Você tem plano B?
Ou, simplesmente plano de contingência ou DR?
Vol. 1 No. 20251020-994 (2025)
Plano B?
Anísio José Moreira Neto | anisio@cylo.com.br | 20/10/2025
Vol. 1 No. 20251014-987 (2025)
Mais uma contagem regressiva
Anísio José Moreira Neto | anisio@cylo.com.br | 14/10/2025
É… Eu sobrevivi a frenética contagem regressiva até o timestamp “00-01-01 00:00:01”, virada do ano de 1999 para 2000, onde muitos acreditavam que todos os computadores iam bugar.
Agora os preparados, preocupados ou até “pessimistas” já podem acompanhar mais uma contagem regressiva, agora para um outro timestamp “2038-01-19 03:14:08 UTC”, neste momento em questão milhares de dispositivos, principalmente os OTs terão algum comportamento muito possivelmente problemático, já que o modelo de tempo conhecido como “Unix time” não irá mais caber em um inteiro de 32 bits.
Basicamente o Unix time conta os segundos desde um “timestamp específico”, zero horas de primeiro de janeiro de 1970, 1970-01-01T00:00:00, até o momento então quando um equipamento com este modelo de hora registra um evento ele insere a quantidade de segundos desde “timestamp específico”. Veja o exemplo no print abaixo, onde o ano, mês, dia, hora, minuto e segundo atual em Unix time é representado pelo inteiro “1760410507”.
Se você lida com equipamentos médicos, industriais, automação, etc. precisa começar a contatar os fabricantes, fazer testes e/ou buscar alternativas, mas principalmente acompanhar o projeto “Epochalypse”, https://epochalypse-project.org/, projeto que fiquei conhecendo pelo pessoal do Cert.Br, https://cert.br/, e agora relembrado pelo newsletter do SANS Institute, https://www.sans.org/.
Acompanhe, prepare-se e esteja pronto. O tempo não para, você, também não pode ficar parado! Só assim nossos empregos vão sobreviver a mais esta contagem regressiva!
Vol. 1 No. 20251010-985 (2025)
Firewall de sistema operacional
Anísio José Moreira Neto | anisio@cylo.com.br | 10/10/2025
Esta semana tive a satisfação de iniciar a implantação do firewall do Cortex nos endpoints de um novo cliente — abrangendo tanto os Windows Servers quanto as estações de trabalho.
Digo satisfação porque ainda me surpreende como é comum esse recurso essencial ser negligenciado.
Tenho convicção de que o firewall de sistema operacional é uma camada crítica para a segurança dos ambientes. Ele não deve ser tratado como algo opcional, mas sim como parte do fazer certo — com políticas bem definidas, alinhadas à realidade da operação.
Se você está pensando em começar essa implantação, minha sugestão é iniciar pelo servidor de backup. E claro, conte com a nossa ajuda para fazer isso da melhor forma.
Vol. 1 No. 20251003-973 (2025)
Ataques destinados ao Brasil via Whatsapp
Pedro Brandt Zanqueta | pedro@cylo.com.br | 03/10/2025
Estamos lidando massivamente com a resposta a incidente que vem ocorrendo nessa semana. O ataque inicia via Whatsapp, aplicativo muito utilizado no nosso país.
O objetivo é notificar a todos desse ataque, onde se inicia a partir de arquivo ZIP compartilhado pelo mensageiro, sugerindo o usuário baixar em sua estação e descompactar para execução dos arquivos relacionados e posteriormente iniciar sua exploração.
Sempre desconfie e análise com cautela das informações ao qual recebe e envia, duvide de arquivos, mensagens, promoções e qualquer outra categoria de mensagem.
Recomendações:
- Controlar aplicações não corporativas no ambiente;
- Implantar XDR no ambiente para análise comportamental;
- Integração de feeds de inteligência;
- Treinamentos no ambiente corporativo;
- Divulgação de comunicados internos;
IOCs
sorvetenopote[.]com
expansiveuser[.]com
zapgrande[.]com
imobiliariaricardoparanhos[.]com
886136adfac9287ecb53f45d8b5ab42e98d2c8c058288e81795caa13dbf5faa8
94411cd5eb27b28b0b039ac07eef2ec0f4e0e0ebd83884bfcaf79665d73d0b6a
109[.]176[.]30[.]141
23[.]227[.]203[.]148
Exemplo da mensagem que o pessoal recebe:
Vol. 1 No. 20250930-952 (2025)
Indicators of Compromise (IOCs) possuem data de validade?
Hector Carlos Frigo | hector@cylo.com.br | 30/09/2025
Recentemente, venho trabalhando com a coleta e identificação de IOCs (Indicators of Compromise), analisando indicadores dos mais diversos tipos que, de alguma forma, foram ou estão sendo associados a atividades maliciosas ou ilícitas no ambiente digital. artefatos esses que podem ser endereços IP, domínios, hashes, chaves de registro e até e-mails.
Essa coleta é importante, pois, com ela, é possível garantir uma visibilidade mais abrangente em um ambiente, otimizando a detecção de, como o nome sugere, “indicadores de comprometimento” em um sistema ou rede de sistemas.
Durante a coleta desses artefatos, dúvidas foram levantadas internamente, sendo as principais:
- A data de validade de um IOC deve ser a mesma, independentemente do tipo de artefato?
- Um indicador de comprometimento deve possuir uma validade?
- Qual é o prazo de validade ideal para um IOC?
Acredito que parte da resposta para essas perguntas pode ser encontrada na famosa “The Pyramid of Pain”, um modelo interessante que visa dividir tipos de indicadores em camadas, baseando-se no formato de uma pirâmide. A ideia é: quanto mais próximo um tipo de IOC está da base da pirâmide, maior será a facilidade de um adversário alterar esse indicador.
Como é possivel observar, na base da pirâmide encontramos “Endereços Hash” mas o que isso significa? Basicamente um endereço Hash tem a função de servir como uma “Impressão digital” de um arquivo ou processo no sistema, ou seja, cada arquivo existente, receberá um valor HASH único que tem o papel de identifica-lo (inclusive arquivos maliciosos).
Sem dúvidas, é uma fonte poderosa de informação, tornando possível a identificação de malwares conhecidos simplesmente com a coleta desse artefatos, porém, um fato que “enfraquece” a utilização de hash como IOC é que uma simples alteração de qualquer binário nesse arquivo acarretará na atribuição de um novo valor identificador completamente diferente para esse arquivo. Portanto, adversários podem, com muita facilidade, alterar o endereço hash de seus scripts maliciosos e evadir detecções previamente criadas em sistemas de segurança mais simples. Justamente por essa versatilidade de alteração nos valores, os endereços hash encontram-se na base da Pyramid of Pain.
Sabendo da facilidade que um Adversário possui para modificar qualquer binário em seus scripts, surge uma dúvida: “Qual seria a validade ideal para um IOC do tipo HASH?” Na minha visão, a resposta mais adequada seria: “Depende do quão bem é possível identificar o objetivo do Adversário“. Essa lógica se aplica não apenas as HASHES, mas também a outros tipos de Indicadores, como IPs, chaves de registro, domínios etc..
Tendo como exemplo atacantes que têm como principal objetivo “lucrar sem olhar a quem”, são agentes de ameaça que irão desenvolver scripts maliciosos buscando atrair o máximo de usuários desavisados possível a executar o seu malware, por meio de ataques de cryptojacking, adwares ou infostealers, que geralmente ficam abertamente disponíveis para download em websites que possuem títulos chamativos, como “Baixe mais memória RAM” ou “Cupom grátis de R$100,00 na Amazon”.
O ponto focal do tipo de kill chain adotado por esse adversário é que não há um alvo específico definido. Seu objetivo é infectar o máximo de vítimas e gerar lucro em um período de tempo pré-definido. Depois de esgotado esse tempo, o adversário provavelmente desaparecerá, não sendo muito relevante se o seu script for reconhecido e coletado como artefato em algum momento e bloqueado pela empresa “XYZ”, visto que muitos outros foram induzidos a serem infectados.
Para situações como a descrita acima, é sim importante coletar o máximo de indicadores possíveis e adicioná-los às suas regras de detecção. Porém, como essas campanhas “não direcionadas” costumam não ficar ativas por muito tempo, é plausível entender que não há necessidade da adoção de uma data de validade extensa, podendo, neste caso, configurar esses indicadores para serem detectados em um menor período de tempo.
Em contrapartida, há, de igual modo, cenários — ainda que mais raros — em que o agente de ameaça terá como alvo escolhido a dedo você ou a sua empresa.
Nesses casos, toda a cadeia de ataque desenvolvida pelos adversários será inspirada em vulnerabilidades encontradas em seu ambiente. Situações como essas são atribuídas a agentes de ameaça mais experientes, tornando provável que os seus analistas de segurança sejam os primeiros a coletar certos artefatos.
Cabe a eles identificá-los e entender seus graus de periculosidade.
Ao tomar ciência de que você está na mira de um atacante persistente, disposto a fazer de tudo para atingir seu objetivo final, os artefatos coletados devem, consequentemente, possuir um prazo de validade mais extenso. Pois, nesse cenário, não há como prever por quanto tempo você será um alvo. Campanhas direcionadas costumam durar meses ou até anos, e, nesse período, é de extrema importância coletar o máximo de IOCs possível.
Quanto mais indicadores forem detectados e bloqueados, maior será a necessidade de alteração dos artefatos utilizados pelo atacante, tornando-se um trabalho exaustivo para ele. Neste cenário, vale lembrar que a simples coleta de indicadores não é suficiente para mitigar um ataque persistente, sendo ainda necessária uma série de políticas bem desenvolvidas e ferramentas de segurança e monitoramento bem configuradas.
Para concluir, é certo que se faz necessária a adição de datas de validade para indicadores de comprometimento. Porém, deve-se levar em consideração sempre o cenário ao qual esses IOCs estão sendo atribuídos, assim como identificar se o tipo de ataque ao qual esses artefatos estão relacionados está direcionado exclusivamente a você ou ao seu ambiente, ou se está espalhado pela internet, a fim de atingir um alto volume de vítimas não relacionadas umas com as outras. A renovação de IOCs deve ser encarada como uma política de segurança essencial para o ambiente de toda empresa, e a definição do seu tempo de validade deve ser levantada e considerada com muita cautela.
Vol. 1 No. 20250929-963 (2025)
HybridPetya: A Ameaça Silenciosa que Neutraliza o Secure Boot
Adriano Cansian | adriano.cansian@unesp.br | 29/09/2025
Resumo Executivo
Este alerta de segurança aborda a descoberta do HybridPetya, uma nova variante de ransomware que representa uma evolução significativa nas ameaças de firmware. Identificado em fevereiro de 2025, ele combina características dos notórios malwares Petya e NotPetya, que causaram estragos entre 2016 e 2017. A principal inovação do HybridPetya é sua capacidade de comprometer sistemas modernos baseados em UEFI, explorando a vulnerabilidade CVE-2024-7344 para contornar o Secure Boot em máquinas que não aplicaram as atualizações de revogação (dbx) da Microsoft de janeiro de 2025.
Embora ainda não haja evidências de campanhas ativas, a sofisticação técnica do HybridPetya exige atenção e preparação por parte dos profissionais de segurança.
