CEVIU News - CEVIU Segurança da Informação - 9 de março de 2026

Pesquisadores de segurança alertam que atacantes estão utilizando ferramentas com IA para buscar e explorar firewalls Fortinet FortiGate vulneráveis . Os pesquisadores notam que os atacantes estão empregando a ferramenta de orquestração de segurança CyberStrikeAI, que oferece uma plataforma de segurança completa com mais de 100 ferramentas que agentes de IA podem usar para caça a ameaças . Acredita-se que o desenvolvedor por trás da ferramenta tenha laços com a China e possivelmente com outras organizações de segurança chinesas.

Três pacotes Packagist publicados pelo ator de ameaça nhattuanbl estão entregando um PHP RAT (Remote Access Trojan) totalmente funcional através do arquivo src/helper.php. O malware é criptografado com AES-128-CTR e se comunica com um servidor C2 (Command and Control) em helper[.]leuleu[.]net:2096. Ele oferece recursos como execução de shell remoto, upload e download de arquivos, além de captura de tela em sistemas Windows, macOS e Linux . Um terceiro pacote, lara-swagger, não contém código malicioso diretamente, mas incorpora o RAT como uma dependência Composer fixa na versão dev-master. Isso permite que o operador atualize a payload a qualquer momento sem modificar o pacote de aparência legítima. Equipes Laravel devem auditar as dependências transitivas do Composer, tratar restrições dev-master como de alto risco em produção, rotacionar todos os segredos acessíveis dos ambientes de aplicação afetados e bloquear o tráfego de saída para o host C2.

A TriZetto Provider Solutions descobriu em outubro que atacantes estavam abusando de um portal web de clientes desde novembro de 2024 para acessar dados de elegibilidade de seguro de mais de 3.4 milhões de indivíduos. Foram expostos identificadores extensos e informações de saúde, mas nenhum dado financeiro.

Startups em estágio inicial frequentemente expõem informações proprietárias durante discussões de financiamento, contratação e parcerias, ao adiar proteções legais até que detalhes sensíveis já tenham sido compartilhados. Esse padrão contribui para a taxa de violação de 61% citada no Panaseer Security Leaders Report de 2025 . Para mitigar isso, é crucial que as startups implementem NDAs (Non-Disclosure Agreements) e acordos de confidencialidade de forma seletiva, mas proativa: antes de conceder acesso a código ou ativos de design para contratados, durante a due diligence técnica aprofundada com investidores não convencionais, e por meio de uma estratégia de pitch com dois decks que condicione o apêndice técnico confidencial à assinatura de um NDA . Tooling leve com trilhas de auditoria de e-assinatura, um único proprietário de documento e revisões trimestrais é suficiente para equipes pré-seed. A complexidade deve escalar com o volume de contratos, e não ser implementada de forma excessiva desde o início .

A CVE-2025-38617, uma vulnerabilidade `use-after-free` de 20 anos no subsistema `AF_PACKET` (net/packet/af_packet.c) do kernel Linux, presente desde o Linux 2.6.12 e corrigida na versão 6.16, permite a qualquer usuário não privilegiado com `CAP_NET_RAW` (obtido via `user namespaces`) escalar privilégios completos e realizar fuga de container. A causa raiz reside em um `WRITE_ONCE(po->num, 0)` condicional que zera o número do protocolo apenas quando o socket já estava em execução. Isso deixa uma janela onde um evento `NETDEV_UP` pode registrar novamente o hook do protocolo enquanto `packet_set_ring()` está no meio de um processo de liberação. O exploit estende essa condição de corrida de nanossegundos para uma janela determinística de um segundo, pré-adquirindo o `pg_vec_lock` através de uma chamada `tpacket_snd()` com sleep. Em seguida, utiliza um atraso de filtro BPF e uma interrupção da fila de espera `timerfd` com 720.000 entradas para vencer a segunda corrida. O ataque resultante, em cinco estágios, encadeia um `page overflow` em corrupção de `simple_xattr`, leitura/escrita de heap via sobreposição de array `pgv`, leitura/escrita arbitrária de página através de um par de `ring buffers` master-puppet, bypass de KASLR via recuperação de ponteiro `anon_pipe_buf_ops` e, finalmente, escalonamento de privilégios via `syscall patching`, superando as mitigações `CONFIG_RANDOM_KMALLOC_CACHES` e `CONFIG_SLAB_VIRTUAL`.

Pesquisadores da Trail of Bits identificaram que os amplamente utilizados pacotes pyaes e aes-js empregavam Initialization Vectors (IVs) padrão em suas documentações, o que pode levar a aplicações vulneráveis. A equipe contatou ambos os projetos, mas não obteve resposta, descobrindo que os mantenedores do pyaes haviam ignorado um chamado sobre a vulnerabilidade em 2022. Em contraste, a resposta da StrongMan VPN foi destacada. Após ser notificada sobre o uso da biblioteca pyaes vulnerável, a VPN substituiu integralmente a biblioteca e migrou para o modo GCM-SIV do AES, considerado mais seguro.

A equipe Threat Hunter da Symantec detectou atividade do grupo Seedworm (MuddyWater) desde fevereiro em redes de um banco, um aeroporto e uma empresa de software ligada à defesa nos EUA, além de ONGs nos EUA e Canadá. O grupo utilizou dois novos backdoors identificados: Dindoor, um backdoor JavaScript/TypeScript baseado em Deno, e Fakeset, um backdoor Python, ambos assinados com certificados previamente ligados ao grupo. As intrusões ocorrem após ataques militares dos EUA e Israel ao Irã e coincidem com a escalada de atividade de grupos hacktivistas alinhados, como Handala e DieNet, aumentando a ameaça de ataques destrutivos tipo wiper, campanhas DDoS e operações de hack-and-leak contra infraestruturas críticas. ️ Defensores devem priorizar a implementação de MFA, o monitoramento de exfiltração via Rclone/cloud, a proteção DDoS para serviços públicos e backups offline imutáveis, dado o histórico iraniano de uso de payloads destrutivos, como Shamoon, durante períodos de escalada geopolítica.

A Equipe de Red Team Frontier da Anthropic aplicou detecção de vulnerabilidades assistida por IA no código-fonte do Firefox, revelando 14 bugs de alta severidade e 22 CVEs, além de 90 outras questões de menor severidade. Todos esses achados foram acompanhados por casos de teste reproduzíveis, permitindo que os engenheiros da Mozilla validassem e corrigissem as falhas em questão de horas antes do lançamento do Firefox 148. É notável que o modelo de IA identificou classes distintas de erros de lógica que décadas de fuzzing e análise estática não haviam descoberto anteriormente. Isso sugere um backlog significativo de bugs latentes em bases de código maduras e bem auditadas. Como resultado, a Mozilla começou a integrar a análise assistida por IA em seus fluxos de trabalho de segurança internos. ️

A Transport for London (TfL) revelou que invasores acessaram sistemas contendo dados de mais de 7 milhões de clientes, um número que excede significativamente os 5.000 usuários de alto risco inicialmente identificados com detalhes bancários expostos.

O Codex Security da OpenAI, um agente de IA , cria contexto de projeto, modelos de ameaça e verifica vulnerabilidades para reduzir falsos positivos, enquanto sugere correções prontas para revisão. Em fase beta, ele analisou 1,2 milhão de commits, identificando milhares de problemas de gravidade crítica e alta em grandes projetos de código aberto.

Hackers invadiram uma rede do FBI usada para gerenciar escutas telefônicas e mandados de vigilância de inteligência estrangeira . O incidente provocou uma investigação interna e a resposta técnica a incidentes por parte da agência ️.

O Centro Médico da Universidade do Mississippi retomou as operações normais nove dias após um ataque de ransomware bloquear o acesso a prontuários eletrônicos e forçar o cancelamento de procedimentos ambulatoriais, cirurgias ambulatoriais e agendamentos de exames de imagem em seus sete hospitais e 35 clínicas.