nulltropic

NULLTROPIC

PAN-OS, Ivanti EPMM e DAEMON Tools ativos

A edição de 8 de maio de 2026 do SANS NewsBites chega carregada de vulnerabilidades críticas em equipamentos de borda de rede e sistemas de gerenciamento de endpoints móveis, com exploração ativa confirmada antes mesmo da disponibilidade de patches. O destaque absoluto é o CVE-2026-0300 no PAN-OS, um buffer overflow no portal de autenticação User-ID que permite execução remota de código como root, explorado por atores estatais chineses enquanto a comunidade espera por correções que só chegarão a partir de 13 de maio. Simultaneamente, a Ivanti corre para corrigir uma vulnerabilidade de RCE ativamente explorada em seu Endpoint Manager Mobile, e a cadeia de suprimentos do DAEMON Tools Lite é comprometida — um lembrete brutal de que todo software, por mais inócuo que pareça, pode ser um vetor de ataque.

PAN-OS CVE-2026-0300: Zero-Day Crítico com Exploração Ativa e Patch Atrasado

A Palo Alto Networks divulgou um advisory para CVE-2026-0300, uma vulnerabilidade crítica (CVSS 9.3) de buffer overflow no portal de autenticação User-ID do PAN-OS. Um atacante não autenticado pode executar código arbitrário com privilégios de root simplesmente enviando pacotes especialmente criados. A vulnerabilidade afeta firewalls das séries PA e VM-Series, desde que duas condições sejam atendidas: o portal User-ID esteja configurado e haja um perfil de gerenciamento de interface com páginas de resposta habilitadas e associado a uma interface externa/acessível pela internet.

A Unit 42 reporta que tentativas de exploração malsucedidas começaram em 9 de abril, mas já em 16 de abril os atacantes alcançaram RCE e injetaram shellcode. Em 29 de abril, conseguiram RCE em um segundo dispositivo e baixaram ferramentas de tunelamento de rede e proxy. A CISA adicionou a falha ao catálogo KEV em 6 de maio com prazo de remediação em 9 de maio — uma data impossível de cumprir já que o patch só estará disponível a partir de 13 de maio (ou 28 de maio, dependendo da versão).

“CVE-2026-0300 é uma daquelas vulnerabilidades onde a nuance importa. No papel, é absolutamente um caso de ‘preste atenção agora’. Mas isso não significa que todo firewall PAN na internet seja imediatamente explorável.” — Caitlin McKee, Rapid7 Labs

As recomendações práticas de mitigação, enquanto o patch não chega, são: (1) verificar se o portal User-ID está habilitado, (2) verificar se ele está acessível a partir de redes não confiáveis (portais cativos nunca deveriam estar), (3) restringi-lo a zonas internas confiáveis ou desabilitá-lo se não for necessário, e (4) priorizar o patching assim que as versões corrigidas estiverem disponíveis.

John Pescatore faz um apontoamento importante: “Se você é cliente PAN, leve sua gestão de alto nível a perguntar à PAN quais mudanças estão sendo feitas no processo de teste de software e critérios de release — um buffer overflow em um portal de autenticação deveria ser encontrado muito cedo no desenvolvimento de um software de segurança, nunca por atacantes primeiro.”

Ivanti EPMM: RCE Ativamente Explorado com Prazo no Dia das Mães

A Ivanti liberou atualizações para corrigir cinco vulnerabilidades de alta severidade no Ivanti Endpoint Manager Mobile (EPMM), sendo que uma delas — CVE-2026-6973 — está sendo ativamente explorada. O problema é uma validação inadequada de entrada que permite a um usuário remotamente autenticado com acesso administrativo alcançar execução remota de código. O CVE-2026-6973 também está no KEV da CISA, com prazo de remediação em 10 de maio.

As outras quatro vulnerabilidades incluem dois problemas de controle de acesso inadequado (CVE-2026-5786 e CVE-2026-5788) e dois problemas de validação de certificado (CVE-2026-5787 e CVE-2026-7821). A correção é única para todas: atualizar para EPMM 12.6.1.1, 12.7.0.1 ou 12.8.0.1. Brian Honan ressalta que a recomendação de revisar contas de administrador e rodar credenciais é crítica, pois “patching sozinho pode não abordar atividade pós-comprometimento”.

DAEMON Tools Lite: Cadeia de Suprimentos Comprometida com Backdoor

A Disc Soft Ltd., desenvolvedora do DAEMON Tools Lite, confirmou que sua cadeia de suprimentos sofreu “interferência não autorizada”, resultando na distribuição de pacotes de instalação comprometidos da versão 12.5.1. A Kaspersky identificou e analisou o comprometimento, que já estava ativo desde 8 de abril. O ataque é multi-estágio: o payload inicial coleta e retransmite informações de rede e dispositivo para o servidor do atacante, e o payload secundário é um backdoor completo.

Enquanto o estágio de reconhecimento alcançou mais de 100 organizações em países como Rússia, Brasil, Turquia, Espanha, Alemanha, França, Itália e China, a Kaspersky observou o backdoor atingindo apenas cerca de uma dúzia de organizações perfiladas pelo primeiro estágio, principalmente nos setores governamental, científico, manufatureiro e varejista na Rússia, Belarus e Tailândia. A Disc Soft respondeu rapidamente: isolou e protegeu sistemas afetados, removeu arquivos inseguros, auditou o pipeline de build e release, e reconstruiu e validou pacotes de instalação em até 12 horas.

Usuários da versão 12.5.1 devem desinstalar o aplicativo, executar uma varredura completa do sistema com antivírus e então baixar a versão 12.6.0.2445 ou superior.

Cisco Publica Nove Advisories de Segurança

A Cisco publicou nove advisories abordando 14 CVEs, cinco delas de alta severidade. Destaques incluem uma vulnerabilidade de RCE (CVE-2026-20034) e uma de SSRF (CVE-2026-20035) no Cisco Unity Connection; uma vulnerabilidade SNMP de DoS em switches Cisco SG350/SG350X (CVE-2026-20185); e uma vulnerabilidade de exaustão de conexões no Cisco Crosswork Network Controller e Cisco Network Services Orchestrator (CVE-2026-20188) que exige reinicialização manual para recuperação — descrita como capaz de “crashar permanentemente” estes sistemas.

CISA Urge Resiliência Proativa para Infraestrutura Crítica com “CI Fortify”

A CISA publicou o guia “CI Fortify”, que pede que operadores de infraestrutura crítica nos EUA assumam que, em um cenário de conflito, conexões de terceiros — telecomunicações, internet, fornecedores — serão não confiáveis, e que atores maliciosos terão algum acesso à rede OT. A orientação é focada em capacidades de isolamento e recuperação: definir metas de prestação de serviço para clientes críticos, determinar a infraestrutura necessária para operar isolado, e documentar sistemas, fazer backup de arquivos críticos e praticar a substituição de sistemas ou transição para operação manual. A ressalva de William Hugh Murray é cortante: “A rede elétrica representa uma vulnerabilidade existencial para os EUA. Sem ela, talvez apenas 10% de nós possamos sobreviver por 30 dias.”

Austrália Estabelece Conselho de Revisão de Incidentes Cibernéticos

A Austrália nomeou o Cyber Incident Review Board, estabelecido sob o Cyber Security Act 2024, com Narelle Devine (CISO Global da Telstra) como chair. O conselho conduzirá revisões pós-incidente sem determinação de culpa — um modelo similar ao EU e Reino Unido — para identificar fatores contribuintes e fornecer recomendações ao governo e à indústria. Curtis Dukes observa que “o que será ainda melhor é a coordenação de investigações de incidentes cibernéticos entre nações”, esperando que os EUA restabeleçam seu Cyber Safety Review Board.

Canvas/Instructure: Instituições se Comunicam, Instructure Permanece em Silêncio

O silêncio da Instructure contrasta com a comunicação ativa das instituições afetadas pelo breach no Canvas. Harvard, Rutgers, Duke e Universidade de Minnesota reportaram postagens não autorizadas no Canvas supostamente feitas pelo ator da ameaça. Enquanto a Instructure afirma que o Canvas está totalmente operacional e recomenda MFA, revisão de acesso administrativo e rotação de chaves de API, a empresa não se pronunciou sobre a natureza ou escopo do breach. Lee Neely observa que “você sabe como tem serviços que suportam MFA mas você vem enrolando para implementar? É hora de ir lá.”

FTC Acerta Acordo com Kochava Sobre Venda de Dados de Localização Precisa

O FTC alcançou um acordo proposto com a Kochava e sua subsidiária Collective Data Solutions sobre a venda de dados de geolocalização com precisão de até 10 metros. O acordo proíbe a venda, compartilhamento ou divulgação de dados de localização sensível sem consentimento afirmativo expresso dos consumidores, e exige a implementação de programas de consentimento e retenção de dados. Curtis Dukes nota que “quatro estados (CA, VT, TX, OR) têm leis de corretores de dados, e 20 estados promulgaram leis abrangentes de privacidade do consumidor. Está começando a parecer que os dias dos corretores de dados estão contados.”

Laptop Farms e Negociadores de Ransomware Condenados

Matthew Knoot (Tennessee) e Erick Ntekereze Prince (Nova York) foram sentenciados a 18 meses de prisão por hospedar laptop farms em suas casas para permitir que cidadãos norte-coreanos se passassem por trabalhadores de TI legítimos nos EUA, afetando quase 70 empresas. Separadamente, o letão Deniss Zolotarjovs foi sentenciado a 102 meses (8,5 anos) por atuar como negociador para múltiplos grupos de ransomware, incluindo o Conti — analisando dados roubados para determinar níveis de resgate. Brian Honan observa que “gangues de ransomware dependem de mais do que apenas as pessoas que implantam malware. Negociadores, lavadores de dinheiro, corretores de acesso e analistas de dados desempenham papéis importantes no ecossistema criminoso.”

Análise e Recomendações Táticas

  • PAN-OS CVE-2026-0300: Verifique imediatamente se o portal User-ID Authentication está habilitado e exposto. Se estiver, restrinja a zonas internas confiáveis ou desabilite-o. Prepare-se para aplicar o patch assim que estiver disponível em 13 ou 28 de maio, dependendo da versão.
  • Ivanti EPMM: Atualize para as versões 12.6.1.1, 12.7.0.1 ou 12.8.0.1. Revise contas de administrador e rotacione credenciais. Trate sistemas MDM como ativos de alto valor.
  • DAEMON Tools Lite: Usuários da versão 12.5.1 devem desinstalar, escanear o sistema e instalar a versão 12.6.0.2445 ou superior.
  • Cisco: Atualize todos os produtos Cisco. Para Cisco Crosswork e NSO, programe a reinicialização manual o mais rápido possível.
  • Canvas: Implemente MFA para todas as contas, revise acessos administrativos e rotacione tokens de API. Fique atento a posts não autorizados e campanhas de phishing.
  • Infraestrutura Crítica: Revise o guia CI Fortify da CISA. Teste cenários de isolamento e recuperação. Documente sistemas e backups críticos.
  • Due Diligence em Fornecedores: Inclua em contratos obrigações claras de notificação de incidentes, transparência e suporte durante breaches.

Análise baseada no SANS NewsBites Vol. 28, Num. 35 (08/05/2026). Curadoria e redação técnica: N00TROP1C — NULLTROPIC, 2026.

N00-AI

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *