nulltropic

NULLTROPIC

Resumo de vulnerabilidades criticas da semana.

A edição de 14 de maio de 2026 do @RISK: The Consensus Security Vulnerability Alert, Vol. 26 Num. 19, compilada pelo SANS Internet Storm Center, chega carregada com tendências preocupantes: um Patch Tuesday robusto da Microsoft, múltiplas vulnerabilidades adicionadas ao catálogo KEV da CISA, e uma enxurrada de CVEs críticas que varrem desde IoT e appliances de rede até ferramentas de AI/ML e infraestrutura de identidade.

Microsoft May 2026 Patch Tuesday: 137 CVEs Corrigidos, Zero-Day Ausente

No último Patch Tuesday, a Microsoft corrigiu 137 vulnerabilidades distintas, além de 137 issues relacionadas ao Chromium no Microsoft Edge. Pela primeira vez em vários meses, não houve registro de vulnerabilidades já divulgadas publicamente ou sob exploração ativa no momento da publicação.

Entre os destaques técnicos estão duas vulnerabilidades que merecem atenção imediata de equipes de segurança:

  • CVE-2026-41103 — Elevação de privilégios no Microsoft SSO Plugin para Jira & Confluence. Com a crescente onda de ataques à cadeia de suprimentos, ferramentas de desenvolvimento e CI/CD como Jira e Confluence se tornaram alvos prioritários. Um plugin SSO vulnerável pode ser a porta de entrada para movimentação lateral em ambientes de desenvolvimento.
  • CVE-2026-41089 — Vulnerabilidade de remote code execution (RCE) preauthentication no serviço Netlogon. Um clássico que sempre será um alvo suculento para exploração automatizada, reminiscente do Zergex (CVE-2020-1472). Vale alguns tokens de IA para escrever um exploit funcional.

As usuais vulnerabilidades críticas no Microsoft Office e Word também foram corrigidas, exigindo atenção nas estações de trabalho.

KEV em Foco: Vulnerabilidades com Exploração Ativa Confirmada

O catálogo de Known Exploited Vulnerabilities (KEV) da CISA recebeu novas adições significativas nesta semana, confirmando exploração ativa no mundo real:

  • CVE-2026-31431 — Kernel Linux (crypto: algif_aead). Adicionado ao KEV em 01/05/2026. Uma vulnerabilidade na criptografia do kernel que foi resolvida revertendo para operação out-of-place.
  • CVE-2026-0300 (CVSS 9.8) — Palo Alto Networks PAN-OS. Buffer overflow no User-ID Authentication Portal que permite execução remota de código com privilégios root através de pacotes especialmente criados. Adicionado ao KEV em 06/05/2026. Crítico para qualquer organização que utilize firewalls Palo Alto.
  • CVE-2026-42208 — LiteLLM AI Gateway (versões 1.81.16 a 1.83.3). Vulnerabilidade de consulta a banco de dados sem autenticação, permitindo acesso não autorizado e modificação de dados. Adicionado ao KEV em 08/05/2026. Um alerta claro para equipes que gerenciam gateways de IA.
  • CVE-2026-41940 — cPanel WHM. Autenticação bypass em versões antigas, permitindo acesso não autorizado ao painel de controle. Adicionado ao KEV em 30/04/2026.
  • CVE-2026-6973 (CVSS 7.2) — Ivanti EPMM. Validação de entrada imprópria permitindo que um usuário autenticado com acesso administrativo alcance RCE. Adicionado ao KEV em 07/05/2026.

Vulnerabilidades mais antigas como CVE-2022-0847 (Dirty Pipe) e CVE-2016-5195 (Dirty COW) permanecem no KEV desde 2022, evidenciando a dificuldade de gestão de patches em sistemas legados.

Progress MOVEit Automation: Autenticação Bypass e Escalação de Privilégio

A Progress Software está novamente sob os holofotes com duas vulnerabilidades em seu produto MOVEit Automation:

  • CVE-2026-4670 (CVSS 9.8) — Autenticação bypass afetando versões anteriores a 2025.0.0.
  • CVE-2026-5174 (CVSS 7.7) — Escalação de privilégio devido a validação de entrada imprópria nas versões anteriores a 2025.1.5, 2025.0.9 e 2024.1.8.

Dado o histórico de exploração em massa do MOVEit Transfer em 2023, estas vulnerabilidades devem ser tratadas com a mais alta prioridade.

Apache em Alerta: Múltiplos Produtos com CVSS Crítico

A semana foi particularmente pesada para o ecossistema Apache, com vulnerabilidades críticas em diversos projetos:

  • CVE-2026-42778 / CVE-2026-42779 (CVSS 9.8) — Apache MINA: Desserialização de dados não confiáveis. Um clássico que permite RCE.
  • CVE-2026-43870 (CVSS 9.4) — Apache Thrift (Node.js web_server.js): Múltiplas vulnerabilidades.
  • CVE-2026-40682 (CVSS 9.1) — Apache OpenNLP: XXE via DictionaryEntryPersistor. Afeta versões antes de 2.5.9 e 3.0.0-M3.
  • CVE-2026-42027 (CVSS 9.8) — Apache OpenNLP: Instanciação arbitrária de classes via ExtensionLoader, permitindo execução de inicializadores estáticos.
  • CVE-2026-42809 / CVE-2026-42810 / CVE-2026-42811 (CVSS 9.9) — Apache Polaris: Múltiplas vulnerabilidades de credenciais e validação de localização em tabelas.
  • CVE-2026-42812 (CVSS 9.9) — Apache Iceberg: Escrita de metadados em localização escolhida pelo atacante.
  • CVE-2026-28780 (CVSS 9.8) — Apache HTTP Server: Heap buffer overflow em mod_proxy_ajp, permitindo RCE a partir de um servidor AJP malicioso.
  • CVE-2026-40010 (CVSS 9.1) — Apache Wicket: Session fixation em versões 8.0.0 a 10.8.0.

Infraestrutura de Rede e Edge sob Fogo Cerrado

Diversos appliances e software de rede foram alvo de CVEs críticas esta semana, reforçando a tendência de ataque a infraestrutura de borda:

  • CVE-2026-35051 / CVE-2026-39858 (CVSS 10.0) — Traefik: Vulnerabilidades de bypass de autenticação. Um proxy reverso com bypass de autenticação é um cenário de pesadelo para qualquer arquitetura de microserviços.
  • CVE-2026-42238 (CVSS 9.8) — Nginx UI (anterior a 2.3.8): Upload de backup malicioso permitindo OS command injection sem autenticação.
  • CVE-2025-71284 (CVSS 9.8) — Synway SMG Gateway Management Software: OS command injection no endpoint RADIUS, sem autenticação.
  • CVE-2026-4670 (CVSS 9.8) — Progress MOVEit Automation: Autenticação bypass.

AI/ML e Ferramentas de Automação: Superfície de Ataque em Expansão

A integração de modelos de IA e automação em pipelines de produção continua gerando novas superfícies de ataque:

  • CVE-2026-42208 — LiteLLM AI Gateway: Acesso não autorizado a banco de dados. KEV desde 08/05/2026.
  • CVE-2026-7482 (CVSS 9.1) — Ollama (anterior a 0.17.1): Heap out-of-bounds read no GGUF model loader, permitindo vazamento de dados sensíveis através de arquivos GGUF maliciosos.
  • CVE-2026-38431 (CVSS 9.8) — ERPNext (v15.103.1 e anteriores): Server-Side Template Injection (SSTI) permitindo execução de código no servidor através de templates de e-mail.
  • CVE-2026-42233 (CVSS 9.8) — n8n (plataforma de automação de workflows): SQL Injection no node Oracle Database.
  • CVE-2026-42235 (CVSS 9.6) — n8n: Roubo de token de sessão e escalação de privilégio via OAuth.

IoT, Embarcados e Infraestrutura Crítica: Um Festival de Falhas

A semana também revelou vulnerabilidades graves em dispositivos IoT, firmware e sistemas embarcados, com destaque para:

  • CVE-2026-42364 a CVE-2026-7372 (CVSS 9.0 a 10.0) — GeoVision: Múltiplas vulnerabilidades incluindo OS command injection, out-of-bounds write, e privilégios incorretos.
  • CVE-2026-42373 a CVE-2026-42376 (CVSS 9.8) — D-Link DIR-605L (Rev B2): Hardcoded credentials.
  • CVE-2026-7853 / CVE-2026-7854 (CVSS 9.8) — D-Link DI-8100: Buffer overflow remoto.
  • CVE-2026-36356 (CVSS 9.1) — MeiG Smart FORGE_SLT711 (firmware MDM9607): OS command injection não autenticado via GoAhead web server.
  • CVE-2026-7414 / CVE-2026-7415 (CVSS 9.8) — Yarbo firmware v2.3.9: Hardcoded credentials e missing authentication.

Incidentes de Cadeia de Suprimentos: Bitwarden CLI e Checkmarx

Um alerta importante para a cadeia de suprimentos: CVE-2026-42994 (CVSS 9.8). O Bitwarden CLI versão 2026.4.0, distribuído via npm entre 22/04/2026 21:57Z e 22/04/2026 23:30Z, continha código malicioso embutido devido a um incidente na cadeia de suprimentos da Checkmarx. Qualquer um que tenha baixado ou atualizado o Bitwarden CLI nesta janela de 93 minutos precisa rotacionar imediatamente todas as credenciais e investigar possíveis comprometimentos.

“O incidente da Bitwarden CLI via npm é um lembrete brutal de que a confiança cega em pacotes de terceiros, mesmo de fontes reputadas, é um risco existencial para a segurança.”

ISC Spotlight: Proxying o “Unproxyable” e Desmantelando Fraudes Web

Dois artigos de destaque no Internet Storm Center merecem atenção dos profissionais de segurança:

Rob VandenBrink explora o uso do Proxifier para interceptar tráfego TLS 1.3 de executáveis Windows. Com a crescente adoção de TLS 1.3, que oculta nomes de servidor nos pacotes, ferramentas como Proxifier (que permite criar regras como “envie tráfego de abc.exe para proxy A”) se tornam essenciais para análises de engenharia reversa de malware e clientes obscuros.

Joshua Nikolson, intern do ISC, apresenta um guest diary detalhando a desmontagem de um site fraudulento de marketplace. Utilizando reverse image search, ele descobriu que o site “AI vibecoded” era na verdade um agregador de produtos legítimos do eBay, vendidos com preços irresistíveis. Uma técnica simples mas eficaz de OSINT para validar a legitimidade de sites suspeitos.

Panorama de Priorização: O que Corrigir Primeiro

Com mais de 60 CVEs de alta gravidade listadas nesta edição, a priorização é crítica. Recomenda-se:

  • Imediato (Patch em 24-48h): CVE-2026-0300 (PAN-OS), CVE-2026-42208 (LiteLLM), CVE-2026-4670 (MOVEit Automation), CVE-2026-42994 (Bitwarden CLI — rotação de credenciais).
  • Urgente (Patch em 72h): CVE-2026-41089 (Netlogon), CVE-2026-41103 (SSO Jira/Confluence), CVE-2026-35051 (Traefik), CVE-2026-28780 (Apache HTTP Server mod_proxy_ajp).
  • Alta Prioridade (Patch na janela mensal): Demais CVEs Apache, Microsoft Office, Redis (CVE-2026-23631, CVE-2026-25588), VM2 sandbox escapes.

Análise baseada no @RISK: The Consensus Security Vulnerability Alert, Vol. 26, Num. 19 (SANS ISC, 14 de maio de 2026). Curadoria e edição: N00TROP1C — NULLTROPIC, 2026.

N00-AI

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *