CEVIU News - CEVIU Segurança da Informação - 8 de junho de 2026

A Fortinet identificou a C0XMO, variante modular do Gafgyt que explora a CVE-2021-27137, falha de buffer overflow não autenticada no firmware DD-WRT, permitindo execução arbitrária de código. O malware infecta roteadores, DVRs e dispositivos IoT com 19 métodos de DDoS, força bruta em SSH/Telnet e persistência via tarefas agendadas a cada 15 minutos. Diferencial: elimina botnets rivais antes de se conectar ao C2. Recomenda-se aplicar patches imediatamente, trocar credenciais de administrador e monitorar conexões anômalas.

A Ubiquiti lançou o patch SAB-064 para corrigir três vulnerabilidades de severidade máxima (CVE-2026-34908, CVE-2026-34909 e CVE-2026-34910) no UniFi OS Server. Descobertas pela Bishop Fox, as falhas combinam bypass de autenticação via Nginx com injeção de comando no serviço de atualização de pacotes, permitindo RCE como root sem autenticação. Atenção: o patch não altera a verificação de JWT, então chaves comprometidas ainda podem gerar tokens válidos. Administradores devem atualizar para as versões 5.1.12, 5.1.10, 5.1.11 e 4.0.14 conforme o modelo, restringir a porta TCP 11443 a VLANs de gerenciamento e realizar rotação imediata de chaves JWT, certificados TLS, credenciais de banco de dados e segredos RADIUS.

A OpenAI implementou o Lockdown Mode no ChatGPT para restringir o processamento de conteúdo não confiável e mitigar riscos de prompt injection em ambientes com dados sensíveis. O recurso desativa funcionalidades como navegação web em tempo real, retrieval externo de imagens, pesquisa profunda e o modo de agentes, reduzindo a superfície de ataque em cenários corporativos críticos.

Pesquisadores identificaram uma campanha de malvertising que abusa do Google Ads para distribuir versões maliciosas de ferramentas de segurança conhecidas, como Ghidra, dnSpy e SpiderFoot. As páginas falsas imitam os sites oficiais e exibem links aparentemente legítimos, mas scripts ocultos redirecionam o usuário via sistema de distribuição de tráfego (TDS). Após múltiplos redirecionamentos, a vítima baixa um infostealer capaz de roubar credenciais e dados sensíveis.

Um pesquisador de segurança criou um app propositalmente vulnerável em Expo React Native para testar se LLMs autônomos conseguiriam encontrar uma flag oculta. Com cerca de 20 modelos avaliados, o caminho esperado exigia descompilar o APK e explorar um backend Firebase mal configurado, não falhas de IDOR. O GPT-4.5 teve a melhor performance, enquanto outros modelos falharam ao mirar alvos errados, recusar comandos ou não identificar a infraestrutura Firebase.

Dados do Majestic Million revelam que, apesar de 57,1% dos domínios publicarem DMARC, apenas 26% aplicam a política com p=reject ou quarantine, deixando a porta aberta para spoofing. A recomendação é tratar a autenticação de e-mail como uma sequência de capacidades: migrar para p=reject pode reduzir o spoofing de domínio em até 85%. Na sequência, integrar MTA-STS, TLS-RPT e CAA. Tecnologias como DNSSEC e DANE ficam para modelos de ameaça específicos, o foco deve ser eliminar vetores ativos como senhas fracas antes de combater cenários teóricos.

O Module Stomping sobrescreve a seção .text de DLLs assinadas para ocultar a execução de shellcode em regiões de memória baseadas em disco, driblando telemetria comportamental e scanners tradicionais. O ataque carrega uma DLL sacrificial, localiza uma função exportada via GetProcAddress, grava o shellcode com WriteProcessMemory e executa via CreateThread, mantendo tudo dentro do espaço de um módulo legítimo. Para defesa, é essencial monitorar divergências entre módulos em memória e suas imagens em disco. Técnicas como PEB-walking e ofuscação de resolução de API estendem a eficácia contra EDRs maduros.

Joshua Saxe compartilha sua experiência na Meta, descrevendo um ambiente de talentos excepcionais, mas marcado por competitividade intensa, onde ambições pessoais frequentemente sobrepõem metas de produto. Iniciativas como Llama e projetos de AR/VR sofrem com falta de coesão, já que equipes priorizam crescimento profissional em detrimento do propósito. Saxe participou da criação de iniciativas de segurança em IA antes de deixar a empresa para fundar sua própria startup.

A Meta notificou 20.225 usuários cujas contas do Instagram foram invadidas por meio de uma vulnerabilidade no fluxo de recuperação de contas assistido por IA. Um bug permitia que o chatbot enviasse links de redefinição de senha para e-mails controlados por atacantes, sem validar se o endereço correspondia ao cadastrado. Contas sem autenticação de dois fatores foram as mais afetadas entre abril e junho, com exposição de mensagens, publicações e dados pessoais. A Meta desativou o chatbot, removeu o código vulnerável e abriu auditoria nos demais sistemas de IA.

A Apple integrou os algoritmos ML-KEM e ML-DSA ao corecrypto para suportar criptografia pós-quântica, usando C portável e assembly ARM64. Para garantir a correção formal, a implementação em C foi traduzida para Cryptol e validada com SAW. Em seguida, o modelo foi convertido para Isabelle e confrontado com a especificação FIPS. As sub-rotinas em assembly também foram verificadas como matematicamente idênticas às versões em C.

Um usuário na plataforma X revelou um comportamento curioso do Cursor: o editor baseado em IA utilizou um sinalizador de linha de comando para sobrescrever explicitamente um timeout de dependência no pnpm, contornando restrições do gerenciador de pacotes sem intervenção do usuário.

A plataforma CareerConnect da Universidade de Oxford foi comprometida em 28 de maio, expondo nomes completos e endereços de e-mail de ex-alunos, pesquisadores e recrutadores. É o segundo incidente de segurança registrado pela instituição britânica em menos de 30 dias, acendendo alertas sobre a proteção de dados em ambientes acadêmicos.

O grupo Silent Ransom (também conhecido como UNC3753, Luna Moth ou Chatty Spider) mira escritórios de advocacia e empresas de serviços profissionais nos EUA desde janeiro. A tática combina phishing com temas de faturas e chamadas de vishing: os atacantes se passam por suporte de TI para convencer vítimas a instalar ferramentas de acesso remoto como AnyDesk, Zoho Assist, Bomgar ou SuperOps.