CEVIU News - CEVIU Segurança da Informação - 23 de junho de 2026

Atacantes invadiram o fornecedor não identificado que opera o sistema de licenças de caça e pesca do Texas Parks and Wildlife, expondo números de carteira de motorista, números de passaporte e dados de contato de cerca de 3,09 milhões de pessoas. O conjunto de dados está sendo vendido por um threat actor ligado a uma violação semelhante na Virginia Wildlife, o que sugere que plataformas SaaS compartilhadas estão sendo sondadas.

Um grupo que se identifica como FulcrumSec afirma ter obtido acesso inicial em março por meio de um único GitHub personal access token, que permitiu clonar repositórios internos. Segundo o relato, houve cerca de dois meses de permanência sem detecção antes da exfiltração de mais de 700.000 arquivos, ou cerca de 1,3 TB. A Novo Nordisk confirmou uma intrusão limitada em 11 de junho e, segundo os relatos, recusou uma exigência de extorsão de US$ 25 milhões que teria levado ao vazamento de 264 GB, supostamente com código-fonte, registros de testes clínicos de cerca de 11.500 pacientes e a fórmula do Ozempic. O sinal detectável aqui foi um token clonando discretamente centenas de repositórios ao longo de semanas, além de grandes fluxos de saída de dados, e nenhum dos dois gerou alerta. Isso se encaixa mais em falhas de credencial do OWASP A07 do que em uma técnica inédita. Para defesa, o texto recomenda tratar PATs, deploy keys e tokens de CI como credenciais bearer, com expiração curta, escopos restritos, allowlists de IP e contas protegidas por SSO, além de criar alertas para padrões anormais de bulk-clone e transferência de saída, e rodar secret scanning nos próprios repositórios antes que um token roubado vire uma master key.

A Paradigm Shift publicou o “usbliter8”, um exploit de BootROM contra os chips A12 e A13 da Apple que explora um bug no controlador USB. Ao enviar uma sequência de pacotes incomumente pequenos durante a inicialização, o ataque faz um ponteiro interno de hardware caminhar para trás pela memória, o que permite escritas fora dos limites. Como a falha está na mask ROM, ela não pode ser corrigida, deixando vulneráveis para sempre os iPhone XS até o iPhone 11. O A11 escapa porque seu driver USB redefine o ponteiro a cada pacote, e o A14 e os modelos posteriores configuram a proteção de memória corretamente no boot. No caso do A13, a exploração exigiu um bypass longo e em várias etapas dos Pointer Authentication Codes (PAC). Depois de executado, o exploit instala um manipulador que sobrevive a reinicializações, pode rebaixar configurações de segurança e iniciar código não assinado, injeta a string “PWND” no serial USB e, embora não atinja diretamente o Secure Enclave, amplia as vias para atacá-lo.

Uma grande campanha de roubo de credenciais chamada FortiBleed expôs mais de 86 mil logins válidos de firewalls Fortinet e VPNs expostos à internet, em 194 países, afetando milhares de organizações, incluindo órgãos públicos e entidades de infraestrutura crítica. Os invasores interceptaram a autenticação do SSL VPN, quebraram hashes de senha com um cluster de 45 GPUs e avançaram para ambientes internos de Active Directory depois de cerca de 1,16 bilhão de tentativas de credenciais contra 320 mil alvos FortiGate e de bilhões de tentativas adicionais em servidores MSSQL.

GitHub adicionou raciocínio com LLM consciente de contexto à etapa de verificação do seu pipeline de secret scanning, em trabalho conjunto com a equipe de Microsoft Security & AI's Agents Offense e com a abordagem do Agentic Secret Finder, para reduzir o ruído de segredos genéricos detectados por IA. Em vez de enviar arquivos inteiros ao modelo, o sistema extrai contexto de uso de maior sinal, como casos em que um valor flui para uma requisição de API, um cabeçalho de autenticação, um cliente de banco de dados ou uma chamada de cloud SDK, o que ajuda a separar exposições reais de placeholders, dados de teste e UUIDs aleatórios com baixa latência. Avaliado contra centenas de falsos positivos confirmados por clientes, o método chegou a uma redução de 75,76%, acima da meta de 65%, sem alterar a lógica de detecção upstream nem a cobertura, elevando a precisão dos alertas sem exigir retuning da detecção.

FortiBleed é uma campanha em larga escala de password spraying e roubo de credenciais que mira serviços Fortinet, Sophos e MSSQL expostos na internet. A cadeia usada pelo ataque combina spraying em múltiplas etapas, escalada de privilégios, extração de configurações com credenciais armazenadas e cracking offline, alimentando a próxima rodada. Um IAB no Exploit[.]in reivindica a operação e vende as credenciais coletadas em 16 de junho, mas a informação não foi validada. Defensores devem auditar logs de acesso remoto em busca de logins bem-sucedidos após eventos de muitas falhas, exigir MFA, adotar ZTNA com jump boxes para manter interfaces de gestão fora da internet pública, rotacionar credenciais padrão, desabilitar contas não usadas e corrigir falhas locais de escalada de privilégios.

VaultSort V4 torna a criptografia de arquivos no macOS vinculada ao hardware e adiciona o Touch ID como chave de primeira classe, passando a criptografia por impressão digital pela mesma trilha apoiada pelo Secure Enclave usada por uma YubiKey. Na cadeia do V4, uma wrap key por arquivo é derivada a partir da saída de uma PRF de hardware via HKDF-SHA-256, um arquivo aleatório de 256 bits é selado com AES-256-KWP e o corpo é criptografado com AES-256-GCM sob um header autenticado, o que corrige uma lacuna do V3 em que o toque da YubiKey era apenas uma barreira na camada de aplicação e o file key podia ser derivado offline do repositório local de credenciais do VaultSort. O Touch ID exige macOS 14 Sonoma ou posterior e, como se trata de uma divulgação do próprio fornecedor para um produto fechado de US$ 24,99, as garantias no nível de bytes dependem do Security Design Document gratuito do próprio VaultSort, e não de uma revisão independente.

Crypto Clipper é um worm que se espalha via USB usando arquivos .lnk e um cliente Tor embutido para rotear o tráfego por um proxy SOCKS5 local. Ele monitora a área de transferência em busca de endereços de carteira e seed phrases de 12 ou 24 palavras, exfiltra esses dados com capturas de tela pelo Tor e substitui endereços de criptomoedas copiados por outros controlados pelo atacante. Produtos de defesa identificam a ameaça por interpretadores de script suspeitos, uso do proxy localhost:9050, comandos de captura de tela e comportamento de substituição de área de transferência ou de endereços.

Em ambientes de cloud, atacantes costumam mirar serviços de logging para reduzir a visibilidade dos defensores e estabelecer monitoramento passivo. Para isso, podem tornar o logging ineficaz ao desativá-lo, apagar o router ou o destino, criptografar os logs com chaves controladas pelo atacante ou envenenar os registros modificando diretamente seu conteúdo. Também podem criar um destino adicional de logs ou redirecioná-los para uma conta controlada pelo atacante.

O Linux 7.2 remove a API strncpy(), conhecida por ser propensa a bugs, depois de cerca de 362 commits ao longo de seis anos. Com isso, o código do kernel passa a ser direcionado para strscpy(), strscpy_pad(), strtomem_pad(), memcpy_and_pad() ou memcpy(), conforme a necessidade de terminação NUL e de preenchimento.

Um tutorial claro e detalhado sobre como usar o Nginx como reverse proxy, com exemplos incluídos.