https://brdefense.center/tags/seguran%C3%A7a-da-cadeia-de-suprimento/Recent content in Segurança Da Cadeia De Suprimento on BR Defense CenterHugopt-brWed, 24 Jun 2026 14:45:04 -0300https://brdefense.center/news/nova-vulnerabilidade-em-cicd-compromete-cadeias-de/Wed, 24 Jun 2026 14:45:04 -0300https://brdefense.center/news/nova-vulnerabilidade-em-cicd-compromete-cadeias-de/<p>Pesquisadores de cibersegurança identificaram uma nova classe de vulnerabilidades em fluxos de trabalho de CI/CD, chamada Cordyceps, que permite a atacantes sequestrar workflows e comprometer cadeias de suprimento de código aberto. A falha, que pode ser explorada por qualquer usuário não autenticado, afeta grandes organizações como Microsoft, Google, Apache e Cloudflare. Um estudo da Novee Security revelou que mais de 300 repositórios de alto impacto são totalmente exploráveis, possibilitando execução de código controlada por atacantes, roubo de credenciais e comprometimento da cadeia de suprimento. O problema central reside em configurações fracas de CI/CD que concedem permissões excessivas a pull requests (PRs), permitindo que dados não confiáveis acionem workflows privilegiados. Exemplos incluem um PR no Azure Sentinel da Microsoft que poderia executar código de atacantes e roubar chaves de aplicativos do GitHub. Após a divulgação responsável, Microsoft e Google confirmaram o impacto, enquanto Cloudflare, Python e Apache implementaram correções. Essa vulnerabilidade representa um risco significativo, pois permite que usuários anônimos manipulem repositórios de grandes empresas, afetando a segurança do software em larga escala.</p>