A edição de 10 de março de 2026 do SANS NewsBites destaca um cenário de ameaças cibernéticas marcado pela exploração persistente de vulnerabilidades antigas, incidentes de segurança em infraestruturas críticas e a evolução de esquemas de fraude. A análise técnica revela falhas sistêmicas no gerenciamento de patches e a crescente sofisticação dos atacantes.
Exploração Ativa de Vulnerabilidades Legadas em Dispositivos de IoT e OT
A CISA adicionou ao seu catálogo KEV (Known Exploited Vulnerabilities) duas falhas críticas com anos de existência, evidenciando a exploração ativa em ambientes de IoT e Operacional Technology (OT).
- CVE-2017-7921 (CVSS 10.0): Uma falha de nove anos em câmeras Hikvision que permite escalonamento de privilégios devido a autenticação inadequada. O SANS ISC observou ataques de força bruta visando essa vulnerabilidade, descrita de forma eufemística pela fabricante como “escalonamento de privilégios”, mas considerada uma backdoor pela comunidade.
- CVE-2021-22681 (CVSS 9.8): Uma falha de cinco anos em controladores Rockwell Automation Logix. Um atacante remoto não autenticado pode autenticar-se e potencialmente alterar a configuração ou código de aplicação, explorando uma chave protegida inadequadamente. A mitigação exige mais do que simples atualizações; é necessária a consulta a tabelas específicas de mitigação da fabricante.
Ambas as falhas devem ser remediadas por agências federais dos EUA até 26 de março de 2026. A persistência da exploração sublinha a falha crítica nos processos de gestão de patches para sistemas legados e de infraestrutura crítica.
Kit de Exploração “Coruna” e a Longevidade das Falhas da Apple
O Google Threat Intelligence Group (GTIG) analisou o kit de exploração “Coruna”, uma estrutura JavaScript abrangente usada em campanhas de vigilância. O kit, hospedado em sites de scam na China, continha cinco cadeias de exploração completas e 23 exploits no total, visando versões do iOS de 13.0 a 17.2.1.
Três vulnerabilidades da Apple encontradas no kit foram adicionadas ao KEV da CISA:
- CVE-2021-30952 (CVSS 8.8): Overflow de inteiro levando à execução de código arbitrário.
- CVE-2023-43000 (CVSS 8.8): Problema de use-after-free causando corrupção de memória.
- CVE-2023-41974 (CVSS 7.8): Use-after-free permitindo execução de código arbitrário com privilégios de kernel no iOS/iPadOS.
“Vulnerabilities that are 3-5 years old shouldn’t be a concern; they should have already been patched. If not, it speaks volumes about their patch management process and lack of a standard duty of care.” — Curtis Dukes, SANS NewsBites
Investigação do FBI em sua Própria Rede e o Vetor de Terceiros
O FBI está investigando atividade suspeita em sua “Digital Collection System Network”, usada para gerenciar interceptações legais e mandados de vigilância de inteligência estrangeira. O intruso aparentemente obteve acesso através de um Provedor de Serviços de Internet (ISP) que é um fornecedor da agência. O sistema contém informações sensíveis da aplicação da lei, incluindo dados de processos legais e informações pessoalmente identificáveis de investigados.
O incidente, ainda sob investigação, destaca a complexidade da segurança em redes de alta sensibilidade e o risco inerente na cadeia de suprimentos de terceiros, mesmo para as organizações mais vigilantes.
Ameaças Emergentes e Incidentes Notáveis
Worm JavaScript na Wikimedia: Durante uma revisão de segurança, a Wikimedia ativou acidentalmente um worm JavaScript “adormecido” que se propagou por arquivos common.js, modificando cerca de 3.996 páginas em 23 minutos. O incidente forçou a desativação temporária de todo o JavaScript de usuário, destacando os riscos do código executável fornecido pelo usuário em plataformas colaborativas.
Phishing de Permissões de Zoneamento: O IC3 do FBI alerta para um esquema de phishing onde criminosos se passam por funcionários municipais, solicitando pagamento por permissões de planejamento e zoneamento via transferência bancária, P2P ou criptomoeda. O esquema explora informações públicas e exige verificação proativa por canais oficiais.
Vazamentos em Cadeia de Suprimentos e IoT: A fabricante de carregadores de veículos elétricos ELECQ sofreu um ataque ransomware que comprometeu dados de clientes. Paralelamente, a Ericsson notificou um vazamento de dados de funcionários e clientes ocorrido através de um ataque a um de seus provedores de serviço em abril de 2025, demonstrando o impacto prolongado e em cascata de violações em terceiros.
Tendências Regulatórias e de Defesa
Responsabilidade em Phishing na UE: Um parecer do Advogado-Geral do Tribunal de Justiça da UE afirma que bancos não podem negar reembolsos imediatos para transações não autorizadas em casos de phishing, mesmo com possível negligência do cliente. A responsabilidade final, no entanto, pode ser determinada posteriormente em litígio.
Evolução da Orientação de Segurança OT da NIST: Principais fornecedores de segurança OT (Dragos, Claroty, Armis) forneceram feedback para a próxima revisão da NIST SP 800-82. As solicitações incluem orientações mais granulares e específicas por setor (ex: redes de carregamento de VE), ênfase na transparência de patches dos fornecedores em formatos legíveis por máquina, e a transformação de apêndices em recursos web dinâmicos.
Conclusão Técnica: A Persistência do Passado e a Complexidade do Presente
Esta edição do NewsBites reforça que a superfície de ataque moderna é uma amalgama de vulnerabilidades legadas não corrigidas, cadeias de suprimentos expandidas e vetores de ataque em evolução. A exploração ativa de falhas com 5 a 9 anos em câmeras e controladores industriais é um fracasso operacional gritante. Simultaneamente, kits de exploração sofisticados como o “Coruna” e brechas através de fornecedores de terceiros mostram que os atacantes estão explorando tanto falhas antigas quanto complexidades modernas.
A defesa eficaz requer: 1) Gestão agressiva de patches com foco absoluto em ativos críticos e listas KEV; 2) Rigorosa segurança da cadeia de suprimentos e gerenciamento de terceiros; 3) Defesas em camadas mesmo para código de usuário em ambientes colaborativos; e 4) Adoção de frameworks de segurança em evolução, como as diretrizes OT da NIST, adaptadas para setores emergentes.
Análise baseada no SANS NewsBites Vol. 28 Num. 18 (10/03/2026). Pesquisa e adaptação técnica: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário