CEVIU News - CEVIU Segurança da Informação - 8 de abril de 2026

Um especialista argumenta que LLMs de fronteira impulsionaram a pesquisa de vulnerabilidades através de três capacidades: compreensão da estrutura do código, análise estatística de taint e raciocínio em tempo de teste que se aproxima da execução simbólica, possibilitadas por arquiteturas MoE, grandes janelas de contexto e cadeias de raciocínio de RL. O autor refuta a ideia de que apenas a genialidade humana pode encontrar novas vulnerabilidades, mostrando que tipos comuns de bugs como HTTP request smuggling e prototype pollution RCE são compostos por primitivas conhecidas, recombinadas criativamente, refletindo o raciocínio composicional que os modelos agora dominam. A principal vantagem mudou da arquitetura para a expertise de domínio em contexto e compute de inference, à medida que o raciocínio em tempo de teste melhora com orçamentos de token mais longos, permitindo que os modelos encontrem bugs que execuções mais curtas perdem.

A Jones Day, um dos maiores escritórios de advocacia dos EUA, revelou ter sofrido uma violação de dados limitada que afetou 10 clientes. O Silent Ransom Group (SRG) reivindicou a autoria do ataque e divulgou capturas de tela do que parece ser um chat de negociação entre o SRG e a Jones Day. Nas mensagens do SRG, eles afirmam ter comprometido o chefe da equipe da Jones Day responsável por casos perante o Tribunal de Apelações dos EUA para o Circuito Federal.

A CVE-2026-34976 (CVSS 10.0) afeta todas as versões do Dgraph até a v25.3.0, sem patch disponível no momento. A mutação administrativa restoreTenant foi acidentalmente omitida do mapeamento do middleware de autenticação, deixando-a totalmente sem autenticação e acessível por qualquer pessoa com acesso ao endpoint de rede administrativo. A função exposta aceita URLs externas, possibilitando quatro caminhos de exploração: sobrescrita de banco de dados via arquivos de backup maliciosos, sondagem de arquivos locais via vazamento de mensagens de erro, SSRF contra serviços internos e roubo de tokens de contas de serviço do Kubernetes. Até que uma versão corrigida esteja disponível, os administradores devem bloquear imediatamente o acesso público às portas de administração do Dgraph e aplicar regras rigorosas de firewall, restringindo o endpoint administrativo apenas a redes internas confiáveis.

A Wynn Resorts registrou uma notificação de violação de dados, informando que informações de 21.775 funcionários foram roubadas de seus sistemas. Esta notificação surge após a confirmação da empresa de que foi alvo de um ataque, quando os hackers do ShinyHunters publicaram sobre a Wynn Resorts em seu site na dark web. A Wynn Resorts foi subsequentemente removida do site do ShinyHunters e declarou em seu registro de violação que os dados foram excluídos, sugerindo um possível pagamento de resgate.

A Unit 42 documentou um aumento de 282% ano a ano nas operações de roubo de tokens Kubernetes, com organizações do setor de TI respondendo por 78% da atividade observada. Este cenário é impulsionado por dois padrões de ataque convergentes: o grupo Slow Pisces (Lazarus), que abusa de tokens de contas de serviço CI/CD com privilégios excessivos para pivotar de clusters de produção para a infraestrutura financeira de exchanges de criptomoedas; e a exploração de CVE-2025-55182 (React2Shell), que começa em até 48 horas após a divulgação para obter RCE (Execução Remota de Código) em workloads Kubernetes via desserialização insegura do protocolo RSC Flight. Ambos os casos convergem para o mesmo workflow pós-exploração: enumerar o ambiente de runtime, extrair o token de conta de serviço montado em /var/run/secrets/kubernetes.io/serviceaccount/token, testar o escopo do RBAC e, por fim, pivotar para a conta de nuvem hospedeira. A principal constatação do relatório para a liderança de segurança é que a identidade Kubernetes se tornou a camada de pivô entre o comprometimento de contêineres e a violação em nível de nuvem, enfatizando que o escopo do RBAC, tokens projetados de curta duração e a visibilidade do log de auditoria da API representam a postura defensiva mínima viável.

Logs de autenticação Linux podem fornecer um sinal útil sobre o início potencial de uma violação. O autor desta publicação desenvolveu um script de análise de logs que utiliza regexes para fazer o parsing do auth.log. Em seguida, ele emprega múltiplos motores de detecção para identificar tentativas de força bruta, bloqueios de contas, logins bem-sucedidos após falhas e mudanças de IP entre a captura e o sucesso. Essas detecções recebem uma pontuação ponderada, são desduplicadas, marcadas com táticas relevantes do MITRE ATT&CK e exportadas para JSON para consumo por um SIEM.

A Anthropic está concedendo a 12 parceiros, incluindo Apple, Microsoft, Amazon, CrowdStrike, Cisco, Palo Alto Networks, Broadcom e a Linux Foundation, acesso antecipado ao seu novo modelo Mythos para revisão defensiva de código em software próprio e open source. O modelo já identificou milhares de zero-days, alguns com 10 a 20 anos de existência. Este lançamento ocorre após um vazamento de dados que expôs a existência do Mythos, além de incidentes separados de código-fonte e remoção de conteúdo no GitHub.

A Cloudflare lançou a funcionalidade Organizations em beta público, adicionando uma camada de gerenciamento acima das contas individuais. Isso permite que os Super Administradores da Organização controlem usuários, conjuntos de políticas de WAF e Gateway compartilhados, e analytics de tráfego HTTP entre contas, sem exigir filiação explícita em cada conta filha. A implementação exigiu a consolidação de todas as verificações de autorização em um sistema de papéis com escopo de domínio, envolvendo a adição de 133.000 linhas de código, a remoção de 32.000 e um aprimoramento de 27% no desempenho das chamadas de enumeração de permissões. Essa é uma mudança infraestrutural significativa para empresas com milhares de contas. Atualmente, o recurso é exclusivo para clientes Enterprise, com logs de auditoria, relatórios de faturamento e papéis adicionais em nível de organização previstos para o roadmap, e a expansão para clientes pay-as-you-go planejada para os próximos meses.

OpenClaw corrigiu recentemente a CVE-2026-33579 (CVSS 8.1–9.8), uma falha que permitia que qualquer usuário com a permissão de emparelhamento de nível mais baixo escalasse silenciosamente para acesso administrativo total, sem interação do usuário. Os patches foram lançados no domingo, mas a CVE só foi publicada na terça-feira, concedendo aos atacantes uma vantagem de dois dias. Uma análise da Blink revelou que 63% das 135.000 instâncias expostas à internet estavam rodando sem autenticação.

A administração Trump propõe um corte de US$ 707 milhões no orçamento da CISA para o ano fiscal de 2027, reduzindo-o para aproximadamente US$ 2 bilhões. Essa medida é apresentada como um retorno ao foco na proteção de redes federais e infraestruturas críticas.

Pesquisadores utilizaram agentes de IA para descobrir duas falhas no CUPS 2.4.16, CVE-2026-34980 e CVE-2026-34990. Essas vulnerabilidades, quando encadeadas, permitem a execução remota de código (RCE) não autenticada como o usuário 'lp', culminando na sobrescrita arbitrária de arquivos de root através da rede.

A PDC da Cofense detectou uma campanha de phishing que se passava pelo Ministério do Interior e Defesa Civil.