Vulnerabilidade

Pesquisadores da Praetorian alertam sobre a técnica de evasão conhecida como Chamadas Fantasmas, que explora plataformas de videoconferência como Microsoft Teams e Zoom para realizar ataques de comando e controle sem detecção. Ao sequestrar credenciais temporárias TURN, os cibercriminosos conseguem estabelecer túneis entre o host comprometido e suas máquinas, utilizando a infraestrutura confiável dessas plataformas para mascarar suas atividades maliciosas. Este método de ataque é particularmente preocupante, pois aproveita a infraestrutura já permitida por firewalls corporativos, proxies e inspeção TLS, tornando-se invisível para as defesas tradicionais.A técnica de Chamadas Fantasmas não depende de vulnerabilidades específicas a serem corrigidas, mas sim da implementação de salvaguardas adicionais por parte dos fornecedores para prevenir tais ataques. A natureza criptografada e ofuscada do tráfego de videoconferência, muitas vezes protegido por AES ou outras criptografias fortes, dificulta ainda mais a detecção de atividades maliciosas. Com credenciais TURN expirando em dois a três dias, os túneis são de curta duração, mas a ameaça permanece significativa, exigindo atenção urgente das organizações para mitigar riscos de exfiltração de dados e outras consequências graves.

Uma vulnerabilidade significativa de HTTP Request Smuggling, identificada como CVE-2025-32094, foi descoberta na plataforma Akamai em março de 2025. Esta falha, que envolvia solicitações OPTIONS combinadas com técnicas obsoletas de quebra de linha, foi completamente resolvida pela Akamai, sem evidências de exploração bem-sucedida. A vulnerabilidade surgiu de uma interação complexa entre dois defeitos específicos na implementação do sistema de processamento de solicitações HTTP/1.x da Akamai, permitindo que atacantes introduzissem solicitações maliciosas ocultas no corpo da solicitação e potencialmente burlassem controles de segurança.A resposta coordenada da Akamai à CVE-2025-32094 exemplifica práticas eficazes de gerenciamento de vulnerabilidades na indústria de cibersegurança. Após receber o relatório do programa de recompensas por bugs, a empresa implementou uma correção em toda a plataforma, protegendo todos os clientes e mantendo uma comunicação transparente por meio de atualizações regulares. A linha do tempo de divulgação foi coordenada com a apresentação de pesquisa de James Kettle na Black Hat 2025, permitindo uma conscientização pública abrangente sobre a metodologia de ataque.

Pesquisador de segurança Dirk-Jan Mollema, da Outsider Security, revelou técnicas avançadas de movimento lateral que permitem a atores de ameaça comprometer a infraestrutura de nuvem da Microsoft através de vulnerabilidades no Active Directory local. Durante sua apresentação na Black Hat USA 2025, Mollema destacou lacunas críticas de segurança em ambientes híbridos de AD que podem permitir que atacantes contornem a autenticação multifator e exfiltrem dados sensíveis sem detecção, explorando relações de confiança entre domínios locais e recursos na nuvem.

A crescente batalha entre serviços de streaming como a DAZN e provedores de VPN, como a NordVPN, destaca uma preocupação alarmante para usuários que buscam contornar restrições geográficas. A DAZN, conhecida por sua eficácia em bloquear proxies e VPNs, continua a aprimorar suas táticas para impedir o acesso não autorizado ao seu conteúdo, resultando em dificuldades para muitos usuários que dependem de VPNs para acessar conteúdos de diferentes regiões. Este cenário de ‘gato e rato’ entre a DAZN e os provedores de VPN sublinha a importância de entender as vulnerabilidades e limitações das VPNs ao tentar acessar serviços de streaming restritos. Problemas como o bloqueio de IPs de servidores da NordVPN, discrepâncias entre a localização GPS e o endereço IP do usuário, e o armazenamento de cookies que revelam a localização real são desafios técnicos urgentes que precisam ser abordados por usuários e provedores de VPN para garantir uma experiência de streaming sem interrupções.

