CEVIU News - CEVIU Segurança da Informação - 26 de maio de 2026

A Ubiquiti anunciou a disponibilização de patches para corrigir três vulnerabilidades críticas em seus produtos UniFi OS. Essas correções seguem-se a patches recentes para duas outras vulnerabilidades. As falhas incluem um controle de acesso impróprio que poderia permitir alterações não autorizadas, uma falha de path traversal que possibilitaria o acesso a arquivos de sistema e o sequestro de contas, e uma vulnerabilidade de validação de entrada que poderia levar à injeção de comandos. Todas as vulnerabilidades foram reportadas via HackerOne.

Pesquisadores de cibersegurança descobriram múltiplas campanhas explorando uma vulnerabilidade em sites Ghost CMS para injetar JavaScript malicioso. A vulnerabilidade, corrigida na versão 6.19.1, permite que atacantes não autenticados leiam dados arbitrários do banco de dados do site, incluindo chaves de API de administrador. O código malicioso atua como um carregador que faz o fingerprinting das vítimas e então exibe um prompt de verificação falso do Cloudflare sobre o artigo, que contém o chamariz do ClickFix.

A Cisco corrigiu a vulnerabilidade CVE-2026-20223, um bug CVSS 10.0 na API REST do Secure Workload, originado da falta de validação e autenticação em endpoints da API.

A botnet RondoDox começou a explorar a CVE-2018-5999, uma vulnerabilidade crítica (CVSS 9.8) de configuração não autenticada em roteadores ASUS mais antigos. A botnet envia payloads que definem a ateCommand_flag como 1, forçando a interface infosvr a aceitar alterações de configuração externas, incluindo redefinições de senha de administrador, atingindo mais de um milhão de dispositivos expostos. Embora o código de exploit público exista desde 2018, este é o primeiro abuso observado in-the-wild, alinhado com o padrão da RondoDox de estocar exploits (com mais de 170 associações a CVEs) para construir uma botnet Linux Mirai-style focada em DDoS. Defensores com modelos ASUS afetados devem substituir hardware end-of-life, bloquear o acesso de entrada ao serviço infosvr e monitorar o tráfego para /vpnupload.cgi e requisições de mudança de configuração, visto que a VulnCheck descobriu que 56% dos dispositivos de borda atacados em 2025 eram roteadores de consumidor e 65% das falhas exploradas por botnets estavam em tecnologia sem suporte.

A Microsoft fechou todos os caminhos não autenticados para a enumeração completa de domínios de tenants do M365, primeiro neutralizando a chamada SOAP `GetFederationInformation` do Autodiscover em 2025 e, em seguida, corrigindo o endpoint ACS `/metadata/json/1` (espelhado em login.microsoftonline.com, sts.windows.net e outros hosts de identidade) em maio. Operadores ainda podem reconstruir a maior parte dessa capacidade de forma fragmentada: resolver o GUID do tenant via configurações OpenID não autenticadas ou endpoints de provedor de federação ODC, recuperar o prefixo MOERA `onmicrosoft.com` permanente dos registros CNAME DKIM `selector1`/`selector2`, recorrer a brute-forcing de MX para prefixos adivinhados, e usar a chamada autenticada do Graph `findTenantInformationByDomainName` quando o nome não é adivinhável. Defensores devem tratar os CNAMEs DKIM como um vector de divulgação de nome de tenant, monitorar a sondagem de hosts resultante de SharePoint, OneDrive e MDI (`TENANTNAME-my.sharepoint.com`, `TENANTNAME.atp.azure.com`), e reconhecer que bancos de dados de varredura pré-construídos como azmap.dev agora fornecem mapeamentos de domínio para tenant instantaneamente, o que significa que a obscuridade não oferece proteção.

O grupo Void Dokkaebi (também conhecido como Famous Chollima) migrou seu "stealer" InvisibleFerret de scripts Python legíveis para módulos de extensão .pyd e .so compilados em Cython, carregados via um script de execução .mod. Essa mudança quebra detecções baseadas em script, mas mantém acesso de backdoor, roubo de credenciais de navegador, keylogging e trojanização de carteiras de criptomoedas. A cadeia de ataque executa BeaverTail (gjs) como um downloader JavaScript que busca binários específicos da plataforma. O módulo "mc" faz o downgrade do Chrome no macOS para restaurar o suporte a Manifest V2 para extensões adulteradas como MetaMask, Coinbase e Phantom. A lógica de desofuscação principal de XOR-then-Zlib permanece inalterada em relação às versões anteriores. Para defesa, é crucial mudar para detecção binária que cubra módulos de extensão, artefatos embarcados e scripts de runtime, além de procurar nomes de módulos como mod.pyd/pad.so/brw.so em caminhos .vscode e recuperar infraestrutura C&C como 45[.]59[.]160[.]199 aplicando a rotina XOR documentada aos scripts de execução.

Desenvolvedores de agentes enfrentam um problema central: agentes de IA precisam de API keys e tokens para funcionar, mas prompt injection e conteúdo malicioso podem induzi-los a vazar variáveis de ambiente ou credenciais. O credential brokering resolve isso inserindo um proxy privado que detém segredos reais, os anexa a requisições HTTPS de saída e mantém os valores brutos longe do agente. Projetos como o Agent Vault executam este broker em um host separado, puxam segredos de um armazenamento central, autenticam agentes, trocam placeholders por tokens reais e impõem isolamento e colocation de baixa latência para que os agentes possam acessar alvos como o GitHub sem nunca ver as chaves subjacentes.

Investigadores holandeses de crimes financeiros (FIOD) prenderam dois homens e apreenderam 800 servidores em data centers em Dronten e Schiphol-Rijk. A ação visou a infraestrutura de hospedagem que, segundo as autoridades, fornecia recursos financeiros a entidades russas e bielorrussas sancionadas pela UE e apoiava campanhas de manipulação de informações. O caso envolve a Stark Industries, fundada pouco antes da invasão russa da Ucrânia em 2022 e sancionada pela UE em maio do ano passado, após o que sua infraestrutura foi supostamente transferida para uma empresa de fachada holandesa, WorkTitans B.V., operando como THE.Hosting e ligada pelo De Volkskrant a ataques DDoS do grupo hacktivista pró-russo NoName057(16). Esta ação ilustra como as operações de desmantelamento de bulletproof-hosting dependem cada vez mais da aplicação de sanções e da trilha financeira, em vez da atribuição técnica de ataques individuais.

Após o lançamento de um artigo pela Codex sobre o design de sua nova sandbox Windows, o autor realizou uma análise prática e aprofundada de como a sandbox funciona. A Codex utiliza tokens restritos, SIDs sintéticos, novos usuários e um novo grupo, além de regras de Firewall/WFP para criar a sandbox. O autor observa que há uma falta de logging embutido na sandbox, o que reduz significativamente a observability.

O COO do Google Cloud, Francis de Souza, afirma que as empresas necessitam de segurança no nível da plataforma desde o primeiro dia. As cadeias de ataque agora se movem da violação à entrega em 22 segundos, uma redução drástica em comparação com as oito horas anteriores. Agentes de IA tendem a expor servidores SharePoint antigos e dados esquecidos que ninguém sabia que existiam. Recentemente, desenvolvedores do Google foram surpreendidos com faturas de cinco dígitos após chaves de API para Google Maps silenciosamente ganharem acesso ao Gemini, permitindo que atacantes drenassem $10.138 em 30 minutos de uma única conta.

Adam Young, ex-CEO da C.A. Cloud Attribution, e Harrison Gevirtz, ex-CSO, confessaram o crime de omissão de denúncia de um delito grave, admitindo ter fornecido serviços de rastreamento de chamadas, números rotativos e encaminhamento de chamadas para operações de telemarketing e golpes de suporte técnico entre 2017 e abril de 2022.

A Radiology Associates of Richmond relatou que atacantes acessaram sistemas internos por volta de 25 de julho de 2025 e roubaram arquivos contendo informações protegidas de saúde de aproximadamente 266.000 pessoas.