Análise Técnica do HybridPetya
O HybridPetya, assim como seus predecessores, tem como alvo a Master File Table (MFT) em partições NTFS, tornando os arquivos do sistema operacional inacessíveis. No entanto, sua abordagem é mais sofisticada, utilizando um bootkit UEFI para garantir sua persistência e execução antes mesmo do carregamento do sistema operacional.
O Bootkit UEFI e o Processo de Criptografia
A principal inovação do HybridPetya é a sua capacidade de instalar uma aplicação EFI maliciosa na EFI System Partition (ESP). Este bootkit é responsável por orquestrar todo o processo de ataque. Uma vez executado, ele utiliza o algoritmo de criptografia Salsa20 para criptografar a MFT. Durante este processo, o malware exibe uma falsa mensagem do CHKDSK, o que leva o usuário a acreditar que o sistema está realizando uma verificação de disco, quando na verdade seus arquivos estão sendo criptografados.
O processo de ataque pode ser resumido da seguinte forma:
- Instalação: O malware instala sua aplicação EFI maliciosa na ESP.
- Configuração: O bootkit verifica um arquivo de configuração para determinar o estado da criptografia (pronto para criptografar, já criptografado ou resgate pago).
- Criptografia: Se o sistema ainda não foi comprometido, o bootkit extrai a chave de criptografia Salsa20 e inicia a criptografia da MFT.
- Falsa Verificação: Durante a criptografia, uma mensagem falsa do CHKDSK é exibida para enganar o usuário.
- Reinicialização: Após a conclusão da criptografia, o sistema é reiniciado e a nota de resgate é exibida.
Exploração da Vulnerabilidade CVE-2024-7344
Uma das variantes analisadas do HybridPetya explora a vulnerabilidade CVE-2024-7344 para contornar o UEFI Secure Boot. Esta falha de segurança reside em uma aplicação UEFI assinada pela Microsoft, chamada “Reloader“, que permite a execução de código não assinado a partir de um arquivo chamado cloak.dat. O HybridPetya explora essa falha para executar seu bootkit UEFI mesmo em sistemas com o Secure Boot ativado, desde que não tenham recebido as atualizações de revogação da Microsoft.
Diferenças em Relação ao Petya e NotPetya
Apesar das semelhanças, o HybridPetya apresenta diferenças cruciais em relação aos seus predecessores:
| Característica | Petya (2016) | NotPetya (2017) | HybridPetya (2025) |
|---|---|---|---|
| Propósito | Ransomware | Destrutivo (wiper) | Ransomware |
| Recuperação | Possível | Impossível | Possível |
| Alvo | MBR e MFT | MBR e MFT | MFT (via UEFI) |
| UEFI | Não | Não | Sim |
| Propagação | Limitada | Agressiva (rede) | Limitada (até o momento) |
É importante notar que, ao contrário do NotPetya, o HybridPetya foi projetado para funcionar como um ransomware tradicional. O algoritmo de geração de chaves, inspirado no proof-of-concept RedPetyaOpenSSL, permite que o operador do malware reconstrua a chave de descriptografia, tornando a recuperação dos dados possível mediante o pagamento do resgate.
Implicações de Segurança e Mitigação
O surgimento do HybridPetya reforça a importância da segurança de firmware e da necessidade de manter os sistemas atualizados. As seguintes medidas são recomendadas para mitigar o risco de ataques como este:
- Atualizações de Firmware e SO: Manter o firmware UEFI e o sistema operacional sempre atualizados é a principal linha de defesa.
- Atualizações de Revogação (dbx): Garantir que as atualizações de revogação do Secure Boot da Microsoft sejam aplicadas para bloquear a execução de binários vulneráveis conhecidos, como o explorado pela CVE-2024-7344.
- Monitoramento da ESP: Monitorar a EFI System Partition em busca de modificações não autorizadas pode ajudar a detectar a instalação de bootkits UEFI.
- Controle de Acesso: Restringir o acesso de gravação à ESP para usuários e processos não privilegiados.
Conclusão
O HybridPetya representa uma nova e sofisticada ameaça no cenário de ransomware, demonstrando a contínua evolução das técnicas de ataque para o nível de firmware. Embora ainda não tenha sido observado em campanhas ativas, seu potencial de dano é significativo, especialmente em ambientes que não seguem as melhores práticas de segurança de firmware. A comunidade de segurança deve permanecer vigilante e proativa na implementação de medidas de defesa para se proteger contra esta e outras ameaças emergentes.
Referências
- ESET Research. (2025, September 12). Introducing HybridPetya: Petya/NotPetya copycat with UEFI Secure Boot bypass. WeLiveSecurity. https://www.welivesecurity.com/en/eset-research/introducing-hybridpetya-petya-notpetya-copycat-uefi-secure-boot-bypass/
- ESET Research. (2025, January 16). Under the cloak of UEFI Secure Boot: Introducing CVE-2024-7344. WeLiveSecurity. https://www.welivesecurity.com/en/eset-research/under-cloak-uefi-secure-boot-introducing-cve-2024-7344/
- MITRE. (2025). CVE-2024-7344. CVE. https://www.cve.org/CVERecord?id=CVE-2024-7344
Apêndice – Petya e NotPetya: Características Técnicas Confirmadas
Petya Original (2016)
• Descoberta: Março de 2016.
• Alvo: Master Boot Record (MBR) e Master File Table (MFT).
• Propósito: Ransomware legítimo com possibilidade de recuperação.
• Criptografia: Salsa20 para MFT.
NotPetya (2017)
• Data do Ataque: 27 de junho de 2017
• Vetor Inicial: Software de contabilidade ucraniano M.E.Doc
• Propagação: EternalBlue, EternalRomance, PsExec, WMI, Mimikatz.
• Alvo: MBR e MFT (similar ao Petya).