A Microsoft divulgou um alerta sobre uma vulnerabilidade de alta gravidade, identificada como CVE-2025-53786, que afeta versões on-premise do Exchange Server. Essa falha, com um CVSS de 8.0, pode permitir que um atacante, já com acesso administrativo, escale privilégios dentro do ambiente de nuvem conectado da organização sem deixar rastros facilmente detectáveis. A ameaça é particularmente preocupante em implantações híbridas, onde o Exchange Server e o Exchange Online compartilham o mesmo serviço principal, aumentando o risco de comprometimento da integridade de identidade do serviço Exchange Online se não corrigida.A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) destacou a importância de aplicar correções, como o Hot Fix de abril de 2025, e revisar as configurações de segurança para implantações híbridas. A Microsoft também anunciou medidas temporárias para bloquear o tráfego de Exchange Web Services (EWS) usando o serviço principal compartilhado, visando melhorar a segurança do ambiente híbrido. Organizações são instadas a atualizar suas configurações e descontinuar o uso de servidores Exchange ou SharePoint que atingiram o fim de vida ou serviço, para mitigar riscos adicionais de exploração por atores maliciosos.

Pesquisadores de cibersegurança revelaram falhas significativas em produtos de vigilância da Axis Communications, que, se exploradas com sucesso, podem resultar em ataques de tomada de controle. As vulnerabilidades, identificadas nos sistemas Axis Device Manager e Axis Camera Station, permitem a execução remota de código antes da autenticação, colocando em risco milhares de servidores expostos na internet. A exploração dessas falhas pode conceder aos atacantes acesso ao nível do sistema na rede interna, permitindo o controle total das câmeras, incluindo a possibilidade de sequestrar, assistir ou desligar os feeds de vídeo.

A SonicWall revelou que o recente aumento de atividades maliciosas direcionadas aos seus firewalls Gen 7 e mais recentes, com SSL VPN habilitado, está relacionado a uma vulnerabilidade antiga, agora corrigida, e ao uso repetido de senhas. A vulnerabilidade, identificada como CVE-2024-40766, foi divulgada pela primeira vez em agosto de 2024 e possui um escore CVSS de 9.3, indicando um risco elevado de acesso não autorizado aos dispositivos. A empresa está investigando menos de 40 incidentes relacionados a essa atividade, muitos dos quais estão associados a migrações de firewalls Gen 6 para Gen 7 sem redefinição das senhas dos usuários locais, uma ação recomendada crucial.Para mitigar os riscos, a SonicWall recomenda a atualização do firmware para a versão SonicOS 7.3.0, redefinição de todas as senhas de contas de usuários locais com acesso SSLVPN, habilitação de proteção contra botnets e filtragem Geo-IP, além da implementação de autenticação multifator e políticas de senhas fortes. Este desenvolvimento ocorre em meio a um aumento nos ataques que exploram dispositivos SonicWall SSL VPN para ataques de ransomware Akira, destacando a necessidade urgente de medidas preventivas robustas para proteger as infraestruturas de rede.

A NVIDIA emitiu uma declaração enfática rejeitando a inclusão de backdoors e kill switches em seus hardwares de GPU, destacando que tais características comprometeriam gravemente a infraestrutura de cibersegurança global. A empresa argumenta que a introdução de vulnerabilidades embutidas nos componentes críticos de computação representa uma ameaça perigosa, criando vetores de ataque permanentes que poderiam ser explorados por atores maliciosos. Essa posição surge em meio a discussões políticas crescentes sobre mecanismos de controle remoto em hardwares essenciais, com a NVIDIA defendendo que tais propostas são um desvio perigoso dos princípios de segurança estabelecidos.A empresa enfatiza a importância do princípio de ‘defesa em profundidade’, que busca eliminar vulnerabilidades de ponto único através de uma abordagem de segurança em camadas. A introdução de vulnerabilidades deliberadas em hardwares críticos, como GPUs, comprometeria não apenas sistemas individuais, mas também ecossistemas tecnológicos inteiros que dependem de computação acelerada por GPU. A NVIDIA defende soluções de software transparentes e ferramentas de monitoramento que aumentem a segurança do sistema sem comprometer a integridade do hardware, rejeitando comparações com funcionalidades de smartphones que operam com o consentimento do usuário.

