CEVIU News - CEVIU Segurança da Informação - 20 de fevereiro de 2026

A Searchlight Cyber (Assetnote) descobriu uma vulnerabilidade de desserialização Java não autenticada no OpenText Directory Services (OTDS), explorável em sua configuração padrão . A falha decorre de uma verificação de assinatura HMAC defeituosa, onde campos de comprimento controlados pelo atacante permitiam truncar a mensagem assinada para iniciar em um payload injetado. A exploração exigiu a criação de um compressor Deflate customizado com códigos Huffman específicos para produzir uma saída restrita a bytes UTF-8 modificados válidos (0x01-0x7F), mantendo-se incompressível por zlib. Isso permitiu que o payload sobrevivesse intacto a um pipeline de dupla compressão . Organizações que utilizam o OTDS devem aplicar o patch imediatamente , pois uma violação poderia afetar todas as aplicações OpenText integradas que dependem dele para autenticação.

A CISA alertou sobre a CVE-2026-1670 (CVSS 9.8), uma falha de autenticação ausente em vários modelos de CCTVs Honeywell. Essa vulnerabilidade permite que atacantes não autenticados alterem remotamente o e-mail de recuperação de senha, possibilitando a tomada total da conta e o acesso não autorizado às transmissões das câmeras. ️ Modelos afetados incluem o I-HIB2PI-UL e diversas câmeras PTZ compatíveis com NDAA, utilizadas em ambientes comerciais e de infraestrutura crítica. É crucial que as organizações isolem esses dispositivos atrás de firewalls, restrinjam a exposição da rede e contatem a Honeywell para orientações sobre patches.

O Ministério da Economia da França revelou que atacantes utilizaram credenciais oficiais roubadas para acessar o FICOBA, o registro nacional de contas bancárias. Este acesso expôs dados de 1.2 milhão de contas ️, incluindo IBANs, nomes, endereços e alguns IDs fiscais. Embora o acesso operacional bancário e os saldos não tenham sido comprometidos, as autoridades alertam para um risco elevado de phishing e golpes.

A Bitsight analisou os dois bancos de dados nacionais de vulnerabilidades da China, CNNVD, supervisionado pelo Ministério da Segurança do Estado, e CNVD, operado pela CNCERT, e descobriu que, embora espelhem amplamente as publicações do CVE, aproximadamente 1.400 entradas foram publicadas nos bancos de dados chineses antes de se tornarem públicas no CVE, muitas vezes com vários meses de antecedência. Essa descoberta aponta para potenciais pontos cegos nos ecossistemas de vulnerabilidades ocidentais. Os regulamentos RMSV de 2021 da China intensificaram os controles de divulgação de vulnerabilidades domésticas, incluindo a notificação obrigatória ao governo em 48 horas e a proibição de compartilhamento de PoC exploits. Houve um declínio notável nas publicações de vulnerabilidades não-CVE do CNVD após o regulamento, embora o CNNVD tenha observado um ressurgimento recente. Líderes de segurança devem considerar esses potenciais pontos cegos nos ecossistemas de vulnerabilidades ocidentais, pois algumas entradas dos bancos de dados chineses não possuem equivalentes CVE e podem representar vulnerabilidades desconhecidas para defensores ocidentais.

Um título de issue do GitHub, injetado via prompt, poderia levar o bot de triagem da Cline, baseado em Claude, a executar comandos arbitrários em CI. Em seguida, utilizando envenenamento de cache do GitHub Actions, o ataque poderia sequestrar workflows de build noturnos e roubar tokens de publicação do VS Code Marketplace, OpenVSX e npm. Essa cadeia de exploração poderia ter viabilizado um ataque massivo na cadeia de suprimentos, afetando milhões de desenvolvedores por meio de atualizações maliciosas de extensões ou CLIs.

Uma iniciativa liderada pela INTERPOL em 16 países africanos resultou na prisão de 651 pessoas, na recuperação de $4,3 milhões e na interrupção de golpes online que causaram mais de $45 milhões em perdas. As autoridades desmantelaram esquemas de investimento de alto rendimento, dinheiro móvel e empréstimos falsos, apreendendo 2.341 dispositivos e derrubando 1.442 IPs e domínios maliciosos. Vítimas foram identificadas tanto na África quanto no exterior. ‍️

Uma base de dados Firebase mal configurada expôs aproximadamente 300 milhões de mensagens de chat de 25 milhões de usuários do aplicativo Chat & Ask IA da Codeway. A falha comprometeu um volume massivo de dados de conversas.

O Citizen Lab confirmou com alta confiança que ferramentas de extração forense da Cellebrite foram utilizadas no telefone Samsung do ativista pró-democracia queniano Boniface Mwangi enquanto ele estava sob custódia policial, após sua prisão em julho de 2025. Este uso potencialmente permitiu a extração completa de dados, incluindo mensagens, senhas e informações financeiras. Essa descoberta ocorre após um relatório semelhante de uso indevido da Cellebrite na Jordânia e coincide com a revelação da Anistia Internacional sobre o spyware Predator da Intellexa visando um jornalista angolano via WhatsApp, marcando o primeiro caso confirmado do Predator contra a sociedade civil em Angola. Os casos evidenciam o crescente abuso global de ferramentas de vigilância comercial contra ativistas e jornalistas, destacando as sofisticadas capacidades anti-forensics do Predator, que incluem monitoramento de falhas, supressão de indicadores de gravação e controle granular do operador sobre implantações mal-sucedidas.

O Google informou ter bloqueado mais de 1,75 milhão de apps que violavam políticas e banido 80.000 contas de desenvolvedores maliciosos do Google Play em 2025. Paralelamente, a varredura em tempo real do Play Protect identificou mais de 27 milhões de novos apps maliciosos de fora da loja em 350 bilhões de varreduras diárias. A proteção aprimorada contra fraudes foi expandida para 185 mercados, cobrindo 2,8 bilhões de dispositivos e bloqueando 266 milhões de tentativas de instalação de apps via sideloading consideradas arriscadas. Novas defesas implementadas incluem a proteção contra golpes durante chamadas, que impede que usuários sejam manipulados por engenharia social para desativar o Play Protect, e a proteção contra tapjacking de telas de apps sensíveis no Android 16, que requer apenas uma linha de código. ️

A engenharia reversa da criptografia de senhas do cliente MultiDesk RDP revelou que ela utiliza RC4 com chaves por usuário, armazenadas no hive de registro `HKEY_CURRENT_USER\Software\MultiDesk\key` em versões legadas (v3.16) e modernas (v14.0). Enquanto a versão 3.16 empregava ciphertext RC4 codificado em base64 com chaves geradas por `rdtsc`, a versão 5+ introduziu um esquema de derivação de chave salgada utilizando `CryptGenRandom`, mas manteve-se fundamentalmente baseada em RC4. Pentesters devem incluir `MultiDesk.xml`, `MultiDesk.multidesk` e as chaves de registro associadas em suas checklists de reconhecimento interno, visto que a recuperação de credenciais é trivial com acesso de administrador local ou de nível de usuário à máquina alvo.

Um ataque DDoS em larga escala atingiu a Deutsche Bahn entre 17 e 18 de fevereiro, derrubando o bahn.de, o aplicativo DB Navigator e sistemas de TI essenciais da operadora ferroviária. ️

O oficial do Departamento de Estado, Gharun Lacy, instou os setores público e privado a coordenarem a transição para a criptografia pós-quântica como um esforço de ecossistema coletivo. Ele alertou que as ameaças de coleta de dados por adversários de estado-nação, como a China, persistirão além dos ciclos de liderança, exigindo um compromisso sustentado e intergeracional rumo à meta de migração de 2035.