Autor: Adriano Cansian

Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP - Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas "Computers & Security" e "International Journal of Forensic Computer Science", consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.

Vol. 1 No. 20251118-1027 (2025)

Instabilidade na Cloudflare não é um ataque cibernético

Adriano Cansian | adriano.cansian@unesp.br | 18/11/2025

Nessa manhã de 18 de novembro de 2025, uma instabilidade global no serviço da Cloudflare causou interrupções generalizadas, afetando o acesso a grandes plataformas como o ChatGPT, X (antigo Twitter) e Canva [2]. Usuários no Brasil e no mundo relataram dificuldades de acesso e mensagens de erro, como a notificação “Please unblock challenges.cloudflare.com to proceed”.

Não há evidências de que a instabilidade da Cloudflare em 18 de novembro de 2025 tenha sido causada por um ataque cibernético. Com base nas declarações oficiais da empresa e nas análises de especialistas, o incidente parece estar relacionado a problemas internos de infraestrutura.

A falha, que começou por volta das 8h da manhã no horário de Brasília, foi atribuída pela Cloudflare a um “pico de tráfego incomum” em sua rede [1].

Se você receber a mensagem “Please unblock challenges.cloudflare.com to proceed“, não é necessário fazer nada. Esta é uma mensagem de erro relacionada à instabilidade interna da Cloudflare, e não um problema de bloqueio no seu dispositivo ou rede.

Veja no final dessa postagem, há um timeline a respeito dessa instabilidade.

Entretanto, este cenário evidencia a profunda dependência da internet global em um número restrito de provedores de infraestrutura. A Cloudflare, que gerencia aproximadamente 20% de todo o tráfego da web, atua como uma camada essencial de segurança e desempenho para milhões de sites [2]. Uma falha em seus sistemas, mesmo que temporária, tem um efeito cascata imediato e visível para usuários em todo o mundo.

O Ataque Recorde à Azure e a Ameaça Crescente das Botnets

Coincidentemente, a instabilidade da Cloudflare ocorreu no dia seguinte à divulgação, pela Microsoft, de detalhes sobre um ataque de negação de serviço (DDoS) de escala recorde que sua plataforma Azure sofreu. Em 24 de outubro de 2025, a infraestrutura da Azure mitigou com sucesso um ataque que atingiu um pico de 15.72 Tbps, originado pela botnet Aisuru [3].

Ainda que alguns veículos estejam especulando que esses eventos estão relacionados, ainda não, até o momento da escrita desse post, nenhuma evidência ou confirmação disso.

Este ataque massivo envolveu mais de 500.000 dispositivos IoT comprometidos, como roteadores e câmeras, e destaca o poder destrutivo que as botnets modernas podem alcançar. Embora a Microsoft tenha conseguido neutralizar a ameaça sem impacto para seus clientes, o episódio serve como um forte indicativo da crescente sofisticação e escala dos ataques cibernéticos contra a infraestrutura de nuvem 3.

Confusão com o Ataque à Azure

Uma fonte significativa de confusão é que duas grandes notícias de cibersegurança foram divulgadas quase simultaneamente:

Notícia 1: Instabilidade da Cloudflare (18 de novembro de 2025)

• Evento atual, em andamento.

• Causa: Pico de tráfego incomum, origem desconhecida.

• Impacto: Interrupção de serviços globais.

Notícia 2: Ataque DDoS à Azure (divulgado em 17-18 de novembro de 2025)

• Evento ocorrido em 24 de outubro de 2025.

• Causa: Ataque DDoS da botnet Aisuru.

• Resultado: Microsoft mitigou com sucesso, sem impacto aos clientes

Importante: O ataque à Azure ocorreu há quase um mês e foi mitigado com sucesso. A Microsoft apenas divulgou os detalhes técnicos do ataque nesta semana. Não há conexão entre o ataque à Azure e a instabilidade da Cloudflare.

Um Alerta para a Infraestrutura Crítica da Internet

Como dito, embora não haja, até o momento, nenhuma evidência que conecte a instabilidade da Cloudflare ao ataque contra a Azure, a ocorrência de dois eventos de tão grande magnitude em um curto espaço de tempo é um alerta contundente. Ambos os incidentes, cada um à sua maneira, expõem as vulnerabilidades inerentes à arquitetura centralizada da internet moderna.

A dependência de poucos grandes players, como Cloudflare, AWS e Azure, significa que uma falha técnica ou um ataque bem-sucedido pode ter consequências globais. A resiliência da internet depende da capacidade dessas empresas de não apenas inovar em segurança e desempenho, mas também de responder rapidamente a incidentes inevitáveis.

Para empresas e desenvolvedores, a lição é clara: a resiliência digital não pode ser terceirizada por completo. É fundamental adotar práticas de contingência, como arquiteturas multi-cloud, monitoramento proativo e planos de resposta a incidentes, para garantir a continuidade dos negócios diante de um cenário de ameaças e falhas cada vez mais complexo.

Referências:

[1] The Guardian. (2025, 18 de novembro). Cloudflare outage causes error messages across the internet.

[2] Reuters. (2025, 18 de novembro). Cloudflare outage easing after impacting thousands of internet users.

[3] Microsoft Azure Infrastructure Blog. (2025, 17 de novembro). Defending the cloud: Azure neutralized a record-breaking 15 Tbps DDoS attack.

