Vulnerabilidade

O Google lançou uma atualização de segurança crítica para o navegador Chrome, corrigindo uma vulnerabilidade de alta severidade no motor JavaScript V8. Essa falha, identificada como CVE-2025-9132, foi descoberta pelo sistema de testes automatizados de segurança da empresa, o Big Sleep, em 4 de agosto de 2025. A vulnerabilidade permite que atacantes executem código arbitrário por meio de gravações de memória fora dos limites alocados, o que pode resultar em corrupção de memória e comprometimento total do sistema. A atualização, versão 139.0.7258.138/.139, foi disponibilizada em 19 de agosto de 2025 para plataformas Windows, Mac e Linux. O Google adotou uma abordagem de distribuição gradual para a atualização, permitindo monitorar possíveis problemas de compatibilidade. É crucial que usuários e administradores de sistemas implementem essa correção imediatamente, dado o risco significativo que essa vulnerabilidade representa para a segurança e integridade dos dados dos usuários. O Google também restringiu informações detalhadas sobre a vulnerabilidade até que a maioria dos usuários tenha recebido a atualização, seguindo práticas de divulgação responsável.

Pesquisadores de segurança revelaram uma vulnerabilidade crítica na CodeRabbit, uma plataforma popular de revisão de código impulsionada por IA, que permitiu a execução remota de código (RCE) em servidores de produção e acesso não autorizado a mais de um milhão de repositórios. A falha, descoberta pelo pesquisador Nils Amiet e apresentada na Black Hat USA 2024, foi divulgada de forma responsável e corrigida em janeiro de 2025.

A vulnerabilidade surgiu da integração da CodeRabbit com o Rubocop, uma ferramenta de análise estática para Ruby. O design da plataforma permitiu que usuários especificassem arquivos de configuração personalizados para ferramentas de análise estática através de arquivos .rubocop.yml. Os pesquisadores exploraram essa mecânica criando arquivos de configuração maliciosos que instruíam o Rubocop a carregar e executar código Ruby arbitrário durante o processo de análise. Isso resultou na execução de um payload malicioso nos servidores de produção, estabelecendo um shell remoto com privilégios totais.

Pesquisadores de segurança da BI.ZONE Threat Intelligence revelaram uma campanha sofisticada do grupo de ameaças Paper Werewolf, que explorou uma vulnerabilidade conhecida e uma falha zero-day no software de arquivamento WinRAR. As investigações, realizadas em julho de 2025, mostraram que os atacantes, que se disfarçaram como representantes de instituições de pesquisa e ministérios do governo da Rússia, distribuíram arquivos RAR maliciosos através de contas de e-mail legítimas comprometidas. A vulnerabilidade CVE-2025-6218 permitiu a execução remota de código, extraindo arquivos para diretórios não intencionais e colocando um executável modificado no diretório de inicialização do Windows, estabelecendo uma conexão reversa com um servidor de comando e controle. Além disso, uma nova vulnerabilidade zero-day foi identificada, permitindo que cargas maliciosas fossem escritas em diretórios do sistema durante a extração de arquivos. Essa campanha destaca a eficácia contínua dos métodos de entrega de malware baseados em arquivos compactados, sublinhando a importância de manter softwares atualizados e implementar soluções de monitoramento de segurança abrangentes.

Um exploit armado visando a vulnerabilidade crítica da SAP, identificada como CVE-2025-31324, foi publicamente liberado, gerando preocupações imediatas para organizações que operam sistemas SAP não corrigidos. O exploit, divulgado em 15 de agosto de 2025, pelo VX Underground via X (anteriormente Twitter), foi supostamente distribuído pelo grupo de ameaças ‘Scattered LAPSUS$ Hunters – ShinyHunters’ através de um canal no Telegram.

A vulnerabilidade CVE-2025-31324, que afeta o SAP NetWeaver Visual Composer, possui uma pontuação máxima de severidade CVSS de 10.0, permitindo que atacantes não autenticados comprometam completamente o sistema. O exploit combina essa vulnerabilidade com a CVE-2025-42999, uma falha de desserialização descoberta pelos Onapsis Research Labs. O vetor de ataque utiliza um processo de exploração em duas etapas: primeiro, os atacantes aproveitam a vulnerabilidade de bypass de autenticação para contornar controles de segurança e, em seguida, exploram a falha de desserialização para executar cargas maliciosas com privilégios de administrador SAP.

Uma nova exploração que combina duas falhas críticas no SAP NetWeaver foi identificada, colocando em risco a segurança de diversas organizações. As vulnerabilidades, CVE-2025-31324 e CVE-2025-42999, permitem que atacantes não autenticados executem comandos arbitrários no sistema SAP, levando a uma possível execução remota de código (RCE) e comprometimento total dos dados e processos empresariais. A CVE-2025-31324, com uma pontuação CVSS de 10.0, refere-se à falta de verificação de autorização no servidor de desenvolvimento Visual Composer do SAP, enquanto a CVE-2025-42999, com pontuação de 9.1, diz respeito à deserialização insegura. Ambas as falhas foram corrigidas pela SAP em abril e maio de 2025, mas já estavam sendo exploradas por grupos de ransomware e espionagem antes da correção. A Onapsis, empresa de segurança especializada em SAP, alerta que essas vulnerabilidades podem ser usadas para implantar shells web e realizar ataques que não requerem a instalação de artefatos adicionais no sistema comprometido. É crucial que os usuários do SAP apliquem as correções mais recentes e monitorem seus sistemas para sinais de comprometimento.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta sobre uma vulnerabilidade crítica no Trend Micro Apex One Management Console, identificada como CVE-2025-54948. Essa falha de injeção de comandos do sistema operacional permite que atacantes remotos, com credenciais de autenticação prévia, executem comandos arbitrários em sistemas vulneráveis. A vulnerabilidade foi adicionada ao catálogo de Vulnerabilidades Conhecidas (KEV) em 18 de agosto de 2025, e as organizações têm até 8 de setembro de 2025 para implementar as mitig ações recomendadas. A falha, classificada como CWE-78, pode ser explorada por usuários com acesso legítimo, permitindo movimentos laterais e escalonamento de privilégios dentro de redes comprometidas. Embora não haja confirmação de uso em campanhas de ransomware, a inclusão no KEV indica exploração ativa. As empresas que utilizam o Apex One enfrentam riscos imediatos, pois a exploração dessa vulnerabilidade pode comprometer a infraestrutura de segurança e desativar mecanismos de proteção de endpoints. A CISA recomenda que as equipes de segurança priorizem esforços de correção e implementem segmentação de rede para limitar movimentos laterais.

Pesquisadores de cibersegurança revelaram a exploração de uma vulnerabilidade corrigida no Microsoft Windows, identificada como CVE-2025-29824, por agentes de ameaça para implantar o malware PipeMagic em ataques de ransomware RansomExx. Essa falha, que afeta o Windows Common Log File System (CLFS), foi abordada pela Microsoft em abril de 2025. O PipeMagic, que atua como uma backdoor, foi documentado pela primeira vez em 2022, visando empresas industriais no Sudeste Asiático. Os ataques utilizam também a CVE-2017-0144, uma falha de execução remota no Windows SMB, para infiltrar a infraestrutura das vítimas. Em 2025, os ataques se concentraram na Arábia Saudita e no Brasil, utilizando um arquivo do Microsoft Help Index como carregador para injetar código malicioso. O PipeMagic é um malware modular que permite comunicação assíncrona e execução de comandos em sistemas comprometidos. A detecção contínua do PipeMagic em ataques indica que os desenvolvedores estão aprimorando suas funcionalidades, aumentando o risco para organizações em várias regiões, incluindo o Brasil.

A Cisco identificou uma vulnerabilidade crítica, classificada como 10/10, em seu produto Secure Firewall Management Center (FMC). Essa falha, localizada no subsistema RADIUS, pode permitir que um atacante remoto não autenticado injete comandos de shell arbitrários, comprometendo a segurança do sistema. O RADIUS é um protocolo utilizado para autenticar e autorizar administradores e usuários de VPN, e a exploração da falha requer que o FMC esteja configurado para autenticação RADIUS. Essa configuração é comum em redes empresariais e governamentais, aumentando o risco de ataques. A Cisco já disponibilizou um patch para corrigir a vulnerabilidade e recomenda que os usuários que não puderem aplicar a atualização desativem a autenticação RADIUS, optando por métodos alternativos, como contas de usuário locais ou LDAP. Embora não haja evidências de exploração ativa da falha até o momento, a empresa alerta que a superfície de ataque é significativa, dada a popularidade do FMC em ambientes críticos.

A Rockwell Automation revelou uma vulnerabilidade crítica que afeta diversos módulos de comunicação Ethernet ControlLogix, potencialmente expondo sistemas de controle industrial a ataques de execução remota de código. Identificada como CVE-2025-7353, a falha possui uma pontuação CVSS 3.1 de 9.8, indicando um risco severo para a infraestrutura de tecnologia operacional. A vulnerabilidade decorre de um agente de depuração baseado na web (WDB) que permanece habilitado por padrão em dispositivos de produção, permitindo que atacantes realizem operações não autorizadas na memória, como dumps de memória e modificações diretas. O vetor de ataque requer acesso à rede, mas não exige autenticação ou interação do usuário, o que a torna especialmente perigosa em ambientes industriais. A Rockwell recomenda que as organizações atualizem o firmware para a versão 12.001 para mitigar os riscos. Para ambientes onde a aplicação imediata de patches é desafiadora, a segmentação de rede e listas de controle de acesso são sugeridas como medidas provisórias. A descoberta da vulnerabilidade destaca a necessidade de práticas robustas de segurança cibernética em setores críticos.

Uma vulnerabilidade crítica no WinRAR, identificada como CVE-2025-8088, está sendo explorada por cibercriminosos para instalar malware em computadores sem o conhecimento dos usuários. A falha, com uma pontuação de 8.8 na escala CVSS, permite que arquivos maliciosos sejam extraídos para pastas do sistema operacional ao abrir arquivos aparentemente inofensivos. Descoberta pela ESET em julho de 2025, a vulnerabilidade afeta todas as versões do WinRAR até a 7.12 e foi corrigida na versão 7.13, lançada em 30 de julho. O ataque utiliza uma técnica chamada “path traversal” em combinação com “Alternate Data Streams” (ADS), permitindo que arquivos maliciosos sejam colocados em locais críticos do Windows, como a pasta de inicialização. A falta de um sistema de atualização automática no WinRAR torna milhões de usuários vulneráveis, especialmente ao abrir arquivos RAR suspeitos. O grupo de hackers RomCom, conhecido por suas operações sofisticadas, está por trás dessa exploração, utilizando malwares como SnipBot e RustyClaw para roubar dados e manter controle sobre os sistemas infectados. A atualização imediata do WinRAR é essencial para evitar compromissos de segurança.

A Palo Alto Networks revelou uma vulnerabilidade de severidade moderada em seu aplicativo de VPN GlobalProtect, que pode permitir que atacantes escalem privilégios e instalem software malicioso em endpoints alvo. A falha, identificada como CVE-2025-2183 e com uma pontuação CVSS de 4.5, afeta o processo de validação de certificados em aplicações GlobalProtect em sistemas Windows e Linux. A vulnerabilidade decorre de uma validação insuficiente de certificados, permitindo que atacantes se conectem a servidores arbitrários. Isso pode ser explorado por usuários não administrativos locais ou atacantes na mesma sub-rede, que podem instalar certificados raiz maliciosos e, em seguida, implantar software malicioso assinado por esses certificados fraudulentos. A Palo Alto Networks já lançou atualizações de segurança para corrigir a falha e recomenda que as organizações afetadas priorizem a atualização para as versões corrigidas e implementem mudanças de configuração adicionais para proteção total.