• Diferencial: Destrutivo – sem possibilidade real de recuperação.
• Impacto: Mais de $10 bilhões em danos globais
• Atribuição: Origem Militar Russa (GRU) – confirmado pelos governos EUA e Reino Unido.
Vol. 1 No. 20250926-958 (2025)
Alerta: Vulnerabilidades Críticas em Dispositivos Cisco IOS e IOS XE
Adriano Cansian | adriano.cansian@unesp.br | 26/09/2025
Resumo Executivo
Este alerta de segurança aborda a descoberta de 14 vulnerabilidades graves que afetam os dispositivos das famílias de produtos Cisco IOS e IOS XE. A mais crítica destas vulnerabilidades, identificada como CVE-2025-20363, possui uma pontuação CVSS de 9.0 (Crítica) e permite a execução remota de código arbitrário sem necessidade de autenticação. A Cisco já disponibilizou as devidas atualizações de correção.
A exploração bem-sucedida destas vulnerabilidades pode levar a uma variedade de consequências danosas, incluindo a tomada de controlo total de dispositivos afetados, negação de serviço (DoS), escalonamento de privilégios e contorno de controlos de acesso. Dada a gravidade e o número de vulnerabilidades, recomenda-se a aplicação imediata das atualizações de segurança disponibilizadas pela Cisco para mitigar os riscos associados.
Vulnerabilidades Críticas
CVSS (Common Vulnerability Scoring System): Indica a gravidade técnica numa escala de 0 a 10.
EPSS (Exploit Prediction Scoring System): Estima a probabilidade de exploração nos próximos 30 dias numa escala de 0 a 1.
Percentil EPSS: Mostra a posição relativa comparada com todas as vulnerabilidades conhecidas. Percentis mais altos indicam maior probabilidade de exploração comparativa.
A lista a seguir resume as vulnerabilidades identificadas com os respectivos identificadores CVE e descrições.
CVE-2025-20363: Vulnerabilidade de estouro de memória que pode permitir a execução remota de código arbitrário. Produtos afetados: Cisco IOS e IOS XE. CVSS 9.0, EPSS 0.00164, Percentil 38.0%
CVE-2025-20334: Injeção de comandos nas interfaces de gestão do IOS XE, permitindo a execução remota de código. Produtos afetados: Cisco IOS XE. CVSS 8.8, EPSS 0.00098, Percentil 28.0%
CVE-2025-20315: Vulnerabilidade de negação de serviço (DoS) no reconhecimento de aplicações de rede do IOS XE. Produtos afetados: Cisco IOS XE. CVSS 8.6, EPSS 0.00105, Percentil 29.2%
CVE-2025-20160: Contorno do controlo de acesso do protocolo TACACS+ em dispositivos IOS e IOS XE. Produtos afetados: Cisco IOS e IOS XE. CVSS 8.1, EPSS 0.00069, Percentil 21.8%
CVE-2025-20352: Vulnerabilidade no SNMP que pode levar a DoS ou escalonamento de privilégios. Produtos afetados: Cisco IOS e IOS XE. CVSS 7.7, EPSS 0.00177, Percentil 39.7%
CVE-2025-20327: Vulnerabilidade que leva a DoS em switches industriais com IOS. Produtos afetados: Cisco IOS. CVSS 6.5, EPSS 0.00122, Percentil 32.1%
CVE-2025-20312: Vulnerabilidade de DoS no SNMP em dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 6.5, EPSS 0.00174, Percentil 39.4%
CVE-2025-20311: Vulnerabilidade de DoS em dispositivos Cisco Catalyst 9000. Produtos afetados: Cisco Catalyst 9000. CVSS 6.5, EPSS 0.00019, Percentil 3.6%
CVE-2025-20313: Contorno do arranque seguro (secure boot) em dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 6.0, EPSS 0.00050, Percentil 15.4%
CVE-2025-20314: Contorno do arranque seguro (secure boot) em dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 6.0, EPSS 0.00059, Percentil 18.7%
CVE-2025-20149: Capacidade de um utilizador local causar DoS em dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 5.5, EPSS 0.00023, Percentil 4.7%
CVE-2025-20240: Vulnerabilidade de Cross-Site Scripting (XSS) na interface de gestão do IOS XE. Produtos afetados: Cisco IOS XE. CVSS 5.4, EPSS 0.00040, Percentil 11.5%
CVE-2025-20338: Escalonamento de privilégios por um utilizador local em dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 5.5, EPSS 0.00009, Percentil 0.6%
CVE-2025-20293: Contorno do controlo de acesso nos serviços de certificados para certos dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 5.3, EPSS 0.00017, Percentil 2.8%
CVE-2025-20316: Contorno do controlo de acesso em certos dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 5.3, EPSS 0.00023, Percentil 4.5%
Interpretação dos Valores EPSS
É importante notar que os valores EPSS apresentados são relativamente baixos (todos abaixo de 0.2%), o que pode parecer contraditório face à gravidade elevada das vulnerabilidades. Esta situação deve-se a estas vulnerabilidades terem sido publicadas muito recentemente (24 a 26 de setembro de 2025). O modelo EPSS baseia-se em dados históricos de exploração real e necessita de tempo para ajustar as suas previsões à medida que mais informações sobre tentativas de exploração se tornam disponíveis. Vulnerabilidades recém-descobertas começam tipicamente com pontuações baixas que aumentam gradualmente conforme os atacantes desenvolvem e implementam exploits. Apesar dos valores EPSS baixos, a gravidade técnica elevada (CVSS) destas vulnerabilidades, especialmente as que permitem execução remota de código, justifica a aplicação imediata das correções de segurança.
Sistemas Afetados
As vulnerabilidades afetam uma vasta gama de dispositivos da família de produtos Cisco IOS e IOS XE. Para uma lista detalhada dos dispositivos e versões de software afetados, é crucial consultar os avisos de segurança oficiais da Cisco.
