nulltropic

NULLTROPIC

Checkmarx Jenkins plugin comprometido com backdoor

O SANS NewsBites Vol. 28, Num. 36, datado de 12 de maio de 2026, entrega um panorama denso de eventos críticos que orbitam supply chain, escalação de privilégios em kernel Linux, compliance regulatório e falhas operacionais em resposta a incidentes. Abaixo, a decomposição técnica dos principais headlines e as lições operacionais que eles impõem para equipes de defesa.

Checkmarx Jenkins AST Plugin Compromised — A Cadeia de Suprimentos Não Dá Trégua

Em 9 de maio de 2026, a Checkmarx emitiu um alerta sobre uma versão “modificada” do plugin Jenkins Application Security Testing (AST) Scanner publicada no Jenkins Marketplace. Trata-se do mais recente episódio em uma série de comprometimentos na cadeia de suprimentos da Checkmarx que remontam a março, afetando GitHub Actions e extensões OpenVSX — ataques secundários relacionados às breaches na cadeia da Trivy, iniciadas em fevereiro.

O plugin comprometido é a versão 2026.5.09. A Checkmarx orienta o rollback imediato para a versão 2.0.13-829.vc72453fa_1c16 (publicada em 17 de dezembro de 2025) ou anteriores. O SOCRadar identificou que qualquer instância Jenkins que puxou essa versão durante a janela de exposição instalou um plugin backdoorado. A recomendação inclui: rotacionar todos os secrets acessíveis pelos runners Jenkins afetados, buscar IoCs incluindo artefatos mencionados no advisory da Checkmarx e nomes de repositórios com temática “Dune”, revisar logs de build do Jenkins e travar plugins em versões conhecidas como seguras.

“If you’re using the Checkmarx Jenkins AST plugin, check the versioning carefully. This appears to be another TeamPCP attack, so you need to check your GitHub repos for any Dune and tpcp themed repository names, rotate tokens and secrets, and check for IoCs.” — Lee Neely, SANS

Murray reforça um ponto estrutural: a indústria precisa responsabilizar fornecedores de software por danos consequenciais quando estes distribuem código malicioso (e não apenas defeituoso). A tolerância a código que não é apto para o mercado permanece inaceitavelmente alta.

Dirty Frag — Segundo LPE no Linux em Duas Semanas

Um novo exploit de escalação de privilégios local (LPE) para o kernel Linux foi divulgado publicamente. Batizado de “Dirty Frag”, em comparação ao recente “Copy Fail”, o exploit é determinístico e encadeia duas vulnerabilidades de escrita no page cache: uma condição “write-what-where” no componente esp/xfrm (CVE-2026-43284, CVSS 8.8) e uma “out-of-bounds write” no componente rxrpc (CVE-2026-43500, CVSS 7.8). Juntas, permitem que um atacante eleve privilégios para root alterando arquivos protegidos do sistema.

A Microsoft observou sinais de possível exploração ativa em ambientes reais. Ambientes afetados incluem Ubuntu, RHEL, CentOS Stream, AlmaLinux, Fedora, openSUSE e OpenShift. Embora os mantenedores do kernel tenham liberado correções para ambas as falhas, apenas um punhado de distribuições publicou patches até o momento da escrita. Ambos os exploits — Dirty Frag e Copy Fail — foram divulgados com PoC antes dos patches das distribuições estarem disponíveis.

A Wiz recomenda desabilitar temporariamente os módulos vulneráveis (esp6, esp4 e rxrpc), avaliar o impacto operacional e aplicar patches assim que disponíveis, endurecer caminhos de acesso local e monitorar atividade suspeita. Neely complementa: revisar o hardening de contêineres e o monitoramento de escalação de privilégios, restringir shell access desnecessário, e ficar atento a atualizações de todas as distribuições Linux no ambiente.

Apple Releases macOS, iOS e iPadOS 26.5 — Backport do Fix de Notificações Recuperáveis

A Apple liberou atualizações abrangendo mais de 50 falhas de segurança. Em 11 de maio, lançou a versão 26.5 de macOS, iOS, iPadOS, visionOS, tvOS, watchOS e HomePod, além de atualizações para iOS e iPadOS 18, 15.8.8, 16.7.16 e 17.7.11. Estas incluem o backport da correção para a falha de recuperação de notificações deletadas (CVE-2026-28950). A versão 26.5 também adiciona suporte para mensagens RCS criptografadas, atualmente em beta e dependente de operadora compatível.

Ullrich destaca que o padrão RCS visa substituir eventualmente o SMS, e ambos os usuários precisam de software compatível com criptografia de ponta-a-ponta — suportado pelo Google Messages no Android e agora pelo iOS 26.5. Neely reforça que, com a fragmentação de versões, a abordagem mais simples é implantar a versão 26.5 em hardware compatível e usar as atualizações de sistemas legados como medida preventiva onde a atualização total não for possível.

Canvas (Instructure) — Lições de Comunicação em Incidentes com Ransomware

Em 7 de maio, atacantes defacearam a página de login do Canvas, plataforma de tecnologia educacional que atende 275 milhões de usuários em cerca de 9.000 instituições, exigindo resgate. A Instructure, empresa-mãe, derrubou a plataforma em resposta. O CEO Steve Daly emitiu um pedido público de desculpas pela forma como as informações foram comunicadas. A Instructure pagou aos extorsionistas (provavelmente ShinyHunters) pelo retorno e destruição da cópia dos dados. Neely observa que este é um tópico que deve ser debatido exaustivamente antes de se encontrar em uma situação de extorsão com dados exfiltrados.

South Staffordshire Water — ICO Aplica Multa de £963.900 por Segurança Insuficiente

O Information Commissioner’s Office (ICO) do Reino Unido multou a South Staffordshire Plc e South Staffordshire Water Plc em £963.900 (US$1,3 milhão) por falhas na implementação de proteções de segurança adequadas, após um ataque de ransomware descoberto em 2022 que expôs dados de mais de 660.000 pessoas. A investigação revelou que os invasores obtiveram acesso inicial em 2020. Entre as falhas encontradas: controles limitados que permitiram escalação de privilégios para admin; monitoramento inadequado (apenas 5% do ambiente de TI era monitorado); software sem suporte, incluindo Windows Server 2003; e pobre gerenciamento de vulnerabilidades.

A multa foi reduzida em 40% devido às ações de remediação e admissão de culpa. Neely: “tradução: quando você está em desacordo com o regulador, reconheça o problema e foque em remediação, melhoria e suporte aos impactados.”

Crimenetwork Takedown — A Persistência da Aplicação da Lei

Autoridades alemãs derrubaram o relançamento do marketplace Crimenetwork e prenderam seu operador em Maiorca. O marketplace havia sido retomado em nova infraestrutura dias após a derrubada da versão anterior e a prisão de seu administrador em dezembro de 2024. A operação foi liderada pela ZIT (Central Office for Combating Internet Crime) e BKA (Federal Criminal Police Office), com apoio da polícia espanhola. Foram apreendidos aproximadamente €194.000 em ativos ilícitos, além de dados de usuários e transações.

Neely observa que ZIT e BKA estão enviando uma mensagem clara: operações criminosas reformadas também serão derrubadas, usando relacionamentos internacionais para prender novos operadores.

Ex-Contratado Federal Culpado por Deletar 96 Bancos de Dados Governamentais

Um júri federal na Virgínia condenou Sohaib Akhter, ex-contratado federal, por conspiração para cometer fraude computacional e tráfico de senhas. Ele e seu irmão gêmeo, Muneeb Akhter, trabalhavam para uma empresa que prestava serviços de software para mais de 45 agências governamentais dos EUA. Horas após serem demitidos — após a empresa descobrir que Sohaib tinha uma condenação criminal prévia de 2015 — os dois acessaram sistemas sem autorização, protegeram bancos de dados contra escrita e os deletaram, totalizando 96 bancos com informações governamentais. Sohaib pode pegar até 21 anos de prisão.

Neely destaca a lição dupla: ao contratar sob condições, avalie cuidadosamente os riscos de permitir acesso antes da conclusão da investigação de antecedentes; e ao desligar funcionários — por qualquer motivo — revogue todo o acesso, físico e lógico, o mais rápido possível. Segundo Murray, décadas depois, ainda falhamos em deletar privilégios de funcionários desligados.

Lições Operacionais da Semana

  • Supply Chain CI/CD: Verifique versões de plugins Jenkins. Congele versões conhecidas como seguras. Monitore repositórios GitHub para nomes “Dune” e “tpcp”. Rotacione secrets acessíveis por runners Jenkins.
  • Kernel Linux: Desabilite os módulos esp6, esp4 e rxrpc até que o patch da sua distribuição esteja disponível. Monitore ativamente escalações de privilégio e restrinja shell access.
  • Atualizações Apple: Implante versão 26.5 em hardware compatível. Use backports para sistemas legados. A criptografia RCS é um passo importante na evolução do padrão de mensagens, mas ainda dependente de operadora.
  • Incident Response Playbook: O caso Instructure é um estudo de caso em como não comunicar — e como se redimir. Tenha um plano de comunicação de crise preparado e ensaiado.
  • Compliance Regulatório: A multa da South Staffordshire Water demonstra que reguladores estão dispostos a aplicar sanções financeiras significativas para operadores críticos com segurança insuficiente. Invista em visibilidade, patch management e hardening de infraestrutura legada.
  • Offboarding: Revogue acesso assim que o funcionário for desligado. Sem exceções. Tenha backups controlados e auditados de dados e serviços terceirizados.

Análise baseada no SANS NewsBites Vol. 28, Num. 36 (12/05/2026). Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.

N00-AI

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *