferecer estratégias práticas para que as empresas possam implementar segurança desde o início, em vez de como uma reflexão tardia. Os participantes aprenderão a governar agentes de IA, a evitar a proliferação de credenciais e a alinhar a segurança com os objetivos de negócios, permitindo que a segurança não seja um obstáculo, mas sim um facilitador da adoção de IA. Essa abordagem é essencial para que engenheiros, arquitetos e CISOs possam deixar de atuar de forma reativa e passar a ter controle e confiança em suas operações de segurança.

A empresa de segurança cibernética Sansec alertou que criminosos cibernéticos começaram a explorar uma vulnerabilidade crítica recentemente divulgada nas plataformas Adobe Commerce e Magento Open Source. A falha, identificada como CVE-2025-54236, possui uma pontuação CVSS de 9.1 e permite a tomada de controle de contas de clientes através da API REST do Commerce. Desde a divulgação pública da vulnerabilidade, mais de 250 tentativas de ataque foram registradas em apenas 24 horas, com 62% das lojas Magento ainda vulneráveis. Os ataques têm origem em diversos endereços IP, onde os invasores utilizam a falha para implantar webshells PHP ou extrair informações de configuração do PHP. A Sansec recomenda que os administradores de sites apliquem os patches disponíveis o mais rápido possível para evitar a exploração mais ampla da vulnerabilidade. Essa é a segunda falha de desserialização crítica que afeta as plataformas Adobe Commerce e Magento em dois anos, o que destaca a necessidade urgente de atenção e ação por parte dos administradores de sistemas.

Um novo malware, atribuído ao grupo de hackers COLDRIVER, vinculado à Rússia, passou por várias iterações desde maio de 2025, indicando um aumento nas operações do grupo. O Google Threat Intelligence Group (GTIG) observou que, apenas cinco dias após a divulgação do malware LOSTKEYS, o COLDRIVER já havia refinado suas ferramentas de ataque. O novo malware, denominado NOROBOT, YESROBOT e MAYBEROBOT, é uma coleção de famílias de malware interconectadas. As recentes ondas de ataque se afastam do foco habitual do COLDRIVER, que visa indivíduos de alto perfil, e agora utilizam iscas do tipo ClickFix para induzir usuários a executar comandos maliciosos no PowerShell. A cadeia de infecção começa com um lure HTML chamado COLDCOPY, que instala o NOROBOT. O YESROBOT, um backdoor em Python, foi rapidamente substituído pelo MAYBEROBOT, que possui funcionalidades mais avançadas. A evolução constante dessas ferramentas demonstra a tentativa do grupo de evitar sistemas de detecção e continuar a coleta de informações de alvos significativos. Além disso, três adolescentes na Holanda foram suspeitos de fornecer serviços a um governo estrangeiro, possivelmente relacionado a atividades de espionagem digital. Essa situação ressalta a necessidade de vigilância e proteção contra ameaças cibernéticas em um cenário global cada vez mais complexo.

O avanço da inteligência artificial generativa tem transformado o cibercrime em uma economia paralela que movimenta anualmente cerca de US$ 10 trilhões, segundo Tania Cosentino, ex-presidente da Microsoft Brasil. Durante sua apresentação no CRM Zummit 2025, Cosentino destacou que a combinação de novas tecnologias, como a migração para a nuvem e o trabalho remoto, ampliou a superfície de ataque, tornando as empresas mais vulneráveis. Os hackers utilizam IA para aumentar a velocidade e a sofisticação de seus ataques, resultando em ameaças complexas, como ransomware e ataques a cadeias de suprimento. O tempo de resposta dos atacantes é alarmante, com a média de apenas 1 hora e 12 minutos para se mover lateralmente dentro de uma rede após o acesso inicial. O Brasil é um dos países mais atacados, especialmente em ransomware, devido à percepção de que os resgates são frequentemente pagos. Além disso, a falta de profissionais qualificados em cibersegurança e a disparidade entre regiões do país agravam a situação. A segurança cibernética não é apenas uma questão técnica, mas também um diferencial competitivo, pois 69% dos consumidores evitam empresas percebidas como inseguras.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma vulnerabilidade crítica do Microsoft Windows ao seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), alertando que atacantes estão explorando ativamente essa falha em ataques reais. A vulnerabilidade, identificada como CVE-2025-59230, afeta o componente Gerenciador de Conexão de Acesso Remoto do Windows e permite que atacantes aumentem seus privilégios em sistemas comprometidos. Isso significa que um invasor com acesso limitado pode obter permissões mais altas, possibilitando a execução de código malicioso, acesso a dados sensíveis e movimentação lateral em redes interconectadas. A CISA ordenou que agências federais apliquem patches de segurança até 4 de novembro, e recomenda que todas as organizações priorizem a correção dessa falha. Dada a exploração ativa e a urgência do alerta, as equipes de segurança devem tratar essa vulnerabilidade como uma prioridade alta para evitar possíveis violações e comprometimentos de sistemas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma falha de segurança crítica no Adobe Experience Manager (AEM) ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2025-54253, possui uma pontuação CVSS de 10.0, indicando severidade máxima, e pode permitir a execução de código arbitrário. A falha afeta as versões 6.5.23.0 e anteriores do AEM Forms em JEE e foi corrigida na versão 6.5.0-0108, lançada em agosto de 2025. O problema decorre de um servlet exposto, que avalia expressões OGNL fornecidas pelo usuário como código Java, sem exigir autenticação ou validação de entrada. Embora não haja informações públicas sobre como a falha está sendo explorada em ataques reais, a Adobe reconheceu a existência de um proof-of-concept disponível publicamente. Em resposta à exploração ativa, as agências do Federal Civilian Executive Branch (FCEB) foram orientadas a aplicar as correções necessárias até 5 de novembro de 2025.

Recentemente, a CrowdStrike identificou duas vulnerabilidades críticas em seu software Falcon, designadas como CVE-2025-42701 e CVE-2025-42706. Ambas as falhas afetam exclusivamente as versões do Falcon para Windows e permitem que atacantes, que já tenham conseguido executar código no sistema, excluam arquivos arbitrários. A CVE-2025-42701 é uma vulnerabilidade de condição de corrida (TOCTOU) com um escore CVSS de 5.6, enquanto a CVE-2025-42706 envolve um erro lógico relacionado à validação de origem, com um escore CVSS de 6.5. A CrowdStrike lançou patches para várias versões do Falcon, incluindo a versão 7.29 e hotfixes para versões anteriores, garantindo que os usuários possam se proteger contra essas falhas. A empresa não encontrou evidências de exploração ativa dessas vulnerabilidades, mas recomenda que os clientes atualizem seus sistemas para evitar possíveis ataques que possam comprometer a estabilidade do software e do sistema operacional. A atualização é essencial para manter uma postura de segurança robusta e prevenir a exclusão de arquivos críticos.

Uma recente campanha de malware tem comprometido sites WordPress ao injetar funções PHP maliciosas que carregam JavaScript controlado por atacantes, afetando a sessão de todos os visitantes. A violação foi identificada em um pequeno trecho de código adicionado ao arquivo functions.php do tema ativo, mostrando como pequenas modificações podem ter um grande impacto. O código injetado utiliza hooks do WordPress para ser executado em cada carregamento de página, contatando silenciosamente um servidor de comando e controle para baixar cargas maliciosas.

Uma vulnerabilidade crítica (CVE-2025-61882) no Oracle E-Business Suite (EBS) está sendo ativamente explorada, levando o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) a alertar as organizações para a aplicação imediata de controles mitigatórios. Essa falha de execução remota de código não autenticada está presente no componente de Integração do BI Publisher do Oracle Concurrent Processing e pode resultar em comprometimento total do sistema. Não é necessária interação do usuário, e os atacantes podem ativar a vulnerabilidade enviando requisições HTTP especialmente elaboradas. A Oracle lançou uma atualização de segurança que corrige essa falha, afetando as versões do EBS de 12.2.3 a 12.2.14. O NCSC recomenda que as organizações realizem uma avaliação abrangente de comprometimento e apliquem a atualização crítica de outubro de 2023. A exposição direta do EBS à internet aumenta significativamente o risco, e a proteção de redes internas deve ser reforçada para evitar movimentos laterais de atacantes. O NCSC também oferece orientações sobre gerenciamento de vulnerabilidades e segurança de perímetro de rede, além de um serviço de alerta antecipado para ameaças emergentes.

Pesquisadores revelaram uma falha crítica de segurança em roteadores empresariais que utilizam o sistema DrayOS, permitindo que atacantes remotos não autenticados provoquem corrupção de memória, quedas de sistema e potencialmente executem código arbitrário. A vulnerabilidade está presente na Interface Web do Usuário (WebUI), que aceita requisições HTTP(S) sem validação adequada de entrada. Quando explorada, essa falha pode dar controle total sobre os dispositivos afetados, permitindo que os atacantes se movam mais profundamente nas redes corporativas. A exploração ocorre ao enviar requisições maliciosas para a WebUI em interfaces de rede com acesso remoto habilitado. A DrayTek já lançou atualizações de firmware para corrigir a vulnerabilidade, e os usuários são aconselhados a atualizar imediatamente para evitar riscos de exploração. Para mitigar a ameaça, recomenda-se desabilitar o acesso remoto à WebUI e implementar listas de controle de acesso (ACLs) que restrinjam o acesso a hosts confiáveis. Além disso, é importante realizar auditorias de patch e testes de penetração periódicos para garantir a segurança das interfaces de gerenciamento remoto.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta gravidade, CVE-2025-4008, que afeta o Smartbedded Meteobridge, em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Com uma pontuação CVSS de 8.7, essa falha é um caso de injeção de comando na interface web do Meteobridge, permitindo que atacantes remotos não autenticados executem comandos arbitrários com privilégios elevados nos dispositivos afetados. A vulnerabilidade foi descoberta pela ONEKEY e relatada em fevereiro de 2025, sendo que a interface web do Meteobridge é acessível publicamente, o que facilita a exploração. A CISA recomenda que as agências federais dos EUA apliquem as atualizações necessárias até 23 de outubro de 2025. Além disso, outras quatro vulnerabilidades críticas foram adicionadas ao catálogo, incluindo falhas em dispositivos móveis da Samsung e no Jenkins. A atualização para a versão 6.2 do Meteobridge, lançada em 13 de maio de 2025, já aborda essa vulnerabilidade.

O grupo de ameaças Patchwork APT, também conhecido como Dropping Elephant, tem aprimorado suas técnicas de espionagem utilizando um carregador baseado em PowerShell. Este método envolve a criação de tarefas agendadas e ofuscação em múltiplas etapas para garantir persistência e furtividade. Desde 2015, o grupo tem como alvo organizações políticas e militares na Ásia, utilizando engenharia social em vez de exploits zero-day. O ataque começa com um documento de spear-phishing que ativa uma macro maliciosa, baixando um arquivo LNK que, ao ser executado, ativa um script PowerShell. Este script baixa um executável disfarçado de VLC e um DLL acompanhante, além de criar uma tarefa agendada para garantir que o carregador seja executado continuamente. O método fStage é utilizado para estabelecer comunicação criptografada com o servidor do atacante, coletando informações do sistema e enviando-as de volta. A exfiltração de dados é realizada através de técnicas de codificação e execução de comandos em um processo oculto. A arquitetura complexa deste ataque destaca a adaptabilidade do Patchwork, exigindo que as organizações mantenham suas soluções de segurança atualizadas e monitorem tarefas agendadas anômalas.

Uma vulnerabilidade crítica foi identificada no SUSE Rancher Manager, permitindo que atacantes bloqueiem contas administrativas por meio de manipulação de nomes de usuário. Essa falha, resultante de uma validação inadequada no sistema de gerenciamento de usuários, possibilita que usuários mal-intencionados com permissões de atualização alterem nomes de usuários, impedindo o acesso de administradores legítimos. Existem dois vetores principais de ataque: a tomada de conta, onde um usuário pode alterar o nome de outro para ‘admin’, e o bloqueio direto de contas administrativas. A exploração dessa vulnerabilidade pode causar interrupções significativas nas operações de gerenciamento de plataformas, deixando sistemas críticos sem supervisão adequada. A SUSE já disponibilizou correções nas versões v2.12.2, v2.11.6, v2.10.10 e v2.9.12, que implementam validações para impedir a modificação de nomes de usuário após a atribuição inicial. Para organizações que não podem atualizar imediatamente, recomenda-se a implementação de controles de acesso rigorosos. A auditoria regular de permissões e o monitoramento de alterações não autorizadas são essenciais para detectar tentativas de exploração antes que causem danos operacionais.

Uma vulnerabilidade crítica, classificada com CVSS 9.4, foi descoberta na plataforma Agentforce AI da Salesforce, permitindo que atacantes realizem injeções de comandos maliciosos através de formulários Web-to-Lead. Essa falha, chamada ‘ForcedLeak’, pode resultar na exfiltração de dados sensíveis de clientes. O problema foi identificado por pesquisadores da Noma Labs, que alertaram os usuários da Salesforce sobre a necessidade urgente de aplicar patches. A vulnerabilidade afeta a funcionalidade Web-to-Lead, que captura automaticamente informações de leads durante campanhas de marketing. Os atacantes exploram a falha inserindo instruções maliciosas em campos aparentemente inofensivos, que são posteriormente executadas pelo agente AI da Salesforce. A falha se deve a falhas de validação de contexto, comportamento permissivo do modelo e uma política de segurança de conteúdo que permitiu o uso de um domínio expirado para a transmissão de dados. A Salesforce já lançou correções e recomenda medidas de mitigação, como a validação rigorosa de entradas e a auditoria de dados existentes. Este incidente destaca os desafios de segurança únicos apresentados por agentes de IA em ambientes empresariais, exigindo que as organizações adotem estruturas de segurança centradas em IA para proteger contra novos vetores de ataque.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre uma vulnerabilidade zero-day no Google Chrome, identificada como CVE-2025-10585. Essa falha, localizada no motor V8 do JavaScript e WebAssembly, representa um risco significativo para usuários em todo o mundo, pois permite que atacantes manipulem estruturas de memória e executem código arbitrário ao visitar páginas da web maliciosas. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas e Explotadas, exigindo que agências federais apliquem correções ou suspendam o uso das versões afetadas até 14 de outubro de 2025. Embora a Google tenha lançado patches para resolver o problema, a CISA recomenda que usuários e administradores verifiquem manualmente a instalação das atualizações. A natureza crítica da falha, que pode ser explorada sem interação adicional do usuário, torna essencial que organizações, tanto públicas quanto privadas, adotem medidas de mitigação, como a aplicação de atualizações e o monitoramento de tráfego de rede para sinais de comprometimento.

Pesquisadores de segurança descobriram uma sofisticada campanha do Magecart que utiliza JavaScript ofuscado para roubar dados de cartões de pagamento de sites de comércio eletrônico comprometidos. A infraestrutura maliciosa, centrada no domínio cc-analytics[.]com, tem coletado informações sensíveis de clientes por pelo menos um ano. O ataque começa com a injeção de tags de script maliciosas em plataformas de e-commerce vulneráveis, referenciando arquivos JavaScript externos controlados pelos atacantes. O código malicioso emprega técnicas avançadas de ofuscação, como codificação hexadecimal e manipulação de strings, para evitar a detecção por ferramentas de segurança. A análise do JavaScript revela um mecanismo de coleta de dados que monitora formulários de checkout e seleções de métodos de pagamento, capturando em tempo real informações como números de cartões de crédito e endereços de cobrança. A operação se estende por múltiplos domínios relacionados, demonstrando uma infraestrutura criminosa organizada e com capacidades técnicas significativas. Especialistas recomendam a implementação de políticas de segurança de conteúdo e a validação de referências de scripts externos para mitigar esses ataques.

O Burger King acionou a Lei de Direitos Autorais do Milênio Digital (DMCA) para remover um post de um pesquisador de segurança que revelou vulnerabilidades críticas em seu novo sistema de ‘Assistente’ no drive-thru. O hacker ético BobDaHacker publicou um relatório detalhando como atacantes poderiam contornar a autenticação, escutar pedidos de clientes e acessar registros sensíveis de funcionários. Apesar de a Restaurant Brands International (RBI) ter corrigido as falhas rapidamente, o conteúdo foi retirado do ar sob a alegação de uso indevido da marca e promoção de atividades ilegais. O post, que ficou disponível por menos de 48 horas, destacou falhas como a possibilidade de qualquer usuário se registrar e obter acesso a dados de todos os estabelecimentos que utilizam o sistema. Embora a RBI tenha enfatizado que não há armazenamento de dados de clientes a longo prazo, o incidente ressalta a necessidade urgente de proteger dados sensíveis, especialmente em plataformas em fase beta. A ação de remoção, em vez de silenciar o problema, acabou atraindo mais atenção para as falhas de segurança do sistema de IA do Burger King, evidenciando a importância de equilibrar inovação e segurança em tecnologias emergentes.

Um novo ataque cibernético descoberto permite que usuários autenticados do ArgoCD, uma ferramenta popular de entrega contínua para Kubernetes, roubem credenciais do GitHub. O ataque explora a resolução de DNS do Kubernetes, enganando o servidor de repositório do ArgoCD a se conectar a um serviço controlado pelo atacante em vez do verdadeiro GitHub. Ao implantar um serviço malicioso, o atacante cria um registro DNS que redireciona o domínio github.com para um IP interno do cluster. Quando o ArgoCD busca manifestos via HTTPS, o atacante utiliza um certificado personalizado para inspecionar o cabeçalho de autorização e exfiltrar credenciais, incluindo tokens de autenticação e JWTs do GitHub. Para que o ataque seja bem-sucedido, a conta do ArgoCD comprometida deve ter permissões adequadas. O artigo também sugere medidas de mitigação, como aplicar princípios de menor privilégio e monitorar o tráfego interno. Essa vulnerabilidade é uma preocupação crescente, especialmente em um cenário onde a exfiltração de informações é um tema recorrente na cibersegurança.

O ZynorRAT, um novo Trojan de Acesso Remoto (RAT), está gerando preocupações entre pesquisadores de segurança devido às suas capacidades multiplataforma e à infraestrutura de comando e controle (C2) furtiva. Lançado em julho de 2025, o ZynorRAT utiliza binários em Go para Linux e Windows, permitindo uma gama de funções controladas por atacantes através de um bot no Telegram. O RAT estabelece seu canal C2 por meio do Telegram, incorporando o token do bot e o identificador de chat diretamente no binário. Ao ser executado, ele consulta a API do Telegram para comandos, executando instruções reconhecidas ou revertendo para a execução de shell. Entre as funções disponíveis estão exfiltração de arquivos, listagem de diretórios e processos, captura de tela e instalação de persistência. O ZynorRAT também demonstra um desenvolvimento ativo, com uma redução nas taxas de detecção em uploads sucessivos ao VirusTotal. A detecção e mitigação são possíveis através de regras específicas e assinaturas YARA, com recomendações para monitoramento contínuo e auditoria de diretórios de serviços de usuário. Dada a sua evolução e potencial de exploração, as organizações devem atualizar suas regras de detecção e reforçar controles de saída de rede.

Uma nova campanha de malvertising no Facebook está explorando o programa Meta Verified para roubar contas de usuários. Os atacantes, presumivelmente de origem vietnamita, criaram anúncios enganosos que prometem ensinar como obter o selo de verificação azul por meio de uma extensão de navegador maliciosa. Os anúncios, que totalizam pelo menos 37, redirecionam os usuários para um vídeo tutorial e um arquivo .CRX hospedado no Box.com. Após a instalação, a extensão injeta um script nas páginas do Facebook, interceptando cookies de sessão e enviando informações roubadas para um bot no Telegram. Além do roubo de cookies, algumas variantes da extensão conseguem acessar tokens de acesso, permitindo que os atacantes explorem contas comerciais no Facebook, que são vendidas em mercados clandestinos. Essa operação representa um ciclo de receita autossustentável, onde contas comprometidas são reutilizadas para novas campanhas maliciosas. Para se proteger, os usuários devem evitar extensões não verificadas e adotar práticas de segurança como autenticação em duas etapas e monitoramento de alertas de login.

Uma nova campanha de malware está atacando APIs Docker mal configuradas expostas à internet, implantando cryptominers e utilizando a rede Tor para ocultar suas atividades. Inicialmente relatada em junho de 2025 pela equipe de Inteligência de Ameaças da Trend Micro, essa variante foi observada em honeypots da Akamai em agosto de 2025, ampliando suas capacidades de infecção. O malware explora portas Docker abertas (2375) para lançar um contêiner Alpine, montar o sistema de arquivos raiz do host e executar scripts maliciosos. A persistência é garantida por meio de modificações nas configurações SSH e criação de tarefas cron para comunicação discreta. A nova variante identificada pela Akamai não apenas implanta um cryptominer, mas também um pacote multifuncional que inclui ferramentas como masscan e libpcap, bloqueando o acesso a outras ameaças. Os indicadores de comprometimento incluem implantações incomuns de contêineres e conexões de saída para domínios .onion. Para mitigar esses riscos, recomenda-se restringir a exposição da API Docker e monitorar acessos não autorizados.

O Hook v3, a mais recente variante do trojan bancário para Android, apresenta um conjunto alarmante de funcionalidades, incluindo sobreposições de ransomware, prompts bancários falsos e funções de spyware. Pesquisadores da Zimperium zLabs identificaram que o malware agora suporta 107 comandos remotos, com 38 novos na última atualização, explorando os Serviços de Acessibilidade do Android. Essa evolução sugere uma transição de fraudes bancárias específicas para uma plataforma de ameaças mais versátil, aumentando o risco para usuários e instituições financeiras. Entre as novas táticas, destacam-se sobreposições que imitam telas de desbloqueio e pagamentos, como o Google Pay, que induzem as vítimas a fornecer dados sensíveis. Além disso, a capacidade de streaming em tempo real permite que os atacantes monitorem as atividades dos dispositivos das vítimas. O Hook v3 se espalha por meio de sites de phishing e APKs maliciosos hospedados no GitHub, o que facilita sua disseminação. A combinação de roubo passivo e monitoramento ativo torna essa ameaça particularmente intrusiva e preocupante para a segurança cibernética.

A Microsoft confirmou uma vulnerabilidade crítica de execução remota de código (RCE) em sua ferramenta IIS Web Deploy, identificada como CVE-2025-53772. Essa falha está relacionada à lógica de desserialização insegura nos endpoints msdeployagentservice e msdeploy.axd, permitindo que atacantes autenticados executem comandos arbitrários em servidores web vulneráveis. A vulnerabilidade se origina da desserialização do cabeçalho HTTP MSDeploy.SyncOptions, que deve conter um blob codificado em Base64 e comprimido em GZip. Um payload malicioso pode ser gerado para explorar essa falha, levando à execução de comandos no servidor. A Microsoft avaliou a gravidade da vulnerabilidade em 8.8, o que a classifica como alta. A recomendação é que administradores apliquem as atualizações mais recentes do Web Deploy imediatamente e implementem medidas de mitigação, como restringir o acesso aos endpoints e monitorar logs do IIS. A CVE-2025-53772 destaca os riscos contínuos associados à desserialização insegura em pipelines de implantação modernos, exigindo atenção urgente das organizações para proteger suas implementações automatizadas de aplicações.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança de alta severidade, identificada como CVE-2020-24363, no catálogo de Vulnerabilidades Conhecidas (KEV). Essa vulnerabilidade afeta produtos extensor de Wi-Fi TP-Link TL-WA855RE e permite que atacantes não autenticados na mesma rede realizem um reset de fábrica e obtenham acesso administrativo ao dispositivo. A CISA alerta que essa falha já está sendo explorada ativamente. Embora a vulnerabilidade tenha sido corrigida na versão de firmware TL-WA855RE(EU)_V5_200731, o produto atingiu o status de fim de vida (EoL), o que significa que não receberá mais atualizações ou patches. Os usuários são aconselhados a substituir seus dispositivos por modelos mais novos para garantir uma proteção adequada. Além disso, a CISA também adicionou uma falha no WhatsApp, que está sendo explorada em uma campanha de spyware direcionada. As agências do governo federal dos EUA têm até 23 de setembro de 2025 para aplicar as mitig ações necessárias para ambas as vulnerabilidades.

Pesquisadores de segurança descobriram o ‘AI Waifu RAT’, um Trojan de Acesso Remoto disfarçado como uma ferramenta de pesquisa em IA. Criado por um entusiasta de criptografia, o malware se apresenta como um personagem virtual, ‘Win11 Waifu’, que promete personalização ao acessar arquivos locais. No entanto, ele oferece uma porta dos fundos para os computadores dos usuários. O RAT opera com uma arquitetura simples de cliente-servidor, escutando comandos em texto simples e permitindo a execução de código arbitrário. O autor utiliza táticas de engenharia social, como sugerir que os usuários desativem suas proteções antivírus, explorando a confiança em comunidades online. A implementação rudimentar do RAT é ofuscada por uma narrativa sofisticada que apela ao desejo dos usuários por experiências inovadoras. Este incidente destaca a necessidade de vigilância em relação a ferramentas que prometem execução de código arbitrário e a importância de educar os usuários sobre engenharia social. A ameaça representa um novo vetor de ataque, utilizando IA como canal de comando e controle, e requer atenção especial de profissionais de segurança.

Uma nova vulnerabilidade de execução remota de código (RCE) zero-day, identificada como CVE-2025-7775, está sendo ativamente explorada em dispositivos Citrix Netscaler ADC e Gateway em todo o mundo. Com mais de 28.200 instâncias ainda sem correção até 26 de agosto de 2025, essa falha representa uma ameaça urgente para redes corporativas, especialmente nos Estados Unidos e na Alemanha. A vulnerabilidade permite que atacantes não autenticados enviem requisições HTTP especialmente elaboradas para a interface de gerenciamento de um dispositivo vulnerável, resultando na execução de código arbitrário com privilégios de nsroot. Isso pode levar a um controle total do sistema, possibilitando a instalação de ransomware, backdoors persistentes e a exfiltração de dados sensíveis. A CISA incluiu CVE-2025-7775 em seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), exigindo que as agências federais dos EUA apliquem o patch imediatamente. A Citrix já disponibilizou um boletim de segurança com atualizações de firmware para corrigir a falha, e os administradores são aconselhados a aplicar as correções, revisar logs de servidores e isolar os dispositivos vulneráveis da internet até que as atualizações sejam implementadas.

A Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA divulgou três novos avisos sobre Sistemas de Controle Industrial (ICS) que destacam vulnerabilidades críticas em produtos de automação e controle. Os avisos, publicados em 26 de agosto de 2025, abordam falhas em softwares de interface homem-máquina, controladores lógicos programáveis e dispositivos de monitoramento de bombas. Cada aviso classifica a severidade das vulnerabilidades utilizando o Sistema Comum de Pontuação de Vulnerabilidades (CVSS) e oferece estratégias de mitigação, como endurecimento de configurações e atualizações de software. As organizações que utilizam os produtos afetados são instadas a avaliar sua exposição, implementar soluções alternativas e aplicar patches fornecidos pelos fornecedores imediatamente. Além disso, recomenda-se que os administradores validem os controles de segmentação de rede, reforcem políticas de acesso e monitorem atividades anômalas que possam indicar tentativas de exploração. As vulnerabilidades identificadas têm severidades que variam de 7.8 a 9.1, sendo a mais crítica a relacionada ao software VT-Designer da INVT Electric. A CISA enfatiza a importância de uma gestão eficaz de patches e um monitoramento contínuo para proteger as operações industriais contra possíveis ataques.

Um pesquisador de segurança, conhecido como ‘BobDaHacker’, descobriu vulnerabilidades significativas nos sistemas online da McDonald’s enquanto tentava resgatar uma recompensa de nuggets grátis pelo aplicativo da empresa. A falha permitiu acesso ao ‘Feel-Good Design Hub’, uma plataforma centralizada para ativos de marketing utilizada em mais de 120 países. Além disso, a McDonald’s não possui um canal claro para que pesquisadores relatem vulnerabilidades, o que dificultou a comunicação de Bob com a empresa. Ele teve que buscar contatos no LinkedIn e fazer várias ligações até conseguir uma resposta. Mesmo após a substituição do sistema de senhas por um login baseado em conta, uma nova falha foi identificada: ao alterar a URL de ’login’ para ‘register’, Bob conseguiu criar novas contas com acesso total. O sistema ainda enviava senhas em texto simples, uma prática considerada insegura. Embora a McDonald’s tenha corrigido a maioria das vulnerabilidades, a falta de um canal de reporte confiável pode resultar em falhas sérias sendo ignoradas no futuro. Este incidente levanta questões sobre a prioridade da segurança cibernética na empresa, especialmente considerando que informações de funcionários e clientes podem estar em risco.

Recentemente, a Apple lançou um patch de segurança para uma vulnerabilidade crítica identificada como CVE-2025-43300, que afeta o processamento de imagens em dispositivos iOS e macOS. Essa falha permite a execução remota de código (RCE) sem interação do usuário, simplesmente ao visualizar uma imagem maliciosa. O problema se origina de uma discrepância entre os metadados declarados em arquivos TIFF/DNG e a contagem real de componentes nos fluxos JPEG Lossless, resultando em uma condição de escrita fora dos limites de memória. A Apple confirmou que a exploração dessa vulnerabilidade já foi observada em ataques direcionados, o que destaca sua gravidade. As versões afetadas incluem iOS 18.6.2, macOS Sequoia 15.6.1, entre outras. Especialistas recomendam que usuários e administradores apliquem as atualizações imediatamente, e ferramentas como ELEGANT BOUNCER foram desenvolvidas para detectar inconsistências em arquivos DNG, ajudando a prevenir a exploração. A complexidade dos padrões de imagem utilizados pela Apple é um lembrete de que a segurança pode ser comprometida por falhas em sistemas aparentemente robustos.

A Salesforce divulgou uma série de vulnerabilidades de alta severidade que afetam o Tableau Server e o Tableau Desktop, conforme o lançamento de manutenção de julho de 2025. A falha mais crítica, identificada como CVE-2025-26496, possui uma pontuação CVSS v3 de 9.6 e permite que atacantes realizem ataques de inclusão de código local, comprometendo completamente o sistema. Essa vulnerabilidade afeta versões anteriores a 2025.1.4, 2024.2.13 e 2023.3.20. Além disso, quatro das cinco vulnerabilidades divulgadas envolvem ataques de travessia de caminho, permitindo acesso a arquivos e diretórios fora dos limites pretendidos. As falhas CVE-2025-52450 e CVE-2025-52451, com pontuações de 8.5, afetam módulos da API tabdoc, enquanto CVE-2025-26497 e CVE-2025-26498 exploram componentes do servidor com pontuações de 7.7. A Salesforce recomenda a atualização imediata para as versões corrigidas disponíveis, demonstrando seu compromisso com a segurança em sua plataforma de inteligência de negócios.

Recentemente, a China experimentou uma interrupção em sua conexão com a internet global, que durou 74 minutos, afetando especificamente o tráfego no TCP port 443, utilizado para HTTPS. O incidente ocorreu entre 00:34 e 01:48, horário de Pequim, quando a maioria dos cidadãos estava dormindo, levantando questões sobre se foi um erro ou uma ação intencional. Durante a interrupção, o Grande Firewall da China bloqueou o acesso a sites externos e interrompeu serviços de empresas como Apple e Tesla. Curiosamente, apenas o port 443 foi afetado, enquanto outros, como 22 (SSH) e 80 (HTTP), permaneceram operacionais. A análise sugere que o dispositivo responsável pela interrupção não correspondia aos equipamentos conhecidos do Grande Firewall, o que pode indicar um novo dispositivo de censura ou uma configuração incorreta. Além disso, não houve eventos políticos significativos que pudessem justificar a ação, tornando a situação ainda mais enigmática. Coincidentemente, horas antes, o Paquistão também enfrentou uma queda significativa no tráfego da internet, o que pode indicar uma possível conexão entre os dois eventos, dado o histórico de censura em ambos os países.

Uma nova análise revela que dezenas de milhares de servidores Redis em todo o mundo estão vulneráveis a uma campanha avançada de cryptojacking, orquestrada pelo grupo de ameaças TA-NATALSTATUS. Este ataque evoluiu para além da simples mineração de criptomoedas, visando a tomada de controle de infraestrutura de forma persistente e furtiva. A campanha explora instâncias Redis expostas para implantar malware sofisticado que oculta processos e ofusca comandos, mantendo persistência a longo prazo por meio de técnicas semelhantes a rootkits.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica da Apple em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-43300, afeta iOS, iPadOS e macOS, permitindo que atacantes executem código arbitrário ou provoquem falhas no sistema. Essa vulnerabilidade é classificada como uma escrita fora dos limites (CWE-787) dentro do framework Image I/O, que é responsável pelo processamento de dados de imagem nos sistemas da Apple. A exploração pode ocorrer através de arquivos de imagem maliciosos enviados por e-mail ou acessados em sites comprometidos. A CISA recomenda que as organizações apliquem as correções fornecidas pela Apple e monitorem atividades suspeitas relacionadas ao processamento de arquivos de imagem. A inclusão dessa vulnerabilidade no catálogo KEV indica que é uma preocupação de segurança de alta prioridade, exigindo atenção imediata das equipes de segurança em todos os setores.

Um grupo de hackers vinculado ao FSB da Rússia, conhecido como Static Tundra, está explorando uma vulnerabilidade de sete anos na Cisco, especificamente a CVE-2018-0171, para comprometer infraestruturas críticas em setores como telecomunicações, educação superior e manufatura. Essa falha, que permite que atacantes remotos não autenticados reiniciem dispositivos ou executem códigos arbitrários, foi corrigida pela Cisco em 2018, mas muitos dispositivos ainda permanecem desatualizados. O Static Tundra utiliza ferramentas automatizadas para escanear dispositivos vulneráveis em várias regiões do mundo, incluindo América do Norte, Ásia, África e Europa. Após obter acesso inicial, o grupo implementa técnicas sofisticadas para manter uma presença de longo prazo, como a modificação de configurações de dispositivos e a utilização de implantes de firmware. A campanha tem se intensificado desde o início do conflito entre Rússia e Ucrânia, com organizações ucranianas sendo alvos frequentes. Especialistas alertam que é crucial que as organizações apliquem imediatamente os patches de segurança ou desativem a funcionalidade Smart Install em dispositivos que não podem ser atualizados.

