CEVIU News - CEVIU Segurança da Informação - 28 de abril de 2026

A vulnerabilidade CVE-2026-35414 afeta versões do OpenSSH lançadas nos últimos 15 anos. Um erro de reuso de código permite que vírgulas em "principals" de certificados SSH sejam interpretadas como separadores de lista. Caso um certificado contenha "deploy,root" como principal, o OpenSSH divide o valor na vírgula e concede acesso root. O ataque não deixa rastros de falha de autenticação nos logs, e pesquisadores criaram um exploit funcional em apenas vinte minutos. A falha foi corrigida na versão OpenSSH 10.3.

A Checkmarx confirmou que dados de seu repositório GitHub apareceram na dark web, após um ataque à cadeia de suprimentos ocorrido em 23 de março. A divulgação desses dados sensíveis ressalta a urgência na gestão de vulnerabilidades e na defesa corporativa contra acessos não autorizados a sistemas de desenvolvimento.

Cloudflare utiliza um sistema de revisão de código multi-agente que permite realizar revisão de código automatizada em questão de minutos, em contraste com os gargalos humanos anteriores. Um agente de orquestração emprega uma série de plugins definidos pelo usuário para lançar subagentes para: qualidade de código, segurança, performance, revisão de documentação, revisão de release e revisão de AGENTS.md, conforme necessário. Nos primeiros 30 dias, o sistema completou 131 mil revisões com um custo médio de US$ 1,19 por revisão e tempo de conclusão de 3 minutos e 39 segundos, e identificou quase 160 mil ocorrências, sendo 5% delas críticas.

Atacantes exploraram uma falha de consenso no Mimblewimble Extension Block (MWEB) do Litecoin na última sexta e sábado para inserir transações de peg-out inválidas em nós não corrigidos, enquanto um ataque de negação de serviço tirava do ar pools de mineração já atualizados. Isso permitiu que o fork não corrigido se estendesse por aproximadamente 32 minutos antes que a rede reorganizasse 13 blocos de volta à cadeia válida. Apesar de a Fundação Litecoin ter classificado o incidente como um zero-day, o pesquisador bbsz da SEAL911 analisou o log de commits público do litecoin-project, revelando que o bug de consenso foi corrigido privadamente entre 19 e 26 de março — mais de quatro semanas antes do ataque — com ambas as correções empacotadas apenas na release 0.21.5.4 em 25 de abril, após o início da exploração. Alex Shevchenko, CTO da Aurora, observou que o atacante pré-financiou uma wallet via Binance 38 horas antes, com um caminho de swap em DEX de LTC para ETH já configurado. O episódio destaca um risco estrutural para cadeias proof-of-work mais antigas, onde pools de mineração independentes escolhem seu próprio timing de atualização: mesclar silenciosamente correções de consenso em repos públicos cria uma janela explorável para adversários que podem comparar commits e identificar quais pools ainda não aplicaram o patch.

A empresa de segurança residencial ADT confirmou ter sofrido uma violação de dados após o grupo ShinyHunters alegar ter roubado 10 milhões de registros e ameaçar divulgá-los. A ADT afirmou que os dados vazados incluíam principalmente nomes, números de telefone e endereços. Em um número limitado de casos, datas de nascimento e SSNs ou tax IDs também foram incluídos. O ShinyHunters declarou que invadiu a ADT por meio de vishing a um funcionário para obter acesso à sua conta Okta, que foi posteriormente usada para acessar o Salesforce.

A Itron, em um registro na SEC, reportou uma intrusão de rede ocorrida em meados de abril após ser notificada de que invasores acessaram alguns de seus sistemas internos. A empresa afirmou ter removido os atacantes e não detectou mais atividades suspeitas, garantindo que os ambientes hospedados por clientes não foram afetados. No entanto, a Itron adverte que novos comunicados regulatórios podem ser feitos caso uma violação de dados seja confirmada. A empresa informou as autoridades, ativou planos de contingência e seus backups.

Miguel Grinberg realizou engenharia reversa da criptografia do vault do Bitwarden a partir dos códigos-fonte do Bitwarden e Vaultwarden, documentando o formato 2.{iv}|{ciphertext}|{mac}. Neste formato, o ciphertext utiliza AES-256-CBC com padding PKCS#7 e o MAC é HMAC-SHA256 sobre iv || ciphertext. A chave mestra de 64 bytes é dividida em uma chave AES de 32 bytes e uma chave MAC de 32 bytes. A chave de wrapping é derivada de PBKDF2-HMAC-SHA256 sobre a passphrase salgada com o e-mail em 600.000 iterações, sendo então expandida em subchaves de criptografia e MAC via HKDF-Expand usando as strings de contexto literais "enc" e "mac". Para os defensores, isso deve ser tratado como um roadmap para a descriptografia offline de um vault a partir de um arquivo Vaultwarden SQLite roubado. A força da passphrase e a contagem de iterações do PBKDF2 são as únicas barreiras uma vez que a chave mestra criptografada é exfiltrada. Portanto, é crucial auditar as iterações do KDF, considerar a migração para Argon2id e monitorar os caminhos de acesso ao banco de dados do Vaultwarden.

O modelo Mythos da Anthropic está encontrando milhares de vulnerabilidades, e a Mozilla confirma sua autenticidade. Contudo, a detecção comportamental nunca teve uma correspondência 1:1 com os exploits. Defensores focam em comportamentos, não em CVEs individuais; por exemplo, o Microsoft Office possui mais de 1.000 vulnerabilidades RCE, mas a detecção de documentos Office que geram processos filhos consegue abranger todas elas. A detecção de anomalias baseada em machine learning não auxilia: ela é ineficaz na identificação de ataques novos, sofre drift à medida que os ambientes mudam, e os falsos positivos podem ter um spike quando o tráfego benigno se altera. Uma taxa de falsos positivos de 0.001 resulta em 1.000 alertas falsos por dia em um ambiente de um milhão de eventos, sobrecarregando os analistas. Regras comportamentais que visam ações sem um propósito legítimo permanecem stable ao longo dos anos e não sofrem drift. A verdadeira ameaça não é o volume de exploits, mas sim agentes de IA obtendo acesso a sistemas sensíveis e ataques de prompt injection que utilizam credenciais legítimas para executar ações maliciosas que os usuários nunca percebem.

O Lotus Wiper é uma família de malware destrutiva com PDVSA.com codificado no seu script de gatilho OhSyncNow.bat, que sobrescreve discos, apaga backups e limpa logs do sistema para tornar as máquinas irrecuperáveis. Um timestamp de compilação de final de setembro de 2025 sugere meses de preparação do atacante. O pesquisador Ben Read apontou o domínio incorporado como evidência de uma arma de precisão direcionada à empresa estatal de petróleo da Venezuela. Um remetente venezuelano carregou os binários no VirusTotal em 14 de dezembro, um dia após a violação da PDVSA em 13 de dezembro, que a Bloomberg relatou mais tarde ter paralisado sistemas administrativos, SCADA em refinarias e oleodutos, e a folha de pagamento por mais de um mês. O wiper suprime especificamente o serviço Windows Interactive Services Detection, removido após o Windows 10 v1803, indicando reconhecimento prévio do legacy stack da PDVSA, congelado por sanções, e levantando novas questões sobre o envolvimento dos EUA, dada a proximidade com a operação militar de janeiro que apreendeu Maduro.

O fundador da PocketOS, Jer Crane, relatou como o Cursor, rodando Claude Opus 4.6, deletou seu banco de dados de produção e todos os backups de volume em uma mutação GraphQL volumeDelete de 9 segundos contra a Railway. Isso ocorreu depois que o agente unilateralmente obteve um CLI token de um arquivo não relacionado para "corrigir" uma incompatibilidade de credencial em staging. Três falhas arquiteturais ocorreram em cascata: os CLI tokens da Railway possuem autoridade root total através da GraphQL API, sem escopo de operação, ambiente ou recurso; o endpoint destrutivo é fornecido sem confirmação, verificações de ambiente ou cooldowns; e os "backups" de volume da Railway ficam dentro do mesmo volume que eles fazem backup, então a exclusão do volume apagou ambos, deixando uma cópia de três meses como o único ponto de restauração. O postmortem escrito pelo agente enumerou cada regra de sistema que foi violada, ressaltando que os prompts de sistema de LLM são consultivos, e não impositivos. Defensores que integram agentes de IA devem implementar guardrails em API gateways, tokens com escopo, aprovações out-of-band para operações destrutivas e backups out-of-blast-radius, além de auditar os escopos de token da Railway antes de conectar mcp.railway.com a qualquer coisa em produção.

Após a violação de abril da Vercel via Context.ai, atribuída a atacantes "significativamente acelerados por IA", a Anthropic lançou um Programa de Verificação Cibernética no estilo KYC com Opus 4.7, Mythos e Project Glasswing, espelhando os pilares CIP/CDD/EDD bancários para controlar os esforços de segurança.