CEVIU News - CEVIU Segurança da Informação - 11 de maio de 2026

O grupo ShinyHunters desfigurou as páginas de login do Canvas com uma nota de resgate, ameaçando vazar dados vinculados a 275 milhões de usuários em quase 9.000 instituições. Isso forçou a Instructure a tirar o Canvas do ar durante o período de provas finais, descrevendo a interrupção como "manutenção programada". Os dados roubados incluem nomes, e-mails, IDs e mensagens.

CPanel implementou correções para três vulnerabilidades em cPanel e WHM que permitiam leitura arbitrária de arquivos, execução de código Perl via create_user API e chmod inseguro via symlinks. As falhas são identificadas como CVE-2026-29201, CVE-2026-29202 e CVE-2026-29203, com duas delas classificadas com severidade 8.8. Os patches foram disponibilizados em várias branches 11.x, incluindo WP Squared, e uma build direta 110.0.114 para sistemas remanescentes como CentOS 6 e CloudLinux 6. Embora ainda não haja relatos de exploração in-the-wild para essas vulnerabilidades, este lançamento segue de perto uma zero-day anterior (CVE-2026-41940) no cPanel que foi utilizada para disseminar variantes do Mirai e o ransomware Sorry.

A Schemata, plataforma de treinamento virtual com IA para ambientes militares e de defesa, expôs dados sensíveis do Departamento de Defesa (DoD) devido à falta de verificações de autorização em sua API. Os dados comprometidos incluíam listas de usuários, registros de organizações, informações de cursos, metadados de treinamento e links diretos para documentos armazenados no ambiente AWS da Schemata. Pesquisadores conseguiram usar uma conta de baixo privilégio para solicitar dados de alto valor pertencentes a outros clientes através da API.

Um pesquisador utilizou um enxame de agentes baseados em LLMs, desenvolvido internamente, para buscar bugs reais em infraestruturas essenciais como o servidor ksmbd do kernel Linux, Docker, OpenSSL, CUPS, HAProxy, Caddy, Traefik, CoreDNS e outros. O sistema parte de documentação e código-fonte, gera hipóteses de vulnerabilidade e itera em provas de conceito em máquinas virtuais isoladas. Um modelo avaliador separado verifica a gravidade e o ineditismo das descobertas antes da revisão humana. Em poucos meses, esta configuração encontrou mais de 20 CVEs atribuídas, incluindo escritas fora dos limites (OOB writes) remotas e não autenticadas no ksmbd, além de desvios práticos de autenticação e controle de acesso em serviços de rede amplamente implantados.

Um pentester demonstrou uma kill chain real contra um portal ASP.NET protegido pelo Cloudflare. Utilizando OSINT (certificados SSL históricos via Censys, hashes de favicon e IDs do Google Analytics), ele conseguiu desmascarar o IP de Origem. Em seguida, o tráfego foi roteado diretamente via `curl --resolve` e `Burp host overrides` para contornar completamente o WAF. Uma vez no backend IIS exposto, um endpoint de upload de avatar autenticado aceitou um web shell .aspx disfarçado com `Content-Type: image/png`, resultando em RCE como `iis apppool\webapp_worker`, pois a validação ocorria apenas no perímetro do WAF. Defensores devem implementar `Authenticated Origin Pulls` (mTLS entre o WAF e o backend), restringir o `ingress` do `firewall` de origem apenas a faixas de IP publicadas do WAF e validar uploads no backend por meio de `allowlists` de extensão e verificações de `magic-byte`, em vez de confiar apenas no `Content-Type` ou em bloqueios perimetrais.

Honeypots são uma técnica utilizada por defensores para criar sistemas que simulam alvos vulneráveis, com o objetivo de observar as táticas de agentes de ameaça. Defensores podem aproveitar a IA generativa para produzir rapidamente honeypots convincentes para ataques movidos por IA. O autor emprega um handler que exige que o agente de ameaça explore uma vulnerabilidade e, em seguida, direciona a solicitação do atacante para um prompt do ChatGPT que informa a IA sobre o sistema que ela deve simular.

A Vercel tornou open-source o deepsec, um mecanismo de segurança impulsionado por agentes de codificação que executa localmente (ou distribui para mais de 1.000 Vercel Sandboxes para paralelismo). Ele encadeia etapas de varredura → investigação → revalidação → enriquecimento → exportação para identificar vulnerabilidades em grandes bases de código, utilizando Claude Opus 4.7 em esforço máximo e GPT-5.5 com raciocínio de alta precisão via assinaturas existentes do Claude ou Codex. O fluxo de trabalho inicia com análise estática baseada em regex para sinalizar arquivos sensíveis à segurança. Em seguida, agentes rastreiam fluxos de dados e verificam mitigações, com uma etapa de revalidação de segunda passagem para eliminar falsos positivos (a Vercel relata uma taxa de FP de 10-20%) e um sistema de plugins para matchers de regex personalizados ajustados ao modelo de autenticação ou camada de dados de uma equipe. É mais adequado para aplicações e serviços do que para bibliotecas.

A Mozilla utilizou o modelo de IA Mythos da Anthropic para identificar 271 falhas de segurança no Firefox em apenas dois meses. Essa conquista foi possível graças a um harness customizado que encapsula o LLM, concede acesso às ferramentas de build do Firefox e o executa em um loop com sinais claros de sucesso. Ao analisar o código em busca de problemas de memory safety, o Mythos cria casos de teste contra o build de sanitizer do Firefox. Se ocorrer uma falha, um segundo LLM é acionado para verificar a descoberta. Das 271 falhas, 180 foram classificadas como sec-high (exploráveis por navegação normal), 80 como sec-moderate e 11 como sec-low.

A Meta removeu a opção de DMs de Instagram com criptografia de ponta a ponta devido à baixa adesão, direcionando os usuários para o WhatsApp. Grupos de proteção à criança haviam se oposto a uma criptografia mais ampla, enquanto grupos de privacidade e a Proton alertam que os usuários agora enfrentam maior exposição e um tratamento incerto de conversas criptografadas anteriores. A Meta já utiliza interações privadas de IA para direcionamento de anúncios e não descartou o uso semelhante das mensagens do Instagram.

Ferramentas poderosas como o Mythos da Anthropic permitirão que pesquisadores de segurança escalem suas operações para descobrir novas vulnerabilidades, trabalhando em conjunto com a IA. No entanto, a gestão de vulnerabilidades nunca foi sobre encontrar falhas, mas sim sobre corrigi-las, e o tooling atual de IA apresenta defasagem nesse aspecto. A modelagem de ameaças é uma área onde o tooling de IA se destaca, e as equipes de segurança devem aproveitá-lo.

A Agência de Segurança Interna da Polônia detectou ataques em cinco estações de tratamento de água, onde hackers assumiram o controle de equipamentos industriais e poderiam comprometer a safety da água.

As autoridades alemãs (BKA, ZIT e a Procuradoria Pública de Frankfurt) desmantelaram uma versão reaberta do marketplace de cibercrime Crimenetwork. A plataforma havia acumulado 22.000 usuários, mais de 100 vendedores e gerado uma receita de pelo menos €3,6 milhões (US$4,2 milhões).