Pesquisadores de segurança revelaram uma vulnerabilidade crítica na CodeRabbit, uma plataforma popular de revisão de código impulsionada por IA, que permitiu a execução remota de código (RCE) em servidores de produção e acesso não autorizado a mais de um milhão de repositórios. A falha, descoberta pelo pesquisador Nils Amiet e apresentada na Black Hat USA 2024, foi divulgada de forma responsável e corrigida em janeiro de 2025.

A vulnerabilidade surgiu da integração da CodeRabbit com o Rubocop, uma ferramenta de análise estática para Ruby. O design da plataforma permitiu que usuários especificassem arquivos de configuração personalizados para ferramentas de análise estática através de arquivos .rubocop.yml. Os pesquisadores exploraram essa mecânica criando arquivos de configuração maliciosos que instruíam o Rubocop a carregar e executar código Ruby arbitrário durante o processo de análise. Isso resultou na execução de um payload malicioso nos servidores de produção, estabelecendo um shell remoto com privilégios totais.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta sobre uma vulnerabilidade crítica no Trend Micro Apex One Management Console, identificada como CVE-2025-54948. Essa falha de injeção de comandos do sistema operacional permite que atacantes remotos, com credenciais de autenticação prévia, executem comandos arbitrários em sistemas vulneráveis. A vulnerabilidade foi adicionada ao catálogo de Vulnerabilidades Conhecidas (KEV) em 18 de agosto de 2025, e as organizações têm até 8 de setembro de 2025 para implementar as mitig ações recomendadas. A falha, classificada como CWE-78, pode ser explorada por usuários com acesso legítimo, permitindo movimentos laterais e escalonamento de privilégios dentro de redes comprometidas. Embora não haja confirmação de uso em campanhas de ransomware, a inclusão no KEV indica exploração ativa. As empresas que utilizam o Apex One enfrentam riscos imediatos, pois a exploração dessa vulnerabilidade pode comprometer a infraestrutura de segurança e desativar mecanismos de proteção de endpoints. A CISA recomenda que as equipes de segurança priorizem esforços de correção e implementem segmentação de rede para limitar movimentos laterais.

Pesquisadores de segurança descobriram uma campanha de ataque sofisticada em que atores de ameaças estão explorando Arquivos de Índice de Ajuda da Microsoft (.mshi) como um novo mecanismo de entrega para o backdoor PipeMagic. Essa campanha culmina na exploração da vulnerabilidade crítica CVE-2025-29824, que foi corrigida pela Microsoft em abril de 2025. Os atacantes utilizam um arquivo chamado ‘metafile.mshi’, que contém código C# ofuscado, para executar um payload malicioso através do utilitário MSBuild da Microsoft. Após a execução, o malware explora a vulnerabilidade CVE-2025-29824, que permite elevação de privilégios, e injeta cargas em processos do sistema, como winlogon.exe, para extrair credenciais. O ataque resulta na implantação de ransomware, com arquivos criptografados recebendo extensões aleatórias e notas de resgate sendo deixadas nos sistemas comprometidos. A Microsoft atribui essa atividade ao grupo de ameaças Storm-2460, que continua a adaptar suas táticas e a expandir seus métodos de entrega para evitar detecções.

Uma nova vulnerabilidade crítica no protocolo HTTP/2, chamada ‘MadeYouReset’ (CVE-2025-8671), foi divulgada em 13 de agosto de 2025, apresentando riscos significativos de negação de serviço para servidores web em todo o mundo. Essa falha permite que atacantes contornem as proteções existentes, tornando os servidores completamente indisponíveis para usuários legítimos. A vulnerabilidade é uma evolução do ataque ‘Rapid Reset’, que já havia causado grandes danos em 2023. O ‘MadeYouReset’ explora os mecanismos de concorrência do HTTP/2, permitindo que os atacantes criem um trabalho concorrente praticamente ilimitado nos servidores, sem a necessidade de recursos substanciais. Isso gera um desequilíbrio de custo que torna o ataque altamente eficaz. A pesquisa, conduzida por acadêmicos da Universidade de Tel Aviv e apoiada pela Imperva, identificou que a falha afeta várias implementações populares de servidores web, como Netty, Apache Tomcat e F5 BIG-IP. Organizações que utilizam servidores habilitados para HTTP/2 devem revisar os avisos dos fornecedores e aplicar patches imediatamente, pois a vulnerabilidade pode levar a quedas completas dos sistemas.