CEVIU News - CEVIU Segurança da Informação - 25 de maio de 2026

Uma falha lógica no endpoint lsws.redisAble JSON-API do plugin LiteSpeed User-End cPanel, rastreada como CVE-2026-48172 (CVSS 10.0), permite que qualquer usuário autenticado do cPanel eleve privilégios para root com uma única chamada de API malformada, sem condição de corrida ou brecha de autenticação para exploração. A falha está sob exploração ativa e é especialmente perigosa em hospedagens compartilhadas, onde cada inquilino já possui uma sessão cPanel válida, possibilitando o comprometimento completo do sistema, exfiltração de dados e movimentação lateral. O cPanel forçou uma desinstalação em toda a frota cinco horas antes de sua janela TSR programada. Administradores devem atualizar para o LiteSpeed WHM Plugin v5.3.1.0 (incluído com o cPanel Plugin v2.4.7), buscar em /var/cpanel/logs e /usr/local/cpanel/logs/ por cpanel_jsonapi_func=redisAble, e tratar qualquer host com resultados correspondentes como comprometido, rotacionando todas as credenciais e auditando cron jobs e authorized_keys.

O GitHub está adicionando a publicação staged ao npm, exigindo que os mantenedores passem por 2FA e aprovem explicitamente um tarball pré-compilado antes que uma nova versão do pacote se torne instalável, incluindo de CI/CD e trusted publishing baseado em OIDC. O npm CLI 11.15.0 introduz o fluxo de "npm stage publish", além de novas flags como `--allow-file`, `--allow-remote` e `--allow-directory`. Isso permite que as equipes façam allowlist de fontes de instalação que não são de registro e reduzam a exposição a abusos na cadeia de suprimentos, como os vistos nas recentes campanhas de envenenamento de pacotes do TeamPCP.

Uma falha no Chromium, reportada há mais de três anos pela pesquisadora Lyra Rebane, permite que sites maliciosos mantenham um Service Worker ativo indefinidamente. Isso é feito criando e abortando repetidamente downloads de Background Fetch a cada 20 segundos, permitindo que ele permaneça oculto no browser e persista mesmo após reinicializações. Embora os sintomas na UI tenham sido corrigidos em janeiro de 2023, o problema central de abuso de tempo de vida permanece, pois sua correção exige um limite de tempo fixo para o service-worker na especificação da API. Administradores devem monitorar por requisições outbound incomuns e uso de recursos em abas inativas.

A vulnerabilidade Underminr explora a infraestrutura compartilhada de CDN para enviar tráfego HTTPS para o IP de um cliente, enquanto apresenta o SNI e Host de outro domínio, comprometendo as premissas de filtragem DNS e controles PDNS. Atacantes podem ocultar tráfego de C2, VPN e proxy via TCP 443, e a técnica já foi utilizada contra grandes provedores de hospedagem. Estima-se que cerca de 88 milhões de domínios podem estar expostos, com a infraestrutura dos EUA, Reino Unido e Canadá sendo as mais vulneráveis.

Uma campanha coordenada, ligada à conta parikhpreyash4 do GitHub, inseriu um hook de pós-instalação idêntico em arquivos package.json de repositórios upstream. Este hook utiliza `curl -skL` para baixar um binário chamado `gvfsd-network` com a verificação TLS desativada, salvando-o em `/tmp/.sshd` para simular um daemon SSH, e o executa em segundo plano com erros suprimidos. A escolha do `package.json` em vez do `composer.json` visava evadir defensores PHP que analisavam apenas metadados do Composer. Essa carga maliciosa foi confirmada em oito pacotes Packagist que utilizam rastreamento de branch – notavelmente os kits iniciais `devdojo/wave` e `devdojo/genesis`, com aproximadamente 6.400 estrelas, onde o hook é ativado na raiz do projeto. Além disso, o ataque foi plantado em arquivos de workflow do GitHub Actions como uma etapa chamada "Dependency Cache Sync", visando atingir pipelines de CI/CD. Defensores devem inspecionar scripts de ciclo de vida `package.json` em dependências Composer que rastreiam branches, fixar artefatos a estados de commit observados em vez de rótulos `dev-*` mutáveis, e procurar pela URL da carga útil `parikhpreyash4`, pelo caminho de descarte `/tmp/.sshd` e por fragmentos do comando `curl -skL`.

Uma equipe de três pessoas da Calif, utilizando o modelo restrito Mythos Preview da Anthropic, desenvolveu o primeiro exploit público de kernel do macOS que bypassou a Memory Integrity Enforcement (MIE) da Apple em silício M5 em apenas cinco dias. O ataque encadeou a CVE-2026-28952 com um vazamento de informações para alcançar um root shell. A causa raiz foi um integer overflow na verificação de limites de _zalloc_ro_mut, o único escritor confiável para zonas de kernel somente leitura, permitindo que bytes controlados pelo atacante vazassem entre os limites dos slots e alterassem o cr_uid de um processo vítima para zero, sem corromper ponteiros, tags ou tabelas de páginas. Este episódio demonstra que a marcação de memória em hardware não é uma correção definitiva, mas uma mudança, direcionando a exploração para o pequeno conjunto de escritores privilegiados cuja validação de argumentos se torna agora a superfície de ataque de maior valor, com mais bypasses desse tipo esperados à medida que o tempo entre a descoberta de um bug e o desenvolvimento de um exploit funcional diminui para dias.

O Project Glasswing da Anthropic, utilizando o Claude Mythos Preview, identificou mais de dez mil vulnerabilidades de alta e criticidade em softwares essenciais. Destas, milhares foram encontradas em mais de mil projetos open-source, com taxas de acerto acima de 90% para achados de alto risco verificados. Parceiros como Cloudflare, Mozilla, Palo Alto Networks, Microsoft, Oracle e grandes bancos estão empregando essas capacidades para fortalecer sistemas centrais, agilizar correções e até mesmo detectar fraudes em tempo real.

A Charter Communications confirmou um incidente de cibersegurança após o grupo ShinyHunters adicionar a telecom Spectrum à sua lista de vazamentos, alegando possuir mais de 42 milhões de registros de PII e ameaçando publicá-los caso negociações não sejam iniciadas até 27 de maio. A Charter contesta a extensão, afirmando que nenhuma informação pessoal sensível ou CPNI (Customer Proprietary Network Information) foi exfiltrada, e se recusou a divulgar o "intrusion vector" ou o número de clientes afetados. As alegações não verificadas do invasor e a negativa restrita da empresa estão em tensão direta. O incidente se alinha à campanha de extorsão do ShinyHunters, focada em Salesforce, que atingiu centenas de organizações por meio de credenciais de "cloud" expostas e integrações SaaS mal configuradas. Isso ressignifica os vazamentos individuais como sintomas de uma operação abrangente contra ambientes de "cloud" corporativos.

Pesquisadores da Aikido descobriram que chaves de API do Google deletadas permanecem utilizáveis por até 23 minutos. Durante este período, atacantes podem realizar chamadas em alto volume, gerar custos elevados de compute no Gemini e acessar arquivos e contextos em cache. Testes em diferentes regiões mostraram comportamento similar para outras APIs do GCP. O Google classificou o atraso na revogação como “funcionando como esperado” e não planeja uma correção.

Autoridades da Europa e América do Norte desativaram a First VPN após uma investigação conjunta iniciada em 2021, apreendendo 33 servidores e domínios relacionados a ransomware, fraude e roubo de dados. Investigadores identificaram pelo menos 25 grupos de ransomware utilizando o serviço, que recebia pagamentos anônimos em criptomoedas e e-money. O FBI listou 32 nós de saída em 27 países e detalhou protocolos suportados como OpenConnect, WireGuard e VLESS com ofuscação Reality.

O relatório da Check Point Research para março-abril de 2026 documenta a transição da IA de um uso experimental para uma ferramenta rotineira no arsenal de cibercriminosos.

A EclecticIQ descobriu uma campanha com motivação financeira que emprega SEO poisoning e Google Ads (este último rastreado separadamente como InstallFix) para distribuir instaladores typosquatted do Gemini CLI e Claude Code. Esses instaladores entregam um infostealer PowerShell fileless, comprometendo os sistemas dos usuários.

O Kali365 é uma plataforma de Phishing-as-a-Service vendida via Telegram, detectada pela primeira vez em abril. Ela utiliza phishing de código de dispositivo com iscas como "SharePoint – Documento Compartilhado" para roubar tokens de acesso e refresh OAuth do Microsoft 365.