Ações Recomendadas
Para mitigar os riscos associados a estas vulnerabilidades, recomendam-se as seguintes ações imediatas:
- Identificação de Ativos: Realize um inventário completo de todos os dispositivos Cisco IOS e IOS XE presentes na sua rede.
- Análise de Vulnerabilidade: Verifique as versões de software dos dispositivos identificados para determinar se estão vulneráveis.
- Priorização de Correções: Dê prioridade à aplicação de correções nos dispositivos que estão expostos a redes externas ou que fazem parte de infraestruturas críticas.
- Aplicação de Atualizações: Aplique as atualizações de segurança disponibilizadas pela Cisco o mais rapidamente possível, com especial atenção para a vulnerabilidade CVE-2025-20363.
Referências
Para mais informações, consulte os avisos de segurança da Cisco:
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-xe-cmd-inject-rPJM8BGL
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nbar-dos-LAvwTmeT
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-tacacs-hdB7thJw
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snmp-x4LPhte
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-invalid-url-dos-Nvxszf6u
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snmpwred-x3MJyf5M
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cat9k-PtmD7bgy
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-secboot-UqFD8AvC
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-cli-EB7cZ6yO
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webui-xss-VWyDgjOU
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-arg-inject-EyDDbh4e
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-9800cl-openscep-SB4xtxzP
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cat9k-acl-L4K7VXgD
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-http-code-exec-WmfP3h3O
Vol. 1 No. 20250910-948 (2025)
Alerta de Segurança: Vulnerabilidade Ativamente Explorada em Roteadores TP-Link
Adriano Cansian | adriano.cansian@unesp.br | 10/09/2025
Ameaça real a redes domésticas e corporativas
Nos últimos dias, a comunidade de segurança da informação voltou sua atenção para uma vulnerabilidade crítica que afeta roteadores da TP-Link, um dos fabricantes mais populares de equipamentos de rede do mundo.
Ainda que eu não acredite que essa vulnerabilidade sozinha possa representar grande risco para atores que não sejam de alto interesse, o uso combinado dessa vulnerabilidade com outras pode levar algum risco significativo, principalmente para pequenos negócios. De qualquer forma, não é bom ficar com vulnerabilidades em sua casa ou na sua empresa. Então, vamos explicar do que ela se trata e como mitigá-la, visto que o produto é descontinuado e ela não terá conserto definitivo.
A falha, identificada como CVE-2023-50224 está sendo ativamente explorada por agentes maliciosos, o que levou a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) a incluí-la em seu catálogo de vulnerabilidades conhecidas e exploradas (KEV). Não é uma vulnerabilidade teórica. A exploração ativa desta falha é antiga e remonta a 2023, sendo atribuída a uma botnet com objetivos de espionagem.
Análise da vulnerabilidade CVE-2023-50224
- Descrição: trata-se de uma vulnerabilidade de evasão de autenticação por spoofing no serviço httpd do roteador TP-Link TL-WR841N. A falha permite que um atacante acesse o arquivo /
tmp/dropbear/dropbearpwd, que contém credenciais de usuário, sem precisar de autenticação. Essencialmente, a vulnerabilidade abre uma porta para o roubo de senhas do roteador. - Produtos afetados: O principal produto afetado é o TP-Link TL-WR841N, um modelo extremamente popular e amplamente utilizado em residências e pequenos escritórios. Infelizmente, este modelo é considerado End-of-Life (EoL), o que significa que o fabricante não fornecerá mais atualizações de firmware para corrigir a falha.
- Data de publicação: A vulnerabilidade foi divulgada publicamente em 19 de dezembro de 2023, mas foi adicionada ao catálogo KEV da CISA em 3 de setembro de 2025, após a confirmação de exploração ativa.
- Severidade: Média (
CVSS v3.1: 6.5 - AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N). Embora a pontuação não seja classificada como “Crítica”, o impacto real, se explorada, é extremamente alto devido à facilidade de exploração e ao fato de levar ao comprometimento total do dispositivo. - EPSS: 4.50% (baixa probabilidade de exploração nos próximos 30 dias).
- Percentil EPSS: 88.70% indica que a pontuação é igual ou superior à de aproximadamente 88.7% das outras vulnerabilidades catalogadas, representando um risco significativamente elevado. Entenda mais sobre “percentil” no EPSS [nesse link].
- Outras informações: A exploração desta vulnerabilidade está associada à botnet Quad7 (também conhecida como CovertNetwork-1658), que tem sido ligada a grupos de ameaças com objetivos de espionagem. Em vez de usar os roteadores para ataques de negação de serviço (DDoS), os atacantes os transformam em proxies secretos para lançar outros ataques, como roubo de credenciais de serviços em nuvem (Microsoft 365, etc.).
O Impacto Real: O Que Significa Para Você?
O comprometimento de um roteador vai muito além da simples perda de acesso à internet. Um atacante com controle sobre seu roteador pode:
- Interceptar todo o seu tráfego de internet: Isso inclui senhas, dados bancários, e-mails e qualquer outra informação não criptografada que passe pela sua rede.
- Redirecionar seu tráfego para sites falsos: O atacante pode realizar ataques de phishing em nível de rede, redirecionando você para um site falso do seu banco, por exemplo, para roubar suas credenciais.
- Usar sua rede para atividades ilegais: Como mencionado, os roteadores comprometidos estão sendo usados como uma rede de proxies para lançar ataques contra outras vítimas. Isso significa que sua rede pode ser implicada em atividades criminosas.
- Atacar outros dispositivos na sua rede: O roteador pode ser usado como um ponto de partida para atacar outros dispositivos conectados à sua rede local, como computadores, smartphones e dispositivos de IoT (câmeras, assistentes de voz, etc.).
O fato de o TP-Link TL-WR841N ser um dispositivo EoL agrava enormemente o risco. Não haverá uma correção oficial do fabricante. Se você possui este roteador, ele permanecerá vulnerável para sempre.
Recomendações: O Que Fazer Agora?
Dado o risco e a falta de um patch, a recomendação é clara e urgente.
Mitigação Primária (Ação Imediata)
- Substitua o roteador imediatamente: Esta é a única maneira de garantir que sua rede esteja protegida contra esta vulnerabilidade. Desconecte o TP-Link TL-WR841N e substitua-o por um modelo de um fabricante confiável que ainda receba atualizações de segurança.
Mitigações Secundárias (Medidas Paliativas)
Se a substituição imediata não for possível, tome as seguintes medidas para reduzir o risco, mas entenda que elas não eliminam a vulnerabilidade:
- Desative o gerenciamento remoto: Certifique-se de que o painel de administração do seu roteador não esteja acessível a partir da internet (WAN).
- Altere a senha do administrador: Use uma senha forte e exclusiva. Embora a vulnerabilidade permita o roubo dessa senha, alterá-la pode dificultar o acesso se o atacante ainda não tiver explorado a falha.
- Isole a rede: Se possível, crie uma rede de convidados (Guest Network) para dispositivos menos confiáveis e use a rede principal somente para dispositivos essenciais.
Conclusão
Verifique o modelo do seu roteador. Se for um TP-Link TL-WR841N, é recomendado que você adote as medidas de mitigação. A CVE-2023-50224 é um lembrete dos perigos associados ao uso de hardware de rede desatualizado. Roteadores são a porta de entrada para a internet e, quando comprometidos, colocam toda a sua vida digital em risco. A exploração ativa desta falha por grupos organizados mostra que mesmo vulnerabilidades de severidade “Média” podem ter consequências devastadoras no mundo real.
Referências
- NVD: https://nvd.nist.gov/vuln/detail/cve-2023-50224
- TP-Link Support: https://www.tp-link.com/en/support/download/tl-wr841n/v12/#Firmware.
- Microsoft Security Blog – October 31, 2024 “Chinese threat actor Storm-0940 uses credentials from password spray attacks from a covert network” URL: https://www.microsoft.com/en-us/security/blog/2024/10/31/chinese-threat-actor-storm-0940-uses-credentials-from-password-spray-attacks-from-a-covert-network/
- TP-Link Support FAQ – October 19, 2023 “Technical News and Reports about Quad 7 (7777) Botnet aka CovertNetwork-1658” URL: https://www.tp-link.com/us/support/faq/4365/
Vol. 1 No. 20250905-919 (2025)
A Importância de Categorizar Vulnerabilidades
João Paulo Gonsales | jgonsales@cylo.com.br | 05/09/2025
Com o aumento do número de vulnerabilidades descobertas diariamente, conhecer e saber categoriza-las no ambiente que está sendo gerenciado pela equipe de segurança se torna uma medida importante para mitigar os riscos de segurança em um ambiente de T.I.
A etapa da categorização das vulnerabilidades se torna fundamental para a equipe realizar a gestão do risco de forma eficiente e estruturar as ações de defesa do ambiente. Entendendo o que elas representam e seu potencial impacto, conseguimos elaborar um plano de ação mais eficiente e priorizar as ações de defesa.
Para ajudar na categorização, podemos utilizar alguns indicadores padrões de mercado que vão nos ajudar a direcionar o esforço, por exemplo o CVSS e o EPSS.
O CVSS (Common Vulnerability Scoring System), é um indicador padrão utilizado para medir a severidade de vulnerabilidades com um sistema de pontuação padronizado para avaliar e realizar a comparação da gravidade das vulnerabilidades de segurança, aplicando medidas quantitativa para medir o potencial de impacto da vulnerabilidade.
O CVSS atribui pontuações numéricas com base em diferentes métricas, onde este cálculo ajuda a equipe de segurança a priorizar os seus esforços para a correlação de vulnerabilidades e apoiar para uma melhor tomada de decisão para correção ou mitigação das vulnerabilidades.
Para realizar o seu cálculo, o CVSS, vamos exemplificar baseado na versão 3.X, utiliza algumas métricas como principais, como métricas de Base, Temporal e Ambiental. Cada métrica possui características diferentes e um peso no cálculo da pontuação da CVSS.
- Métrica de Base são métricas onde são avaliados o potencial dano que a vulnerabilidade pode causar no ambiente, facilidade de exploração e a complexidade do atacante conseguir realizar o ataque bem sucedido.
- Métrica Temporal são métricas onde são avaliados a evolução da vulnerabilidade ao longo do tempo, podendo incluir algumas características que são considerados no calculo da sua pontuação, como a maturidade do exploit, facilidade da sua correção, confiabilidade da fonte da informação e a quantidade de evidencias disponíveis.
- Métrica Ambiental são métricas relacionadas a importância do impacto real para a organização em particular, baseadas em controles de mitigação que podem existir no ambiente para reduzir ou aumentar o impacto da vulnerabilidade ser explorada no ambiente.
Fig. 1 – Exemplo – Calculadora CVSS V3.0 – Common Vulnerability Scoring System Version 3.0 Calculator
Diante do número elevado de CVSS dos ambientes e com as equipes de segurança enfrentando uma grande dificuldade para priorizar as correções. Um grupo de pesquisadores do FIRST (Forum of Incident Response and Security Teams – https://www.first.org/about/), pensando em resolver esse problema, desenvolveu o EPSS, um modelo para calcular informações sobre exploração das vulnerabilidades e apoiar no direcionamento melhor das ações de correção de vulnerabilidades pela equipe.
O EPSS (Exploit Prediction Scoring System), fornece um “score” que é um indicador baseado em dados do CVSS para estimar a probabilidade de uma vulnerabilidade de software estar sendo explorada ativamente no ambiente, cujo seu objetivo, é auxiliar a equipe de segurança a priorizar os esforços de correção de vulnerabilidades com base no EPSS score.
O EPSS fornece uma perspectiva mais dinâmica e contextual, permitindo que as equipes priorizem vulnerabilidades que estão ativamente sendo exploradas, mesmo que tenham um score no CVSS baixo.
Correlacionando dados de CVSS + EPSS e aplicando inteligencia artificial, concluimos o valor do “Score EPSS”, um indicador mais robusto para a categorização de vulnerabilidades, onde podemos exemplificar conforme informações abaixo :
- CVSS alto + EPSS alto = prioridade máxima
- CVSS alto + EPSS baixo = monitoramento e mitigação planejada
- CVSS baixo + EPSS alto = atenção especial, pois pode indicar ataques em andamento
- CVSS baixo + EPSS baixo = menor prioridade
EPSS Score – https://www.first.org/epss/data_stats
Com essa informação, conseguimos que as equipe realizem uma gestão de risco mais inteligente, baseada não apenas em um unico indicador, mas também relacionando com a probabilidade real de ataque.
Categorizar as vulnerabilidades com base em métricas como CVSS e EPSS é essencial para uma resposta proativa e eficiente às ameaças cibernéticas. Em vez de reagir a cada alerta, as organizações podem tomar decisões assertivas, proteger seus ativos mais críticos e manter a confiança de seus clientes e parceiros.
Vol. 1 No. 20250823-913 (2025)
Semana das vulnerabilidades em roteadores Wi-Fi da Linksys
Adriano Cansian | adriano.cansian@unesp.br | 23/08/2025
Nos últimos 7 dias (16 a 23 de agosto de 2025), com base em fontes públicas, realizamos um levantamento das vulnerabilidades registradas em roteadores e extensores de alcance de Wi-Fi da marca Linksys. As falhas identificadas são majoritariamente do tipo stack-based buffer overflow, remotamente exploráveis, e afetam modelos específicos da série RE, permitindo ataques sem autenticação.
Divulgadas recentemente, essas vulnerabilidades não receberam resposta do fabricante para notificações de divulgação coordenada, e não há patches disponíveis mencionados nas fontes, reforçando a importância de monitoramento contínuo e mitigação proativa. Elas são semelhantes entre si, afetando funções específicas no firmware dos dispositivos. Em seguida apresentamos esse levantamento para fins de acompanhamento:
CVEs Catalogados na Semana
1. CVE-2025-9356
- Descrição: Extravazamento de buffer baseado em pilha na função
inboundFilterAdddo endpoint/goform/inboundFilterAdd, desencadeado por um parâmetroruleNameexcessivamente longo. Permite execução de código arbitrário remotamente, sem autenticação. - Produtos afetados: Linksys RE6250 (firmware 1.0.013.001), RE6300 (1.0.04.001), RE6350 (1.0.04.002), RE6500 (1.1.05.003), RE7000 (1.2.07.001), RE9000 (1.2.07.001).
- Data de publicação: 22 de agosto de 2025.
- Severidade: Alta (CVSS v4: 7.4; CVSS v3.1: 8.8; CVSS v2: 9.0).
- EPSS: Não disponível ainda (a pontuação EPSS pode demorar para ser calculada em vulnerabilidades muito recentes).
- Percentil EPSS: Não disponível ainda.
- Outras informações: Exploit público disponível; similar a outras vulnerabilidades na mesma família de dispositivos (ex.: CVE-2025-8824).
- Referência: https://www.cvedetails.com/cve/CVE-2025-9356/
2. CVE-2025-9252
- Descrição: Transbordamento de buffer baseado em pilha na função
DisablePasswordAlertRedirectdo arquivo/goform/DisablePasswordAlertRedirect, manipulado pelo argumentohint. Ataque remoto possível, com exploit público. - Produtos afetados: Linksys RE6250 (1.0.013.001), RE6300 (1.0.04.001 e 1.0.04.002), RE6350 (1.1.05.003), RE6500 (1.2.07.001), RE7000 (1.0.013.001), RE9000 (1.0.013.001).
- Data de publicação: 20 de agosto de 2025.
- Severidade: Alta (CVSS v4: 7.4; CVSS v3.1: 8.8; CVSS v2: 9.0).
- EPSS: 0.04% (probabilidade baixa de exploração nos próximos 30 dias).
- Percentil EPSS: ~12% (indica que a pontuação é igual ou superior à de aproximadamente 12% das outras vulnerabilidades scored).
- Outras informações: Associada a CWE-121 e CWE-119; sem resposta do fabricante.
- Referência: https://www.cvedetails.com/cve/CVE-2025-9252/
3. CVE-2025-9249
- Descrição: Transbordamento de buffer baseado em pilha na função
DHCPReserveAddGroup, manipulado pelos parâmetrosenable_group,name_group,ip_groupemac_group. Permite acesso não autorizado e comprometimento da integridade do dispositivo remotamente. - Produtos afetados: Linksys RE6250 (1.0.013.001, 1.0.04.001, 1.0.04.002), RE6300, RE6350, RE6500, RE7000, RE9000.
- Data de publicação: 20 de agosto de 2025.
- Severidade: Alta (CVSS v4: 7.4; CVSS v3.1: 8.8; CVSS v2: 9.0).
- EPSS: 0.04% (probabilidade baixa de exploração nos próximos 30 dias).
- Percentil EPSS: ~12% (indica que a pontuação é igual ou superior à de aproximadamente 12% das outras vulnerabilidades scored).
- Outras informações: Exploit e PoC (Proof of Concept) públicos disponíveis; afeta confidencialidade, integridade e disponibilidade.
- Referência: https://www.cvedetails.com/cve/CVE-2025-9249
4. CVE-2025-9253
- Descrição: Transbordamento de buffer baseado em pilha na função
RP_doSpecifySiteSurveydo arquivo/goform/RP_doSpecifySiteSurvey, manipulado pelo argumentossidhex. Ataque remoto possível, com exploit público. - Produtos afetados: Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 (firmwares 1.0.013.001, 1.0.04.001, 1.0.04.002, 1.1.05.003, 1.2.07.001).
- Data de publicação: 20 de agosto de 2025.
- Severidade: Alta (CVSS v4: 7.4; CVSS v3.1: 8.8; CVSS v2: 9.0).
- EPSS: 0.04% (probabilidade baixa de exploração nos próximos 30 dias).
- Percentil EPSS: ~12% (indica que a pontuação é igual ou superior à de aproximadamente 12% das outras vulnerabilidades scored).
- Outras informações: Associada a CWE-121 e CWE-119; sem resposta do fabricante.
- Referência: https://www.cvedetails.com/cve/CVE-2025-9253
5. CVE-2025-9251
- Descrição: Transbordamento de buffer baseado em pilha na função
sta_wps_pin, manipulado pelo argumentoSsid. Permite execução de código remoto, comprometendo o dispositivo. - Produtos afetados: Linksys RE6250 (1.0.013.001, 1.0.04.001, 1.0.04.002); provavelmente afeta outros da série RE.
- Data de publicação: 20 de agosto de 2025.
- Severidade: Alta (CVSS v4: 7.4; CVSS v3.1: 8.8; CVSS v2: 9.0).
- EPSS: 0.04% (probabilidade baixa de exploração nos próximos 30 dias).
- Percentil EPSS: ~12% (indica que a pontuação é igual ou superior à de aproximadamente 12% das outras vulnerabilidades scored).
- Outras informações: Exploit e PoC públicos disponíveis; afeta confidencialidade, integridade e disponibilidade.
- Referência: https://www.cvedetails.com/cve/CVE-2025-9251
Compilado de produtos afetados:
- Linksys RE6250
- Versões de firmware afetadas: 1.0.013.001, 1.0.04.001, 1.0.04.002
- Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251
- Linksys RE6300
- Versões de firmware afetadas: 1.0.04.001, 1.0.04.002
- Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251
- Linksys RE6350
- Versões de firmware afetadas: 1.0.04.002, 1.1.05.003
- Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251
- Linksys RE6500
- Versões de firmware afetadas: 1.1.05.003, 1.2.07.001
- Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251
- Linksys RE7000
- Versões de firmware afetadas: 1.0.013.001, 1.2.07.001
- Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251
- Linksys RE9000
- Versões de firmware afetadas: 1.0.013.001, 1.2.07.001
- Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251
Observações Gerais:
- Todas essas vulnerabilidades são remotamente exploráveis e não requerem interação do usuário ou privilégios elevados em muitos casos. Elas foram divulgadas em fontes como VulDB, SecAlerts e SecurityVulnerability.io, mas algumas ainda não aparecem no NVD (National Vulnerability Database) do NIST, possivelmente devido a atrasos na catalogação.
- Há indícios de mais vulnerabilidades semelhantes na série RE (ex.: CVE-2025-9360, 9362, 9363 no VulDB), mas sem detalhes completos disponíveis nas buscas realizadas. Elas parecem seguir o mesmo padrão de buffer overflows.
- Os valores de EPSS são baixos para as vulnerabilidades com dados disponíveis, indicando probabilidade reduzida de exploração imediata, mas o percentil ~12% sugere que elas estão acima de uma pequena porção de vulnerabilidades em termos de risco relativo. Para CVE-2025-9356, como é mais recente, o EPSS ainda não foi calculado no momento de escrita dessa publicação (23/08/2025 -13h25m GNT-3).
- Recomendação: Atualize o firmware dos dispositivos Linksys o mais breve possível, desative o gerenciamento remoto se não for necessário, e monitore alertas de segurança. Para mais detalhes, consulte os sites de origem ou o site oficial da Linksys.
- Se não houver vulnerabilidades adicionais ou se o período exato não capturou mais registros, isso reflete as informações disponíveis em tempo real.
Referências
- CVE-2025-9356 – cvefeed.io. “Linksys Wireless Router Stack-Based Buffer Overflow Vulnerability.” Publicado em 22 de agosto de 2025. Disponível em: https://cvefeed.io/cve/CVE-2025-9356
- CVE-2025-9252 – VulDB. “Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 DisablePasswordAlertRedirect stack-based buffer overflow.” Publicado em 20 de agosto de 2025. Disponível em: https://vuldb.com/?id.275566
- CVE-2025-9249 – VulDB. “Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 DHCPReserveAddGroup stack-based buffer overflow.” Publicado em 20 de agosto de 2025. Disponível em: https://vuldb.com/?id.275563
- CVE-2025-9253 – VulDB. “Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 RP_doSpecifySiteSurvey stack-based buffer overflow.” Publicado em 20 de agosto de 2025. Disponível em: https://vuldb.com/?id.275567
- CVE-2025-9251 – VulDB. “Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 sta_wps_pin stack-based buffer overflow.” Publicado em 20 de agosto de 2025. Disponível em: https://vuldb.com/?id.275565
- Tenable Vulnerability Database. “Common Vulnerabilities and Exposures (CVEs).” Disponível em: https://www.tenable.com/cve
- @CVEnew on X. Postagens sobre CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251. Publicado entre 20 e 22 de agosto de 2025. Disponível em: https://x.com/CVEnew