A Cisco divulgou uma vulnerabilidade crítica em seu software Secure Firewall Management Center (FMC), que permite que atacantes remotos não autenticados executem comandos de shell arbitrários nos sistemas afetados. A falha, identificada como CVE-2025-20265, recebeu a pontuação máxima de 10.0 no Common Vulnerability Scoring System (CVSS), indicando sua gravidade e potencial de exploração. O problema reside na implementação do subsistema RADIUS do software, especificamente na forma como o sistema lida com a entrada do usuário durante a autenticação. Um atacante pode explorar essa vulnerabilidade enviando entradas maliciosas durante o login, permitindo a injeção de comandos que são executados com altos níveis de privilégio. A vulnerabilidade afeta as versões 7.0.7 e 7.7.0 do Cisco Secure FMC, mas apenas quando a autenticação RADIUS está habilitada. A Cisco recomenda que as organizações afetadas apliquem as atualizações de segurança disponíveis e considerem desabilitar temporariamente a autenticação RADIUS, utilizando métodos alternativos como contas de usuário locais ou autenticação LDAP externa. A empresa também confirmou que outros produtos de firewall não são afetados por essa falha.

Uma nova vulnerabilidade crítica no protocolo HTTP/2, chamada ‘MadeYouReset’ (CVE-2025-8671), foi divulgada em 13 de agosto de 2025, apresentando riscos significativos de negação de serviço para servidores web em todo o mundo. Essa falha permite que atacantes contornem as proteções existentes, tornando os servidores completamente indisponíveis para usuários legítimos. A vulnerabilidade é uma evolução do ataque ‘Rapid Reset’, que já havia causado grandes danos em 2023. O ‘MadeYouReset’ explora os mecanismos de concorrência do HTTP/2, permitindo que os atacantes criem um trabalho concorrente praticamente ilimitado nos servidores, sem a necessidade de recursos substanciais. Isso gera um desequilíbrio de custo que torna o ataque altamente eficaz. A pesquisa, conduzida por acadêmicos da Universidade de Tel Aviv e apoiada pela Imperva, identificou que a falha afeta várias implementações populares de servidores web, como Netty, Apache Tomcat e F5 BIG-IP. Organizações que utilizam servidores habilitados para HTTP/2 devem revisar os avisos dos fornecedores e aplicar patches imediatamente, pois a vulnerabilidade pode levar a quedas completas dos sistemas.

A Cisco emitiu um alerta de segurança crítico sobre uma vulnerabilidade de alta severidade em seu software Secure Firewall Threat Defense (FTD), que pode permitir que atacantes realizem ataques de negação de serviço (DoS). A falha, identificada como CVE-2025-20217, afeta o componente Snort 3 Detection Engine e foi publicada em 14 de agosto de 2025. Com uma pontuação CVSS de 8.6, a vulnerabilidade resulta do processamento incorreto de tráfego de rede durante a inspeção de pacotes. Um atacante remoto não autenticado pode explorar essa falha enviando tráfego especialmente elaborado, fazendo com que o sistema entre em um loop infinito durante a inspeção, resultando em uma condição de DoS que pode interromper funções críticas de segurança da rede. A Cisco recomenda que as organizações verifiquem se o Snort 3 está ativo em suas instalações do FTD, pois apenas dispositivos com esse motor habilitado são suscetíveis. Não existem soluções alternativas, e a única forma de mitigar o problema é através da atualização do software, que já está disponível gratuitamente para clientes com contratos de serviço ativos. A empresa não encontrou evidências de exploração ativa da vulnerabilidade até o momento.

Pesquisadores identificaram uma nova técnica de ataque chamada MadeYouReset, que afeta várias implementações do protocolo HTTP/2, permitindo a realização de ataques de negação de serviço (DoS) em larga escala. Essa vulnerabilidade contorna o limite de 100 requisições HTTP/2 simultâneas por conexão TCP, que foi estabelecido para mitigar ataques DoS. Com o MadeYouReset, um atacante pode enviar milhares de requisições, causando a exaustão de recursos do servidor e, em alguns casos, levando a falhas de memória. A vulnerabilidade foi identificada com o CVE-2025-8671 e impacta produtos como Apache Tomcat, F5 BIG-IP e Netty. O ataque explora a forma como os servidores lidam com o quadro RST_STREAM, permitindo que um atacante induza o servidor a resetar streams válidos, sem precisar enviar um quadro RST_STREAM. Essa técnica representa uma evolução nas vulnerabilidades do HTTP/2, que já enfrentou outros ataques como Rapid Reset e CONTINUATION Flood. O CERT/CC alertou que a complexidade dos abusos de protocolos modernos torna a proteção contra ataques como o MadeYouReset mais crítica do que nunca.

A Cisco divulgou atualizações de segurança para corrigir uma falha de alta severidade no software Secure Firewall Management Center (FMC), identificada como CVE-2025-20265, com uma pontuação CVSS de 10.0. Essa vulnerabilidade afeta a implementação do subsistema RADIUS, permitindo que um atacante remoto e não autenticado injete comandos de shell arbitrários que podem ser executados pelo dispositivo. A falha ocorre devido à falta de tratamento adequado da entrada do usuário durante a fase de autenticação, possibilitando que um invasor envie dados maliciosos ao tentar autenticar-se no servidor RADIUS configurado. Para que a exploração seja bem-sucedida, o Cisco Secure FMC Software deve estar configurado para autenticação RADIUS na interface de gerenciamento baseada na web ou no SSH. As versões afetadas incluem 7.0.7 e 7.7.0, e não há alternativas além da aplicação dos patches fornecidos pela Cisco. Além dessa vulnerabilidade crítica, a Cisco também corrigiu várias outras falhas de alta severidade, todas exigindo atenção imediata dos usuários para evitar possíveis explorações. Embora nenhuma das falhas tenha sido explorada ativamente até o momento, é crucial que os usuários atualizem suas instâncias para as versões mais recentes.

Uma nova plataforma de ransomware como serviço chamada Global Group está utilizando chatbots de inteligência artificial para automatizar as negociações de resgate com suas vítimas. Desde sua criação em junho de 2025, o grupo já comprometeu pelo menos 17 organizações em países como Estados Unidos, Reino Unido, Austrália e Brasil, exigindo pagamentos que podem chegar a US$ 1 milhão. Essa inovação permite que os cibercriminosos mantenham várias negociações simultaneamente, sem a necessidade de intervenção humana constante, aumentando a eficiência das operações de extorsão. O sistema de IA analisa arquivos criptografados para verificar compromissos e adapta o tom das mensagens de acordo com o perfil da vítima, intensificando a pressão psicológica. O Global Group tem como alvos preferenciais organizações de alto valor nos setores de saúde, automotivo e industrial, e seu painel de negociações na deep web permite que afiliados de diversas nacionalidades conduzam as negociações. Além disso, o modelo de negócio do grupo é agressivo, oferecendo 85% dos valores arrecadados com resgates para seus afiliados, atraindo operadores experientes. Apesar da sofisticação aparente, análises técnicas indicam que o Global Group é uma rebranding de grupos anteriores, mantendo vulnerabilidades conhecidas. Essa transformação no cibercrime representa um desafio significativo para profissionais de segurança digital, que agora enfrentam negociadores artificiais programados para maximizar a pressão e acelerar os pagamentos.

Apesar do avanço nas práticas de segurança em nuvem, muitas empresas ainda lutam contra o problema das permissões excessivas e acessos permanentes. O Relatório de Riscos de Segurança na Nuvem 2025 revela que 83% das organizações que utilizam a Amazon Web Services (AWS) já implementaram serviços de Provedores de Identidade (IdPs), um passo importante para centralizar o controle de acesso. Entretanto, a presença dos IdPs não garante segurança, pois permissões mal configuradas e acessos sem limites temporais ainda criam vulnerabilidades que podem ser exploradas por atacantes. A autenticação multifator (MFA), embora recomendada, frequentemente é vista como complexa pelos usuários, o que dificulta sua adoção. Além disso, permissões temporárias, que deveriam ser revogadas após o uso, muitas vezes permanecem ativas, aumentando a superfície de ataque desnecessariamente. Embora os principais provedores de nuvem ofereçam soluções robustas para gerenciamento de identidade e acesso, o verdadeiro desafio reside na cultura organizacional. É essencial promover uma mudança de mentalidade que implemente o princípio do menor privilégio, adote acessos just-in-time e realize auditorias regulares nas permissões. A segurança de identidade deve ser encarada como um processo contínuo, especialmente em um cenário onde os ataques se tornam cada vez mais sofisticados. Portanto, a gestão adequada da identidade não deve ser opcional, mas sim uma prioridade fundamental para as empresas.

A Dell emitiu um alerta sobre cinco vulnerabilidades de segurança classificadas como críticas, que afetam milhões de notebooks em mais de 100 modelos diferentes. As falhas estão relacionadas aos chips da série Broadcom BCM5820X, encontrados principalmente em PCs e notebooks empresariais da Dell, como as séries Latitude e Precision. As vulnerabilidades, identificadas como CVE-2025-24311, CVE-2025-25215, CVE-2025-24922, CVE-2025-25050 e CVE-2025-24919, comprometem a função ControlVault3, uma solução de segurança de hardware destinada ao armazenamento de dados sensíveis, como senhas e informações biométricas. De acordo com pesquisadores da Cisco Talos, um invasor com privilégios limitados poderia explorar essas falhas para roubar dados, executar códigos maliciosos remotamente e até implantar um backdoor no firmware do ControlVault, obtendo acesso à máquina afetada. A Dell afirmou que os problemas foram corrigidos em parceria com seu fornecedor de firmware e que um aviso de segurança foi publicado em 13 de junho. Até o momento, não há relatos de exploração ativa dessas vulnerabilidades. Para garantir a segurança, os usuários devem buscar as atualizações mais recentes no Dell Command Center ou acessar a página de suporte da Dell para obter mais informações sobre como proceder.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) divulgou, em 7 de agosto de 2025, dez novos avisos sobre Sistemas de Controle Industrial (ICS), abordando vulnerabilidades críticas em diversos setores, incluindo manufatura, automação predial e infraestrutura de telecomunicações. Esses avisos destacam lacunas significativas na segurança de sistemas de tecnologia operacional que podem permitir acesso não autorizado a componentes críticos da infraestrutura.

As vulnerabilidades abrangem uma variedade de sistemas de controle industrial, com foco em fabricantes de destaque, como o sistema DIAView da Delta Electronics e os controladores de automação predial FX80 e FX90 da Johnson Controls. Também foram identificadas falhas em telefones IP da Yealink que podem possibilitar ataques de execução remota de código. Além disso, o software de simulação Arena da Rockwell Automation e dispositivos de monitoramento de energia da Packet Power apresentam riscos significativos.

Um pesquisador de cibersegurança revelou um novo método de bypass do Controle de Conta de Usuário (UAC) do Windows, explorando o Editor de Caracteres Privados do sistema. A técnica, publicada por Matan Bahar, da White-Hat, mostra como utilitários legítimos do Windows podem ser usados por invasores para obter privilégios elevados sem o consentimento do usuário. O exploit utiliza o eudcedit.exe, um programa localizado em C:\Windows\System32, que é destinado à criação e edição de caracteres definidos pelo usuário. O estudo revela que o eudcedit.exe pode ser manipulado para contornar mecanismos de segurança críticos. O ataque ocorre ao aproveitar a configuração do manifesto de aplicação do eudcedit.exe, que permite que o programa seja executado com direitos administrativos sem exibir a caixa de diálogo do UAC. Quando combinado com uma configuração permissiva do UAC, isso possibilita que atacantes que já tenham acesso inicial ao sistema escalem seus privilégios de forma discreta. Este método é particularmente preocupante porque explora uma ferramenta confiável do Windows, tornando-se um desafio para a segurança do sistema operacional. Profissionais de segurança devem estar cientes dessa técnica durante atividades de caça a ameaças e considerar a implementação de monitoramento adicional para padrões incomuns de execução do eudcedit.exe. As organizações também devem reavaliar suas políticas de configuração do UAC para reduzir a exposição a esses métodos de bypass.

A equipe de descoberta e pesquisa de vulnerabilidades da Cisco Talos anunciou a revelação de 12 falhas de segurança em três plataformas de software: WWBN AVideo, MedDream PACS Premium e Eclipse ThreadX FileX. Essas vulnerabilidades expõem riscos significativos em setores como streaming de vídeo, imagem médica e sistemas embarcados.

No WWBN AVideo, versão 14.4, foram identificadas sete vulnerabilidades, incluindo cinco falhas de execução de scripts entre sites (XSS) e duas que podem ser combinadas para execução remota de código. A primeira, CVE-2025-25214, trata de uma condição de corrida na funcionalidade de descompactação, enquanto a segunda, CVE-2025-48732, explora uma lista negra incompleta em configurações do .htaccess.

A Universidade Columbia divulgou um incidente significativo de cibersegurança que comprometeu informações pessoais de 868.969 indivíduos em todo o país, incluindo 2.026 residentes do estado do Maine. Essa violação de dados é considerada uma das maiores em instituições de ensino superior nos últimos anos. Segundo a notificação enviada através do escritório de advocacia Debevoise & Plimpton LLP, hackers obtiveram acesso não autorizado aos sistemas externos da universidade entre 16 de maio e 6 de junho de 2025, sendo que a instituição descobriu o incidente apenas em 8 de julho de 2025, quase dois meses após o término do período da violação. A universidade classificou o ocorrido como uma “violação de sistema externo (hacking)”, indicando que os cibercriminosos penetraram a infraestrutura de rede da Columbia. Os dados comprometidos incluíram nomes e outros identificadores pessoais, mas detalhes adicionais sobre informações sensíveis não foram totalmente divulgados. Para responder à violação, a equipe de cibersegurança da universidade tomou medidas imediatas, realizando uma investigação forense para determinar a extensão do comprometimento. Em parceria com a empresa Kroll, a universidade está oferecendo 24 meses de monitoramento de crédito e serviços de proteção contra roubo de identidade aos indivíduos afetados, superando os padrões típicos da indústria. Este incidente é o primeiro relatado pela universidade nos últimos 12 meses, sugerindo que se trata de um evento isolado em vez de um padrão de falhas de cibersegurança.

O grupo de ransomware SafePay anunciou ter realizado um ataque ao distrito escolar Ridgefield Public Schools, em Connecticut, estabelecendo um prazo de pouco mais de dois dias para o pagamento do resgate, ameaçando divulgar 90 GB de dados caso suas exigências não fossem atendidas. A escola confirmou que sofreu o ataque em 24 de julho de 2025, informando que suas ferramentas de cibersegurança detectaram tentativas de execução de um vírus de criptografia na rede de computadores. Após identificar essa atividade, a rede foi desconectada para investigar o incidente. Neste momento, a restauração dos sistemas está em andamento, e a escola espera que os professores possam acessar seus e-mails novamente esta semana. Embora RPS tenha confirmado a exigência de um resgate, não divulgou o valor pedido nem se o pagamento foi efetuado. O fato de SafePay ter listado o distrito escolar em seu site sugere que as negociações falharam. O SafePay, que começou a adicionar vítimas ao seu site de vazamento de dados em novembro de 2024, já registrou 278 ataques, sendo 35 confirmados. O ataque a Ridgefield é o sexto a uma instituição educacional realizada pelo grupo. Em 2025, foram registrados 26 ataques confirmados ao setor educacional dos EUA, refletindo um aumento nas ameaças às escolas, faculdades e universidades. O ataque à Ridgefield exemplifica como esses incidentes visam causar desordem, forçando as instituições a pagarem resgates para recuperar o acesso aos seus sistemas.

Pesquisadores de cibersegurança identificaram mais de uma dúzia de vulnerabilidades em cofres de segurança empresarial da CyberArk e HashiCorp, que, se exploradas, podem permitir que atacantes remotos acessem sistemas de identidade corporativa e extraiam segredos e tokens. As 14 falhas, nomeadas coletivamente de Vault Fault, afetam o CyberArk Secrets Manager, Self-Hosted e Conjur Open Source, bem como o HashiCorp Vault. As falhas foram corrigidas em versões recentes, incluindo CyberArk Secrets Manager 13.5.1 e 13.6.1 e HashiCorp Vault Community Edition 1.20.2. As vulnerabilidades incluem bypass de autenticação, escalonamento de privilégios, execução remota de código e roubo de tokens de root. A mais crítica permite a execução remota de código, onde atacantes podem assumir o controle do cofre sem credenciais válidas. Além disso, falhas na lógica de proteção contra bloqueio do HashiCorp Vault podem permitir que atacantes determinem quais nomes de usuário são válidos e até redefinam contadores de bloqueio. As vulnerabilidades também expõem a possibilidade de contornar a autenticação multifator (MFA). O ataque pode ser realizado através de uma cadeia de exploração que combina várias falhas, permitindo acesso não autenticado e execução de comandos arbitrários. Em um cenário relacionado, a Cisco Talos destacou falhas no firmware ControlVault3 da Dell, que poderiam ser exploradas para contornar login do Windows e extrair chaves criptográficas. As vulnerabilidades encontradas criam um método de persistência remoto para acesso encoberto em ambientes de alto valor. Para mitigar esses riscos, os usuários devem aplicar as correções fornecidas e desabilitar serviços ControlVault quando não estiverem em uso.

O uso de VPNs para acessar transmissões de eventos esportivos, como a luta entre Moses Itauma e Dillian Whyte, levanta preocupações significativas sobre segurança e privacidade. Embora VPNs possam ser ferramentas eficazes para contornar bloqueios regionais e garantir acesso a conteúdos restritos, é crucial escolher provedores confiáveis para evitar riscos de segurança cibernética. VPNs gratuitas, em particular, podem não oferecer a proteção necessária, expondo usuários a vulnerabilidades e possíveis interceptações de dados.Especialistas em cibersegurança alertam que VPNs de baixa qualidade podem comprometer a experiência de streaming ao introduzir problemas de buffering e falhas de conexão, além de potencialmente expor informações pessoais dos usuários. Para garantir uma navegação segura e sem interrupções, recomenda-se optar por serviços VPN pagos e bem avaliados, que oferecem criptografia robusta e servidores otimizados para streaming, como NordVPN e Surfshark. A escolha de um VPN adequado é essencial para proteger dados pessoais e garantir uma experiência de visualização segura e de alta qualidade.

A Pakistan Petroleum Limited (PPL), uma empresa de exploração de petróleo e gás, foi alvo de um ataque de ransomware em partes de sua infraestrutura de TI, detectado em 6 de agosto de 2025. Apesar da seriedade da ameaça, a empresa conseguiu conter rapidamente o incidente, garantindo que nenhum sistema crítico ou dados sensíveis fossem comprometidos. Este evento ressalta a importância de protocolos de cibersegurança robustos e a necessidade de vigilância constante contra ameaças sofisticadas de ransomware, que continuam a evoluir e a representar riscos significativos para organizações em todo o mundo.

A Universidade de Columbia confirmou um vazamento de dados significativo que comprometeu informações pessoais de 868.969 indivíduos em todo o país, incluindo 2.026 residentes do Maine. Este incidente, classificado como uma violação de sistema externo, ocorreu entre 16 de maio e 6 de junho de 2025, mas só foi descoberto em 8 de julho de 2025. A violação representa um dos maiores vazamentos de dados no setor de educação superior nos últimos anos, destacando a crescente ameaça de cibercriminosos que exploram vulnerabilidades em infraestruturas de rede de instituições renomadas.Em resposta ao incidente, a Universidade de Columbia tomou medidas rápidas para conter a violação e iniciou uma investigação forense abrangente para entender o escopo completo do comprometimento. Além disso, a universidade está oferecendo 24 meses de monitoramento de crédito e serviços de proteção contra roubo de identidade para todos os indivíduos afetados, em parceria com a Kroll, LLC. Este pacote de proteção excede os padrões típicos da indústria, que geralmente oferecem períodos de proteção de 12 meses, sublinhando a gravidade do vazamento e o compromisso da universidade em mitigar os riscos para os afetados.

Uma nova técnica de bypass do Controle de Conta de Usuário (UAC) no Windows foi revelada, utilizando o Editor de Caracteres Privados para permitir que atacantes obtenham privilégios elevados sem o consentimento do usuário. Esta vulnerabilidade, divulgada pelo pesquisador de segurança Matan Bahar, explora a configuração de manifesto do aplicativo eudcedit.exe, um utilitário legítimo do Windows, para contornar mecanismos de segurança críticos. A técnica é alarmante, pois utiliza um programa confiável que normalmente não levantaria suspeitas, permitindo que invasores que já tenham acesso inicial escalem seus privilégios de forma discreta e eficaz.

A Agência de Segurança Cibernética e de Infraestrutura (CISA) emitiu, em 7 de agosto de 2025, dez novos avisos sobre vulnerabilidades em Sistemas de Controle Industrial (ICS), destacando lacunas significativas de segurança em setores como manufatura, automação predial e infraestrutura de telecomunicações. Estas vulnerabilidades representam um risco urgente, pois podem permitir acesso não autorizado a componentes críticos de infraestrutura, comprometendo a segurança e a operação de sistemas essenciais. Entre os sistemas afetados estão o DIAView da Delta Electronics, os controladores FX80 e FX90 da Johnson Controls, e os telefones IP da Yealink, todos suscetíveis a ataques de execução remota de código e negação de serviço.Os avisos também incluem atualizações para vulnerabilidades previamente identificadas, como nos sistemas de monitoramento Instantel Micromate e nas soluções digitais da Mitsubishi Electric, indicando preocupações de segurança contínuas. A presença de dispositivos orientados ao consumidor, como aplicativos móveis da Dreame Technology, ressalta a crescente superfície de ataque em ambientes industriais. Especialistas enfatizam a necessidade de medidas preventivas urgentes para mitigar esses riscos e proteger infraestruturas críticas de possíveis explorações maliciosas.

O vazamento de credenciais corporativas se tornou uma ameaça crescente e alarmante, com um aumento de 160% em 2025 em comparação ao ano anterior, segundo dados da Cyberint. Este fenômeno, impulsionado por automação e acessibilidade, representa um risco significativo para as organizações, uma vez que credenciais vazadas são frequentemente utilizadas para invasões de contas, campanhas de phishing e extorsão. A facilidade com que atacantes de baixo nível podem acessar e explorar essas informações, muitas vezes vendidas em mercados clandestinos, destaca a urgência de medidas preventivas robustas para mitigar esse perigo.

O lançamento do ChatGPT-5 pela OpenAI traz à tona preocupações sérias sobre segurança e privacidade, especialmente devido à sua capacidade de se conectar a contas do Google, como Gmail e Google Calendar. Essa funcionalidade, embora ofereça conveniência, também aumenta o risco de exposição de dados pessoais e sensíveis, caso medidas de segurança robustas não sejam implementadas adequadamente. Especialistas em cibersegurança alertam que a integração com serviços de terceiros pode ser um vetor de ataque para cibercriminosos, que buscam explorar vulnerabilidades em sistemas interconectados.

Pesquisadores da Praetorian alertam sobre a técnica de evasão conhecida como Chamadas Fantasmas, que explora plataformas de videoconferência como Microsoft Teams e Zoom para realizar ataques de comando e controle sem detecção. Ao sequestrar credenciais temporárias TURN, os cibercriminosos conseguem estabelecer túneis entre o host comprometido e suas máquinas, utilizando a infraestrutura confiável dessas plataformas para mascarar suas atividades maliciosas. Este método de ataque é particularmente preocupante, pois aproveita a infraestrutura já permitida por firewalls corporativos, proxies e inspeção TLS, tornando-se invisível para as defesas tradicionais.A técnica de Chamadas Fantasmas não depende de vulnerabilidades específicas a serem corrigidas, mas sim da implementação de salvaguardas adicionais por parte dos fornecedores para prevenir tais ataques. A natureza criptografada e ofuscada do tráfego de videoconferência, muitas vezes protegido por AES ou outras criptografias fortes, dificulta ainda mais a detecção de atividades maliciosas. Com credenciais TURN expirando em dois a três dias, os túneis são de curta duração, mas a ameaça permanece significativa, exigindo atenção urgente das organizações para mitigar riscos de exfiltração de dados e outras consequências graves.

Uma vulnerabilidade significativa de HTTP Request Smuggling, identificada como CVE-2025-32094, foi descoberta na plataforma Akamai em março de 2025. Esta falha, que envolvia solicitações OPTIONS combinadas com técnicas obsoletas de quebra de linha, foi completamente resolvida pela Akamai, sem evidências de exploração bem-sucedida. A vulnerabilidade surgiu de uma interação complexa entre dois defeitos específicos na implementação do sistema de processamento de solicitações HTTP/1.x da Akamai, permitindo que atacantes introduzissem solicitações maliciosas ocultas no corpo da solicitação e potencialmente burlassem controles de segurança.A resposta coordenada da Akamai à CVE-2025-32094 exemplifica práticas eficazes de gerenciamento de vulnerabilidades na indústria de cibersegurança. Após receber o relatório do programa de recompensas por bugs, a empresa implementou uma correção em toda a plataforma, protegendo todos os clientes e mantendo uma comunicação transparente por meio de atualizações regulares. A linha do tempo de divulgação foi coordenada com a apresentação de pesquisa de James Kettle na Black Hat 2025, permitindo uma conscientização pública abrangente sobre a metodologia de ataque.

Pesquisador de segurança Dirk-Jan Mollema, da Outsider Security, revelou técnicas avançadas de movimento lateral que permitem a atores de ameaça comprometer a infraestrutura de nuvem da Microsoft através de vulnerabilidades no Active Directory local. Durante sua apresentação na Black Hat USA 2025, Mollema destacou lacunas críticas de segurança em ambientes híbridos de AD que podem permitir que atacantes contornem a autenticação multifator e exfiltrem dados sensíveis sem detecção, explorando relações de confiança entre domínios locais e recursos na nuvem.

A crescente batalha entre serviços de streaming como a DAZN e provedores de VPN, como a NordVPN, destaca uma preocupação alarmante para usuários que buscam contornar restrições geográficas. A DAZN, conhecida por sua eficácia em bloquear proxies e VPNs, continua a aprimorar suas táticas para impedir o acesso não autorizado ao seu conteúdo, resultando em dificuldades para muitos usuários que dependem de VPNs para acessar conteúdos de diferentes regiões. Este cenário de ‘gato e rato’ entre a DAZN e os provedores de VPN sublinha a importância de entender as vulnerabilidades e limitações das VPNs ao tentar acessar serviços de streaming restritos. Problemas como o bloqueio de IPs de servidores da NordVPN, discrepâncias entre a localização GPS e o endereço IP do usuário, e o armazenamento de cookies que revelam a localização real são desafios técnicos urgentes que precisam ser abordados por usuários e provedores de VPN para garantir uma experiência de streaming sem interrupções.

A Microsoft divulgou um alerta sobre uma vulnerabilidade de alta gravidade, identificada como CVE-2025-53786, que afeta versões on-premise do Exchange Server. Essa falha, com um CVSS de 8.0, pode permitir que um atacante, já com acesso administrativo, escale privilégios dentro do ambiente de nuvem conectado da organização sem deixar rastros facilmente detectáveis. A ameaça é particularmente preocupante em implantações híbridas, onde o Exchange Server e o Exchange Online compartilham o mesmo serviço principal, aumentando o risco de comprometimento da integridade de identidade do serviço Exchange Online se não corrigida.A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) destacou a importância de aplicar correções, como o Hot Fix de abril de 2025, e revisar as configurações de segurança para implantações híbridas. A Microsoft também anunciou medidas temporárias para bloquear o tráfego de Exchange Web Services (EWS) usando o serviço principal compartilhado, visando melhorar a segurança do ambiente híbrido. Organizações são instadas a atualizar suas configurações e descontinuar o uso de servidores Exchange ou SharePoint que atingiram o fim de vida ou serviço, para mitigar riscos adicionais de exploração por atores maliciosos.

Pesquisadores de cibersegurança revelaram falhas significativas em produtos de vigilância da Axis Communications, que, se exploradas com sucesso, podem resultar em ataques de tomada de controle. As vulnerabilidades, identificadas nos sistemas Axis Device Manager e Axis Camera Station, permitem a execução remota de código antes da autenticação, colocando em risco milhares de servidores expostos na internet. A exploração dessas falhas pode conceder aos atacantes acesso ao nível do sistema na rede interna, permitindo o controle total das câmeras, incluindo a possibilidade de sequestrar, assistir ou desligar os feeds de vídeo.

A SonicWall revelou que o recente aumento de atividades maliciosas direcionadas aos seus firewalls Gen 7 e mais recentes, com SSL VPN habilitado, está relacionado a uma vulnerabilidade antiga, agora corrigida, e ao uso repetido de senhas. A vulnerabilidade, identificada como CVE-2024-40766, foi divulgada pela primeira vez em agosto de 2024 e possui um escore CVSS de 9.3, indicando um risco elevado de acesso não autorizado aos dispositivos. A empresa está investigando menos de 40 incidentes relacionados a essa atividade, muitos dos quais estão associados a migrações de firewalls Gen 6 para Gen 7 sem redefinição das senhas dos usuários locais, uma ação recomendada crucial.Para mitigar os riscos, a SonicWall recomenda a atualização do firmware para a versão SonicOS 7.3.0, redefinição de todas as senhas de contas de usuários locais com acesso SSLVPN, habilitação de proteção contra botnets e filtragem Geo-IP, além da implementação de autenticação multifator e políticas de senhas fortes. Este desenvolvimento ocorre em meio a um aumento nos ataques que exploram dispositivos SonicWall SSL VPN para ataques de ransomware Akira, destacando a necessidade urgente de medidas preventivas robustas para proteger as infraestruturas de rede.

A NVIDIA emitiu uma declaração enfática rejeitando a inclusão de backdoors e kill switches em seus hardwares de GPU, destacando que tais características comprometeriam gravemente a infraestrutura de cibersegurança global. A empresa argumenta que a introdução de vulnerabilidades embutidas nos componentes críticos de computação representa uma ameaça perigosa, criando vetores de ataque permanentes que poderiam ser explorados por atores maliciosos. Essa posição surge em meio a discussões políticas crescentes sobre mecanismos de controle remoto em hardwares essenciais, com a NVIDIA defendendo que tais propostas são um desvio perigoso dos princípios de segurança estabelecidos.A empresa enfatiza a importância do princípio de ‘defesa em profundidade’, que busca eliminar vulnerabilidades de ponto único através de uma abordagem de segurança em camadas. A introdução de vulnerabilidades deliberadas em hardwares críticos, como GPUs, comprometeria não apenas sistemas individuais, mas também ecossistemas tecnológicos inteiros que dependem de computação acelerada por GPU. A NVIDIA defende soluções de software transparentes e ferramentas de monitoramento que aumentem a segurança do sistema sem comprometer a integridade do hardware, rejeitando comparações com funcionalidades de smartphones que operam com o consentimento do usuário.

Os ataques à cadeia de suprimentos envolvendo pacotes Python estão se tornando uma ameaça alarmante e crescente em 2025. Criminosos cibernéticos estão explorando vulnerabilidades em repositórios de código aberto, como o Python Package Index (PyPI), para introduzir pacotes maliciosos que passam despercebidos até causarem danos significativos. Um exemplo grave ocorreu em dezembro de 2024, quando o pacote Ultralytics YOLO, amplamente utilizado em aplicações de visão computacional, foi comprometido e baixado milhares de vezes antes de ser detectado. Este cenário destaca a urgência de tratar a segurança da cadeia de suprimentos Python como uma prioridade crítica.Os métodos utilizados pelos atacantes incluem técnicas como typo-squatting, repo-jacking e slop-squatting, que exploram falhas na gestão de pacotes e repositórios. Além disso, até mesmo imagens oficiais do contêiner Python contêm vulnerabilidades críticas, com mais de 100 CVEs de alta gravidade identificados. Para mitigar esses riscos, é essencial que desenvolvedores e engenheiros de segurança adotem ferramentas e práticas robustas, como pip-audit, Sigstore e SBOMs, para garantir a integridade do código e proteger suas aplicações contra essas ameaças sofisticadas e em rápida evolução.

Pesquisadores de cibersegurança identificaram uma vulnerabilidade alarmante no Amazon Elastic Container Service (ECS), que pode ser explorada por atacantes para realizar movimentações laterais, acessar dados sensíveis e assumir o controle do ambiente em nuvem. A técnica de ataque, denominada ECScape, foi apresentada na conferência de segurança Black Hat USA, destacando como um contêiner malicioso com permissões limitadas pode obter credenciais de IAM de contêineres mais privilegiados na mesma instância EC2, comprometendo seriamente a segurança do ambiente AWS.

Pesquisadores da Cisco Talos identificaram cinco vulnerabilidades críticas nos chips Broadcom BCM5820X, presentes em mais de 100 modelos de notebooks Dell, incluindo as séries Latitude e Precision. Essas falhas, catalogadas como CVE-2025-24311, CVE-2025-25215, CVE-2025-24922, CVE-2025-25050 e CVE-2025-24919, afetam a função ControlVault3, responsável por armazenar dados sensíveis como senhas e informações biométricas. Um invasor com poucos privilégios poderia explorar essas vulnerabilidades para roubar dados, executar códigos maliciosos remotamente e até implantar um backdoor no firmware, comprometendo a segurança dos dispositivos afetados.

O Relatório de Riscos de Segurança na Nuvem 2025 revela uma preocupação alarmante: 83% das empresas que utilizam a Amazon Web Services (AWS) enfrentam problemas com permissões excessivas e acessos permanentes. Apesar dos avanços na centralização do controle de acesso por meio de Provedores de Identidade (IdPs), a segurança total ainda está longe de ser alcançada. Permissões mal configuradas e acessos sem limite de tempo criam brechas exploráveis por agentes maliciosos, ampliando a superfície de ataque de forma desnecessária. A resistência à autenticação multifator (MFA) e a permanência de permissões temporárias são desafios que exigem atenção imediata.Para mitigar esses riscos, é crucial adotar o princípio do menor privilégio, implementar acesso just-in-time e realizar auditorias frequentes e automáticas nas permissões concedidas. A segurança de identidade deve ser uma prioridade contínua, especialmente em um cenário onde os ataques se tornam cada vez mais sofisticados. A mudança de mentalidade é essencial para garantir que a configuração correta não seja uma tarefa pontual, mas sim um processo contínuo de monitoramento, visibilidade e automação. A gestão eficaz de identidades não pode ser opcional, mas sim uma prioridade estratégica para proteger o perímetro digital das organizações.

A Trend Micro identificou e divulgou mitigações para vulnerabilidades críticas em versões on-premise do Apex One Management Console, classificadas com uma pontuação alarmante de 9.4 no sistema CVSS. As falhas, CVE-2025-54948 e CVE-2025-54987, permitem que atacantes remotos não autenticados injetem comandos e executem código malicioso, representando um risco significativo para as organizações que utilizam essa solução. Embora a empresa tenha observado tentativas de exploração ativa dessas vulnerabilidades, detalhes específicos sobre os ataques ainda não foram revelados.

Uma alarmante campanha de phishing foi identificada entre junho e julho de 2025, onde cibercriminosos exploraram serviços de encapsulamento de links da Proofpoint e Intermedia para mascarar URLs maliciosas. Essa técnica subverte tecnologias projetadas para proteger usuários, transformando domínios confiáveis em vetores de ataque, e destaca uma vulnerabilidade crítica na arquitetura de segurança de e-mail, onde a confiança implícita em domínios reconhecidos pode ser explorada para roubo de credenciais do Microsoft 365.

As senhas tradicionais têm sido uma vulnerabilidade significativa na segurança cibernética, frequentemente exploradas em violações de dados e ataques de phishing. A introdução das passkeys, desenvolvidas pela FIDO Alliance e apoiadas por gigantes como Apple, Google e Microsoft, representa uma abordagem técnica e urgente para mitigar esses riscos. Utilizando criptografia de chave pública, as passkeys eliminam a necessidade de compartilhar segredos, protegendo contra erros humanos e sites fraudulentos. A chave privada nunca deixa o dispositivo do usuário, garantindo uma camada adicional de segurança contra interceptações e comprometimentos.