nulltropic

NULLTROPIC

Alerta de vulnerabilidades críticas e ataques ativos

A edição de 19 de março de 2026 do @RISK®: The Consensus Security Vulnerability Alert, do SANS Internet Storm Center, destaca uma mistura preocupante de táticas de ataque em evolução e uma enxurrada de vulnerabilidades críticas. A newsletter documenta desde campanhas de phishing sofisticadas até falhas de segurança em sistemas de controle industrial e ferramentas de IA, reforçando a necessidade de uma postura de defesa em camadas e de priorização baseada em risco.

Phishing Moderno: Credenciais Exfiltradas via React e EmailJS

Um ataque de phishing analisado pelo ISC utilizou uma página web dinamicamente construída com a biblioteca JavaScript React para roubar credenciais. O diferencial foi o mecanismo de exfiltração: em vez de enviar os dados para um servidor controlado pelo atacante, a página utilizou o serviço legítimo EmailJS para transmitir as credenciais capturadas diretamente para a caixa de entrada do atacante. Essa técnica busca contornar filtros de segurança que bloqueiam comunicações para domínios maliciosos conhecidos, aproveitando a reputação de um serviço de e-mail legítimo.

Campanha SmartApeSG Persistente com Remcos RAT

A campanha SmartApeSG (também conhecida como ZPHP, HANEYMANEY) continua ativa, agora distribuindo predominantemente o Remcos RAT. O vetor de infecção permanece sendo páginas de ClickFix (falsas verificações CAPTCHA) injetadas em websites legítimos comprometidos. A persistência desta campanha, que antes distribuía o NetSupport Manager RAT, demonstra a adaptabilidade dos operadores e a eficácia contínua de técnicas de engenharia social baseadas em navegador.

Obfuscação de Ataques com Endereços IPv4 Mapeados em IPv6

Pesquisadores observaram atacantes utilizando endereços IPv4-mapeados-em-IPv6 (formato ::ffff:a.b.c.d) em varreduras automatizadas, possivelmente para ofuscar sua origem. Esses endereços, definidos no RFC 4038, são um mecanismo de transição para representar endereços IPv4 em pilhas de rede IPv6. A capacidade de uso depende da aplicação alvo, mas serve como um lembrete para que ferramentas de monitoramento e análise de logs interpretem e normalizem corretamente esses formatos para uma correlação eficaz de ameaças.

Vulnerabilidades Críticas em Destaque: RCE, Bypass de Autenticação e IA

A lista de CVEs da semana é extensa e severa, com múltiplas vulnerabilidades pontuadas com CVSS 9.0 ou superior. Destaques preocupantes incluem:

  • Google Chrome (CVE-2026-3909, CVE-2026-3910): Duas falhas de zero-day (Out of bounds write in Skia e Inappropriate implementation in V8) já adicionadas ao catálogo KEV da CISA, exigindo atualização imediata.
  • Microsoft Semantic Kernel (CVE-2026-26030): Vulnerabilidade crítica (CVSS 9.9) no Python SDK, especificamente na funcionalidade de filtro do InMemoryVectorStore.
  • Hitachi Vantara Pentaho (CVE-2025-11158): Falha que permite execução remota de código (RCE) via scripts Groovy em relatórios PRPT, afetando versões antigas (9.3.x, 8.3.x).
  • Sistemas de Controle Industrial/OT: Várias vulnerabilidades críticas em dispositivos de infraestrutura crítica, incluindo Siemens SIMATIC S7-1500 (XSS Armazenado), medidores de energia Janitza e Weidmueller (Injeção de Comando via Modbus), e controladores Honeywell IQ4x (configuração padrão sem autenticação).
  • Ferramentas de IA/ML: Além do Semantic Kernel, vulnerabilidades foram reportadas no SGLang (RCE não autenticado) e em plataformas que integram agentes de IA, ampliando a superfície de ataque.
  • Bypass de Autenticação Generalizado: Múltiplas falhas permitem contornar autenticação em produtos como AdGuard Home, HPE Aruba Networking AOS-CX, ScreenConnect e vários plugins WordPress (Tutor LMS Pro, Datalogics).

Vulnerabilidades em Sistemas Legados e de Nicho com Alto Impacto

A lista também revela a descoberta contínua de falhas graves em sistemas legados ou de nicho, muitas vezes com exploração pública disponível, incluindo:

  • Roteadores e dispositivos de rede de fornecedores como D-Link (DIR-816, DIR-513), Tenda (AC8), Wavlink e GL-iNet (comand injection).
  • Sistemas de gerenciamento e CMS como FileThingie (2.5.7), NetGain EM Plus (10.1.68), SAPIDO RB-1732, ZKTeco ZKTime.Net e ZKBioSecurity (com credenciais hard-coded).
  • Ferramentas de desenvolvimento e infraestrutura como FreeRDP (heap buffer overflow), GNU inetutils (out-of-bounds write), e várias bibliotecas (Perl Compress::Raw::Zlib, YAML::Syck).

“Attackers are increasingly leveraging legitimate services and modern web frameworks to enhance the credibility and bypass detection mechanisms of their phishing campaigns.”

Lições e Ações Imediatas para Defensores

Os destaques desta semana reforçam várias prioridades defensivas críticas:

  • Patch Imediato para Navegadores e KEVs: Priorize a aplicação de patches para vulnerabilidades listadas no catálogo KEV da CISA, especialmente as do Chrome.
  • Inventário e Hardening de Dispositivos de Rede/OT: Identifique e atualize roteadores, firewalls, switches e dispositivos OT/ICS, muitos dos quais possuem configurações inseguras por padrão ou falhas críticas não corrigidas.
  • Validação de Implementações de IA: Integre frameworks e ferramentas de IA (Semantic Kernel, SGLang, etc.) aos processos de gestão de vulnerabilidades e revisão de segurança.
  • Monitoramento para Técnicas de Evasão: Ajuste ferramentas de monitoramento de e-mail e web para detectar o uso anômalo de serviços legítimos (como EmailJS) e a obfuscação de endereços IP.
  • Revisão de Plugins e Componentes de Terceiros: Audit plugins de WordPress, bibliotecas e componentes de software de nicho em busca de vulnerabilidades de bypass de autenticação e RCE, comuns nesta lista.

O cenário continua sendo de volume e sofisticação. A defesa eficaz requer não apenas reagir aos patches, mas antecipar vetores de ataque que exploram a confiança em serviços legítimos, a complexidade de cadeias de suprimentos expandidas e a constante descoberta de falhas em infraestrutura crítica legada.

Análise baseada no @RISK®: The Consensus Security Vulnerability Alert, Vol. 26, Num. 11 do SANS Internet Storm Center (19/03/2026). Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.

N00-AI

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *