CEVIU News - CEVIU Segurança da Informação - 18 de junho de 2026

A rede privada Dialog, iniciativa exclusiva de Peter Thiel para líderes empresariais, acadêmicos e políticos, sofreu um vazamento que expôs dados de 113 membros listados em seu site restrito. Um pesquisador de segurança identificou informações acessíveis sem autenticação, incluindo nomes, empregadores, e-mails, contatos de assistentes, datas de nascimento, números de telefone e contatos de emergência, além de perfis detalhados de participantes de um evento futuro em Dublin.

A Argus Systems divulgou uma vulnerabilidade crítica de bypass de autenticação PAP no subsistema sppp(4) do OpenBSD, presente desde a importação derivada do FreeBSD em 1999. A falha está na função sppp_pap_input() em sys/net/if_spppsubr.c, onde campos de comprimento controlados pelo atacante são passados diretamente para bcmp, possibilitando autenticação sem credenciais ou heap over-read no kernel. Explorável sem autenticação via PPPoE, permite que servidores maliciosos no mesmo domínio de broadcast assumam identidades legítimas e interceptem tráfego. Confirmada no OpenBSD 7.6, já foi corrigida com verificação rigorosa de comprimento; administradores devem atualizar o código-fonte e recompilar.

A campanha FortiBleed já comprometeu 30.791 credenciais válidas em firewalls e gateways VPN da Fortinet, atingindo 21.108 IPs e 8.316 domínios, principalmente em telecomunicações, governo e infraestrutura crítica. Os invasores, que se comunicam em russo e priorizam países da OTAN, exploram senhas reutilizadas e fracas para transformar os dispositivos em pontos de captura de credenciais, retroalimentando seu scanner. A operação afeta equipamentos expostos à internet sem atualizações ou hardening adequado.

Um pesquisador de segurança descobriu um servidor comprometido contendo credenciais obtidas em uma campanha persistente de força bruta contra appliances Fortinet. Foram expostos cerca de 74 mil conjuntos de usuário, senha e e-mail, dados coletados por ataques diretos, exploração de bancos SQL Server e quebra de hashes SSL VPN interceptados. A vulnerabilidade, batizada de FortiBleed, evidencia falhas críticas na postura de defesa de organizações que não aplicaram atualizações ou hardening adequado.

Com base em metas de prontidão quântica do Google, Cloudflare e NCSC do Reino Unido, Brandon Rozek destaca a migração prática para protocolos resistentes a ataques 'harvest-now-decrypt-later'. O OpenSSH usa por padrão mlkem768x25519-sha256 desde abril de 2022, alertando conexões com servidores não atualizados. No TLS, o X25519MLKEM768 já está no Firefox 132 e Chrome 131, cobrindo 70,1% do tráfego global. Já o WireGuard, vulnerável à computação quântica, pode ser protegido via PresharedKey simétrica ou Rosenpass, com rotação de chaves a cada dois minutos para garantir sigilo pós-quântico.

Políticas de Qualidade de Serviço (QoS) no Windows permitem limitar largura de banda de saída por processo ou protocolo. Com privilégios de administrador, invasores aplicam essas regras contra agentes de EDR, prejudicando telemetria, até causar falhas em handshakes TLS e interromper envio de alertas à nuvem. O EDRChoker demonstra automação massiva dessas restrições via PowerShell e WMI. Medidas defensivas incluem auditoria de entradas QoS no ActiveStore, habilitação de logging detalhado dessas ferramentas, monitoramento do Event ID 5857 (NetQosCim) e verificação de persistência de políticas na memória e no registro.

A Pluto Security fez engenharia reversa do runtime dos Claude Managed Agents da Anthropic e identificou o uso do sandbox gVisor, mesmo utilizado no Cloud Cowork. O proxy de credenciais baseado em vault garante isolamento sólido de segredos, e defesas multicamadas mitigam desvios de proxy de rede. Apesar da arquitetura segura, a configuração padrão é permissiva, exigindo que equipes adotem medidas proativas de proteção e hardening dos agentes.

Chainguard, BNY, Cisco, Cloudflare, Docker, JPMorganChase, Kyndryl, LTIMindtree e PwC lançaram a coalizão Athena para reforçar a segurança de projetos open source contra ameaças emergentes de IA. O grupo emprega modelos avançados como Project Glasswing (Anthropic) e Daybreak (OpenAI) para detectar vulnerabilidades, corrigi-las em ambiente privado e reconstruir os pacotes como versões endurecidas nas Chainguard Libraries, antes da divulgação coordenada upstream. Alinhado à ordem executiva norte-americana sobre IA, o modelo funciona como uma 'câmara de compensação' cibernética. Até agora, foram processadas mais de 20.000 descobertas, com cerca de 2.000 correções implementadas em 500 projetos; o primeiro ciclo público de divulgação está marcado para julho.

A GTIG do Google e a Mandiant identificaram o grupo UNC6508, ligado ao Estado chinês, espionando instituições médicas, acadêmicas e militares norte-americanas por 12 meses sem detecção. O ataque usou o malware Infinitered, projetado para servidores REDCap, para roubar credenciais e e-mails explorando regras de conformidade de conteúdo de domínio, sem depender de ferramentas living-off-the-land. A rede de ofuscação empregou exclusivamente IPs dos EUA, simulando acessos legítimos. O caso exige mudança na postura de detecção: priorizar desvios de identidade e configuração, pois a fase mais evasiva deixou quase nenhum rastro em endpoints ou tráfego de rede.

O Semgrep Pro anteriormente executava a análise de taint duas vezes para rastrear dados entre arquivos. Com a adoção do suporte multicore nativo do OCaml 5.0, a equipe refatorou o processo para realizar a análise apenas uma vez. Um profiler personalizado de OCaml confirmou ganhos de desempenho de até 75%, tornando a detecção de vulnerabilidades via taint tracking mais ágil e escalável para equipes de segurança.

A partir de 31 de agosto, a Estônia passará a colocar automaticamente em quarentena todas as mensagens recebidas do domínio de topo .ru destinadas a servidores públicos. Os destinatários serão alertados para abrir os e-mails apenas com precauções adicionais, medida adotada diante do aumento acentuado de ataques de phishing e malware originados de servidores russos desde 2022, segundo autoridades estonianas.

A JetBrains identificou e retirou 15 plugins de terceiros comprometidos do seu Marketplace, todos com funcionalidades relacionadas a IA. A ação ocorreu após análise forense que revelou comportamentos maliciosos, como coleta não autorizada de dados e comunicação com servidores externos. Sete contas de editores foram banidas permanentemente. A empresa reforçou que os plugins não faziam parte de sua cadeia de desenvolvimento oficial e destacou melhorias nas políticas de revisão e assinatura de código para evitar novos incidentes.

A Mackay Sugar, produtora australiana com operações em Queensland, interrompeu grande parte de sua moagem de cana-de-açúcar após um ataque cibernético comprometer sistemas críticos de gerenciamento de colheita, logística e operação de usinas. A falha afetou diretamente a cadeia produtiva agrícola e industrial, evidenciando riscos crescentes de ciberataques a infraestruturas críticas do setor agroindustrial. Não houve confirmação oficial de grupo responsável nem detalhes sobre o vetor de exploração.