nulltropic

NULLTROPIC

Análise de vulnerabilidades críticas e campanhas de malware

A edição de 26 de março de 2026 do @RISK®: The Consensus Security Vulnerability Alert destaca um cenário de ameaças diversificado e de alta gravidade, com dezenas de CVEs críticos em produtos amplamente utilizados, campanhas de malware em evolução e vulnerabilidades em componentes fundamentais de infraestrutura. A lista semanal, compilada pelo SANS Internet Storm Center, serve como um alerta contundente sobre a necessidade de priorização baseada em risco real e exploração ativa.

Campanhas de Malware e Técnicas de Evasão

O Internet Storm Center detalhou a campanha SmartApeSG, que utiliza a técnica ClickFix através de páginas falsas de CAPTCHA para distribuir uma cadeia de malware progressiva. Após a infecção inicial com Remcos RAT, a campanha implantou NetSupport RAT, StealC e Sectop RAT (ArecheClient2) em intervalos escalonados, demonstrando uma abordagem paciente para evadir detecção. Paralelamente, foi documentado um backdoor GSocket entregue via script Bash, que utiliza a infraestrutura de rede global GSocket para estabelecer comunicações peer-to-peer, contornando controles de segurança tradicionais baseados em IP e portas. O script implementa técnicas de persistência e anti-forense, incluindo a criação de serviços systemd e a limpeza de logs.

Vulnerabilidades Críticas em Software Corporativo e de Infraestrutura

A lista de CVEs revela falhas graves em componentes centrais. Destaques de gravidade máxima (CVSS 9.8-10.0) incluem:

  • Oracle Identity Manager & Web Services Manager (CVE-2026-21992, CVSS 9.8): Vulnerabilidade de fácil exploração que pode levar à tomada completa do sistema.
  • gRPC-Go (CVE-2026-33186, CVSS 9.1): Bypass de autorização devido à validação inadequada do cabeçalho pseudo HTTP/2 :path.
  • Wazuh (CVE-2026-25769, CVE-2026-25770, CVSS 9.1): Par de vulnerabilidades de Execução Remota de Código (RCE) e escalonamento de privilégio que permitem a um nó worker comprometido obter RCE com privilégios root no nó mestre.
  • UniFi Network Application (CVE-2026-22557, CVSS 10.0): Path Traversal que concede acesso não autorizado a arquivos do sistema e a uma conta subjacente.
  • Step CA (CVE-2026-30836, CVSS 10.0): Falha que permite a emissão não autenticada de certificados através do protocolo SCEP UpdateReq.
  • WAGO Managed Switches (CVE-2026-3587, CVSS 10.0): Vulnerabilidade no prompt CLI que permite a um atacante remoto não autenticado obter acesso root e comprometer totalmente o dispositivo.

Outros produtos críticos afetados incluem Spinnaker Clouddriver, OpenEMR, ScreenConnect, Spring Security, e múltiplas ferramentas de IA/ML como Langflow, MLflow e OmniGen2-RL, esta última vulnerável a RCE via desserialização insegura de pickle.

Ameaças a Dispositivos de Hardware e IoT

O boletim chama a atenção para riscos em dispositivos físicos. Além dos switches WAGO, foram listadas vulnerabilidades em:

  • IP KVMs (CVE-2026-32298): O KVM Angeet ES3 é suscetível a injeção de código. O ISC também publicou técnicas para detectar KVMs IP “rogue” conectados via USB/HDMI a sistemas.
  • Extensor WiFi WDR201A (CVE-2026-30701 a 30704): Múltiplas falhas com pontuações entre 9.1 e 9.8.
  • Small Cell Sercomm SCE4255W (CVE-2025-67112 a 67114): Chave criptográfica hard-coded, injeção de código e credenciais fracas.
  • Tenda A15 (CVE-2026-4567): Buffer overflow remoto baseado em pilha na função UploadCfg, com exploit público disponível.

Plugins WordPress e Aplicações Web em Risco

Vários plugins WordPress populares apresentam falhas críticas de RCE e bypass de autenticação:

  • KiviCare EHR (CVE-2026-2991, CVSS 9.8): Bypass de autenticação que expõe informações sensíveis de pacientes (PII/PHI).
  • Woocommerce Custom Product Addons Pro (CVE-2026-4001, CVSS 9.8): Execução Remota de Código em todas as versões até 5.4.1.
  • Kali Forms (CVE-2026-3584, CVSS 9.8): RCE através da função ‘form_process’.
  • Aimogen Pro (CVE-2026-4038, CVSS 9.8): Chamada arbitrária de função que concede acesso administrativo.
  • WP DSGVO Tools (GDPR) (CVE-2026-4283, CVSS 9.1): Permite a destruição não autenticada de contas, ignorando a confirmação por e-mail.

Outras aplicações web críticas incluem File Browser (registro não autenticado como admin), ApostropheCMS (Zip Slip), FreeScout (XSS armazenado) e múltiplas falhas no sistema de gerenciamento de conhecimento SiYuan e na plataforma de vídeo WWBN AVideo.

Vulnerabilidades em Serviços de Nuvem da Microsoft

A Microsoft divulgou correções para várias falhas de alta gravidade em seus serviços, classificadas como “NO CUSTOMER ACTION REQUIRED” devido à correção no lado do serviço:

  • Microsoft 365 Copilot (CVE-2026-26137, CVSS 9.9): Vulnerabilidade de elevação de privilégio no BizChat.
  • Azure Cloud Shell (CVE-2026-32169, CVSS 10.0): Elevação de privilégio.
  • Microsoft Bing Images (CVE-2026-32191, CVE-2026-32194, CVSS 9.8): Múltiplas vulnerabilidades de Execução Remota de Código.

“SmartApeSG is one of many campaigns that use the ClickFix technique… Not all of the follow-up malware appears shortly after the initial Remcos RAT malware.”

Conclusão e Recomendações de Priorização

O volume e a gravidade das vulnerabilidades listadas na semana de 26 de março de 2026 reforçam a necessidade de uma estratégia de gestão de riscos baseada em contexto. As equipes de segurança devem priorizar imediatamente:

  • Patch de infraestrutura crítica: Correção urgente para firewalls (WAGO), sistemas de identidade (Oracle), ferramentas de monitoramento (Wazuh) e soluções de acesso remoto (ScreenConnect, IP KVMs).
  • Atualização de plugins WordPress: Verificação e atualização imediata dos plugins KiviCare, Woocommerce Addons, Kali Forms e Aimogen Pro, dada a facilidade de exploração e o risco direto.
  • Monitoramento de ameaças persistentes: Busca por indicadores das campanhas SmartApeSG e por scripts Bash maliciosos que implementem conectividade GSocket.
  • Inventário de dispositivos de rede: Identificação e avaliação de segurança de extensores WiFi, switches gerenciados e pequenas células, frequentemente negligenciados.

A lição central é clara: a superfície de ataque continua a se expandir para hardware, IA e serviços de nuvem gerenciados, exigindo que os programas de segurança evoluam além do patch tradicional de servidores e workstations para abranger um ecossistema tecnológico cada vez mais complexo e interconectado.

Análise baseada no @RISK®: The Consensus Security Vulnerability Alert, Vol. 26, Num. 12 (26/03/2026). Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.

N00-AI

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *