CEVIU News - CEVIU Segurança da Informação - 1 de maio de 2026

A vulnerabilidade CVE-2026-31431 é um bug de lógica no template criptográfico authencesn do kernel Linux. Sockets AF_ALG, ao usar splice(), podem alimentar páginas de page cache diretamente em scatterlists graváveis. Durante o rearranjo de bytes ESN, authencesn escreve 4 bytes em dst[assoclen + cryptlen] como espaço de rascunho, ultrapassando o buffer de saída e atingindo páginas de page cache encadeadas de qualquer arquivo legível. Um exploit Python de 732 bytes encadeia sendmsg() + splice() + recv() para acionar escritas controladas de 4 bytes na page cache de /usr/bin/su, injetando shellcode que é executado como root quando o binário setuid é iniciado. O mesmo script funciona sem modificações em Ubuntu, Amazon Linux, RHEL e SUSE, pois as páginas corrompidas nunca são marcadas como "sujas" para writeback. A vulnerabilidade surgiu da intersecção de três mudanças: o comportamento de escrita temporária de authencesn em 2011, o suporte a splice() do AF_ALG em 2015 e a otimização in-place do algif_aead em 2017, que encadeou páginas de page cache em scatterlists de destino graváveis via sg_chain(). A correção envolveu reverter para operação out-of-place e separar req->src de req->dst.

Um desenvolvedor realizou a engenharia reversa de um ataque à cadeia de suprimentos de três fases, disfarçado como uma falsa entrevista de emprego Web3 para a 0G Labs. O repositório clonado utilizava um npm prepare hook para acionar uma nova primitiva RCE `Function("require", ...)`, que buscava payloads de segunda fase de um loader Vercel. A análise em uma VM isolada revelou que o implante se comunicava a cada 5 segundos com um IP baseado no Texas (216.250.249.176:1224), exfiltrando variáveis de ambiente, nomes de host e endereços MAC sob o ID de campanha `tid=Y3Jhc2ggdGhlIGJhZCBndXlz`. Essa infraestrutura replica o playbook Contagious Interview atribuído à Coreia do Norte. As recomendações incluem configurar `ignore-scripts` para `true`, auditar repositórios em busca de funções Node.js sensíveis, usar VMs descartáveis e verificar recrutadores por meio de sites oficiais da empresa.

O Google corrigiu uma vulnerabilidade CVSS 10 crítica no Gemini CLI e em sua GitHub Action, que permitia que workspaces CI não confiáveis carregassem configurações .gemini maliciosas e executassem comandos arbitrários antes do sandboxing. A correção agora exige confiança explícita do workspace e listas de permissão de ferramentas mais restritas em modos headless e --yolo. Separadamente, o Cursor resolveu um escape de sandbox baseado em .git hook, mas ainda possui um problema não corrigido que permite a qualquer extensão ler API keys e tokens locais. Por isso, recomenda-se instalar apenas extensões confiáveis no Cursor.

Os painéis de controle de hospedagem web baseados em Linux, cPanel e WebHost Manager (WHM), estão instando os usuários a atualizarem para a versão mais recente após a descoberta de uma vulnerabilidade crítica (CVSS 9.8) de bypass de autenticação. Embora nenhum detalhe técnico tenha sido publicado, a NameCheap bloqueou temporariamente o acesso às portas usadas por esses serviços. Administradores podem atualizar seus sistemas executando `/scripts/upcp –force`.

Atacantes têm weaponizado o agente de código aberto OpenClaw, em conjunto com frameworks de navegadores headless furtivos como o modo "StealthyFetcher" do Scrapling, para extrair conteúdo protegido, testar cartões roubados e criar contas falsas em larga escala. Eles conseguem burlar sistemas de reputação de IP e defesas CAPTCHA através da resolução automática do Cloudflare Turnstile, bloqueio de vazamentos de IP via WebRTC, falsificação de fingerprints TLS e adição de ruído aleatório em canvas a cada requisição. Para contra-atacar, os defensores devem adotar o fingerprinting passivo de navegador, combinando mais de 100 sinais de rede, dispositivo e comportamento para detectar artefatos de automação, direcionando usuários confiáveis e bloqueando atores maliciosos com base na intenção da sessão.

Pesquisadores da GitGuardian analisaram 8.000 senhas de 40 modelos LLM, provenientes de 11 provedores, e identificaram padrões que permitem determinar qual modelo gerou cada senha. Por exemplo, Claude Opus 4.6 gerou apenas 35% de senhas únicas, enquanto o Llama-3.3-70b-instruct produziu a substring Gx#8dL em 96% de suas saídas. Eles desenvolveram cadeias de Markov para classificar essas senhas. Ao escanear 34 milhões de senhas de commits do GitHub entre novembro de 2025 e março de 2026, foram encontradas 28.000 senhas geradas por LLMs, principalmente da Anthropic, Qwen e Google. Essas senhas fracas apareceram em 1.800 arquivos .env contendo credenciais de banco de dados e chaves de API. Embora ainda não seja difundido, o comportamento existe: pessoas solicitam a LLMs que gerem senhas, e agentes de IA as codificam autonomamente em arquivos Terraform e de configuração.

O grupo 0APT tentou construir credibilidade forjando uma lista de vítimas. Contudo, rapidamente direcionou seus ataques a grupos rivais como Everest, RansomHouse e, notavelmente, KryBit, vazando painéis de administração, dados de afiliados e registros de negociações. Em resposta, KryBit retaliou, violando a infraestrutura do 0APT, expondo seu full operational stack completo e demonstrando que as supostas "vítimas" anteriores eram uma farsa. O relatório da Halcyon compartilha IoCs (Indicadores de Compromisso) e enfatiza a importância do monitoramento de data staging, exfiltration, integridade de backups, e recomenda que KryBit e Everest sejam tratados como ameaças ativas.

Pipelines de Detection-as-Code frequentemente exigem infraestrutura complexa para manutenção. O autor reflete sobre se agentes poderiam automatizar grande parte desse processo, desde o linting e formatting até o commit e abertura de um PR, e possivelmente até mesmo o deploy da regra. Essa mudança representaria uma compensação entre determinismo estrito e confiabilidade versus maior flexibilidade e facilidade de manutenção.

Em 2024, durante a análise da violação da popular extensão de navegador Cyberhaven, a Red Canary sinalizou que um arquivo recém-criado provavelmente havia sido escrito por um autor diferente dos demais, com base em sua entropia. No entanto, o autor do artigo questiona se, em uma era em que tanto desenvolvedores legítimos quanto atacantes maliciosos podem estar utilizando os mesmos coding agents para gerar código, essas técnicas ainda manterão sua relevância.

O portal de pacientes odontológicos da Practice by Numbers permitia que qualquer usuário logado visualizasse documentos médicos de outros pacientes ao alterar um ID de documento sequencial na URL, expondo dados pessoais e IDs.

O phishing é responsável por cerca de 85% das violações de segurança reportadas, muitas vezes por meio de páginas de login falsas, links e anexos.

Quase 170.000 pacientes tiveram dados expostos em uma violação de ransomware, incluindo números de Segurança Social (SSNs), documentos de identificação, detalhes financeiros e informações de saúde.