CEVIU News - CEVIU Segurança da Informação - 24 de março de 2026

️ CVE-2026-33056 no tar crate permite que pacotes maliciosos em Rust modifiquem permissões em diretórios arbitrários durante a extração pelo Cargo. Em 13 de março, o crates.io bloqueou a exploração e confirmou que nenhum crate publicado explorava essa vulnerabilidade. Usuários de registries alternativos devem atualizar para Rust 1.94.1 até o lançamento em 26 de março.

Pesquisadores da empresa de antivírus Gen Digital descobriram um infostealer que usa uma abordagem inovadora para contornar a Application Bound Encryption do Chrome e roubar a chave-mestra usada para descriptografar dados sensíveis do navegador. A nova abordagem envolve o uso de breakpoints de hardware para extrair a chave-mestra diretamente da memória. Os pesquisadores observaram que essa técnica pode ser uma adaptação do projeto open-source ElevationKatz. ️

A Oracle lançou uma atualização de segurança extraordinária para corrigir uma vulnerabilidade crítica de execução remota de código (RCE), que pode ser explorada sem autenticação, no Identity Manager e Web Services Manager. A empresa não comentou sobre possíveis explorações, mas alerta que a complexidade de exploração é baixa e recomenda que todos os usuários apliquem os patches relevantes.

A TeamPCP desenvolveu uma nova carga que apaga clusters Kubernetes em vez de apenas roubar credenciais. Usando o mesmo ICP canister C2 do CanisterWorm, ao ser detectado, verifica o fuso horário e o local. Sistemas iranianos recebem um DaemonSet privilegiado chamado kamikaze, que apaga tudo em cada nó e reinicia à força. Clusters não iranianos recebem o backdoor CanisterWorm registrado como um serviço systemd disfarçado de tooling PostgreSQL, enquanto hosts iranianos em bare-metal recebem rm -rf /. Uma terceira variante abandona o Kubernetes completamente e se espalha através do roubo de chaves SSH e exploração não autenticada da API Docker em sub-redes locais /24.

Um ataque à cadeia de suprimentos contra os scanners Trivy da Aqua em 19 de março implantou servidores C2 e criptografou a exfiltração, em vez do usual dumping de repositório em texto claro visto em campanhas anteriores como Shai-Hulud, tornando a detecção de IOC consideravelmente mais difícil. É recomendado auditar o tráfego de saída em máquinas de desenvolvedores, registros do GitHub Actions e ambientes de staging/produção para conexões com domínios controlados por atacantes. Segredos expostos devem ser mapeados e rotacionados usando uma abordagem de negação universal antes da reemissão para evitar o abuso de renovação de token. Orientações de fortalecimento incluem fixar as ações do GitHub a SHAs de commit, impor um intervalo de uma semana para nova versão de pacotes, desativar scripts de pré e pós-instalação e adotar tooling CADR em tempo de execução ao invés de escaneamento baseado em hash após o fato.

Apatchy é um framework de fuzzing in-process para o Apache HTTPD, construído com LibFuzzer, ASan/UBSan e SanCov, que contorna completamente a rede ao injetar bytes diretamente na cadeia de filtro de entrada do Apache. Harnesses com consciência estrutural, usando definições protobuf, direcionam o fuzzing para mod_session_crypto, mod_rewrite, mod_proxy_uwsgi, multipart form-data e HTTP genérico. Um introspector de bitcode LLVM customizado percorre todo o grafo de chamadas e sobrepõe dados de cobertura em uma UI interativa React. Um sistema de reprodução automatizado em um dia, guiado por manifests bug.toml, automatiza a seleção de versões do Apache, configuração do sanitizador e reprodução de crashes para CVEs conhecidos.

O Google anunciou um novo mecanismo no Android para permitir que usuários avançados instalem APKs de desenvolvedores não verificados de maneira mais segura. O novo fluxo requer a ativação do Modo Desenvolvedor, confirmação de que o usuário não está sendo induzido por hackers, reinício do telefone e reautenticação, e, após um dia, a confirmação de que as modificações são legítimas. Essa mudança é um compromisso entre usabilidade e segurança após críticas aos planos de remover o sideloading de apps não verificados.

Lookout, Google GTIG e iVerify divulgaram o DarkSword, um kit de exploração para iOS baseado em JavaScript que encadeia seis CVEs, incluindo três zero-days, comprometendo totalmente iPhones com iOS 18.4 a 18.7, afetando até 270 milhões de dispositivos. Três grupos de operadores o empregaram: UNC6353 (Rússia, visando a Ucrânia), UNC6748 (visando a Arábia Saudita) e PARS Defense (Turquia). Apenas a Lookout apontou indicadores de código assistido por LLM em partes do implante, enquanto GTIG e iVerify notaram características semelhantes, mas não identificaram inferência de IA. O sinal real: um mercado secundário para kits de exploração de nível profissional permite a operadores sem experiência em exploração móvel implementar cadeias de zero-day, possivelmente usando LLMs para personalizar o que não conseguem construir sozinhos. ️

A AgentSeal analisou 5.125 servidores MCP e identificou "fluxos de dados tóxicos" em 555 deles. Nesses casos, ferramentas inofensivas em pares geram cadeias exploráveis, como ferramentas de leitura de credenciais combinadas com saídas de webhook para exfiltração. Com 84,7% dos problemas classificados como críticos ou de alta severidade, o benchmark MCPTox confirmou o risco real, mostrando que o modelo o1-mini seguiu instruções injetadas em 72,8% das vezes. Modelos mais avançados são ainda mais vulneráveis. Defensores devem auditar servidores, aplicar o princípio do menor privilégio, separar servidores de leitura e escrita, e tratar com cautela servidores com mais de 50 ferramentas, devido ao crescimento quadrático das combinações de caminhos de ataque. ️️

WorldLeaks, o grupo de extorsão antes conhecido como Hunters International, alegou ter roubado 159,9 GB (779 arquivos) da cidade de Los Angeles. Ataques simultâneos de ransomware à LA Metro e a Foster City interromperam serviços municipais e provocaram declarações de emergência na região.

A CISA e o FBI confirmaram que atores ligados à inteligência russa comprometeram milhares de contas no Signal e WhatsApp. ️

Navia Benefit Solutions, uma administradora de benefícios terceirizada com sede em Renton, Washington, divulgou que hackers acessaram seus sistemas de dezembro de 2025 a janeiro de 2026. ️