Os ataques à cadeia de suprimentos envolvendo pacotes Python estão se tornando uma ameaça alarmante e crescente em 2025. Criminosos cibernéticos estão explorando vulnerabilidades em repositórios de código aberto, como o Python Package Index (PyPI), para introduzir pacotes maliciosos que passam despercebidos até causarem danos significativos. Um exemplo grave ocorreu em dezembro de 2024, quando o pacote Ultralytics YOLO, amplamente utilizado em aplicações de visão computacional, foi comprometido e baixado milhares de vezes antes de ser detectado. Este cenário destaca a urgência de tratar a segurança da cadeia de suprimentos Python como uma prioridade crítica.Os métodos utilizados pelos atacantes incluem técnicas como typo-squatting, repo-jacking e slop-squatting, que exploram falhas na gestão de pacotes e repositórios. Além disso, até mesmo imagens oficiais do contêiner Python contêm vulnerabilidades críticas, com mais de 100 CVEs de alta gravidade identificados. Para mitigar esses riscos, é essencial que desenvolvedores e engenheiros de segurança adotem ferramentas e práticas robustas, como pip-audit, Sigstore e SBOMs, para garantir a integridade do código e proteger suas aplicações contra essas ameaças sofisticadas e em rápida evolução.

Pesquisadores de cibersegurança identificaram uma vulnerabilidade alarmante no Amazon Elastic Container Service (ECS), que pode ser explorada por atacantes para realizar movimentações laterais, acessar dados sensíveis e assumir o controle do ambiente em nuvem. A técnica de ataque, denominada ECScape, foi apresentada na conferência de segurança Black Hat USA, destacando como um contêiner malicioso com permissões limitadas pode obter credenciais de IAM de contêineres mais privilegiados na mesma instância EC2, comprometendo seriamente a segurança do ambiente AWS.

Pesquisadores da Cisco Talos identificaram cinco vulnerabilidades críticas nos chips Broadcom BCM5820X, presentes em mais de 100 modelos de notebooks Dell, incluindo as séries Latitude e Precision. Essas falhas, catalogadas como CVE-2025-24311, CVE-2025-25215, CVE-2025-24922, CVE-2025-25050 e CVE-2025-24919, afetam a função ControlVault3, responsável por armazenar dados sensíveis como senhas e informações biométricas. Um invasor com poucos privilégios poderia explorar essas vulnerabilidades para roubar dados, executar códigos maliciosos remotamente e até implantar um backdoor no firmware, comprometendo a segurança dos dispositivos afetados.

O Relatório de Riscos de Segurança na Nuvem 2025 revela uma preocupação alarmante: 83% das empresas que utilizam a Amazon Web Services (AWS) enfrentam problemas com permissões excessivas e acessos permanentes. Apesar dos avanços na centralização do controle de acesso por meio de Provedores de Identidade (IdPs), a segurança total ainda está longe de ser alcançada. Permissões mal configuradas e acessos sem limite de tempo criam brechas exploráveis por agentes maliciosos, ampliando a superfície de ataque de forma desnecessária. A resistência à autenticação multifator (MFA) e a permanência de permissões temporárias são desafios que exigem atenção imediata.Para mitigar esses riscos, é crucial adotar o princípio do menor privilégio, implementar acesso just-in-time e realizar auditorias frequentes e automáticas nas permissões concedidas. A segurança de identidade deve ser uma prioridade contínua, especialmente em um cenário onde os ataques se tornam cada vez mais sofisticados. A mudança de mentalidade é essencial para garantir que a configuração correta não seja uma tarefa pontual, mas sim um processo contínuo de monitoramento, visibilidade e automação. A gestão eficaz de identidades não pode ser opcional, mas sim uma prioridade estratégica para proteger o perímetro digital das organizações.