Linha do tempo | Instabilidade da Cloudflare

A Cloudflare publicou as seguintes atualizações em sua página de status (referência: Página oficial de status da Cloudflare):

13:35 UTC (10:35 AM horário de Brasília): A empresa continua trabalhando na restauração dos serviços para clientes de serviços de aplicação. Alguns serviços já foram restaurados, mas o trabalho de recuperação ainda está em andamento.

13:13 UTC (10:13 AM horário de Brasília): A Cloudflare implementou mudanças que permitiram a recuperação do Cloudflare Access e do WARP. Os níveis de erro para usuários desses serviços retornaram às taxas anteriores ao incidente. O acesso WARP em Londres foi reabilitado.

13:09 UTC (10:09 AM horário de Brasília): O problema foi identificado e uma correção está sendo implementada.

12:21 UTC (9:21 AM horário de Brasília): A empresa reportou que os serviços estavam se recuperando, mas os clientes ainda poderiam observar taxas de erro acima do normal durante os esforços de remediação.

11:48 UTC (8:48 AM horário de Brasília): Início da investigação oficial do problema, confirmando degradação interna do serviço.

Vol. 1 No. 20251115-962 (2025)

Alerta: Vulnerabilidade Crítica em Equipamentos Fortinet com Exploração Ativa

Adriano Cansian | adriano.cansian@unesp.br | 15/11/2025

Alerta Técnico – Vulnerabilidade CVE-2025-64446

Data: 14/11/2025
Severidade: Crítica – CVSS 9.8
Status: Explorada ativamente desde outubro/2025
Produtos afetados: FortiWeb 7.0 a 8.0 (múltiplas versões)

Resumo Executivo

Em 14 de novembro de 2025, a Fortinet e a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) divulgaram um alerta sobre uma vulnerabilidade crítica de Path Traversal (CWE-23) que afeta os produtos FortiWeb, o Web Application Firewall (WAF) da Fortinet. A falha, identificada como CVE-2025-64446, possui uma pontuação CVSSv3 de 9.8 (Crítica) e está sendo ativamente explorada por atacantes desde o início de outubro de 2025 1.

A vulnerabilidade permite que um atacante não autenticado execute comandos administrativos remotos em sistemas vulneráveis, levando a um comprometimento total do dispositivo. A CISA já adicionou esta falha ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com um prazo de remediação obrigatório até 21 de novembro de 2025

1. Visão Geral da Vulnerabilidade

A CVE-2025-64446 é uma vulnerabilidade crítica de Path Traversal (CWE-23) combinada com bypass de autenticação, permitindo que um atacante não autenticado execute operações administrativas via CGI (fwbcgi).

Esta é a terceira vulnerabilidade crítica da linha FortiWeb nos últimos 18 meses, reforçando o padrão preocupante de falhas severas na superfície de ataque de dispositivos de borda da Fortinet.

A falha ocorre em dois estágios principais:

  1. Path Traversal no endpoint /api/v2.0/…
  2. Impersonação via header CGIINFO (base64) aceito pela função cgi_auth() sem validação real

O resultado é o comprometimento total do dispositivo FortiWeb, com capacidade de persistência, desvio de políticas de segurança e movimentação lateral na rede.

A falha foi adicionada em 14/11/2025 ao catálogo CISA KEV (Known Exploited Vulnerabilities Catalog) com prazo de mitigação obrigatório até 21/11/2025.

2. Detalhes de Exploração

2.1 Estágio 1 – Path Traversal

No primeiro estágio, o atacante utiliza um endpoint de API válido para escapar do diretório esperado e alcançar o executável administrativo fwbcgi:

POST /api/v2.0/cmd/system/admin%3F/../../../../../cgi-bin/fwbcgi HTTP/1.1

O Path Traversal permite que requisições atinjam o binário fwbcgi, responsável por operações administrativas no dispositivo.

2.2 Estágio 2 – Impersonação via CGIINFO

O binário fwbcgi utiliza a função cgi_auth(), que:

  • não valida corretamente credenciais de autenticação;
  • aceita um header HTTP chamado CGIINFO;
  • confia em informações de identidade fornecidas em JSON, codificadas em Base64.

Exemplo de payload JSON, antes de ser codificado em Base64:

{
  "username": "admin",
  "profname": "super_admin",
  "vdom": "root",
  "loginname": "admin"
}

Quando esse payload é aceito, o sistema concede privilégios administrativos completos, permitindo ao atacante criar novas contas, alterar configurações e manter persistência no dispositivo.

3. Impacto Operacional

Um atacante que explore com sucesso a CVE-2025-64446 pode:

  • Criar usuários administradores persistentes e ocultos;
  • Modificar políticas, regras e perfis de proteção do WAF;
  • Desabilitar ou contornar mecanismos de segurança;
  • Exfiltrar dados inspecionados e registrados pelo WAF;
  • Realizar movimentação lateral a partir do dispositivo comprometido.

Por se tratar de um WAF de borda, a vulnerabilidade abre um vetor crítico para ataques internos a partir de um equipamento que, normalmente, é considerado parte da camada de proteção.

4. Versões Afetadas (Confirmadas)

ProdutoVersões Vulneráveis
FortiWeb 8.08.0.0 – 8.0.1
FortiWeb 7.67.6.0 – 7.6.4
FortiWeb 7.47.4.0 – 7.4.9
FortiWeb 7.27.2.0 – 7.2.11
FortiWeb 7.07.0.0 – 7.0.11

5. Ação Recomendada (Imediata)

5.1 Atualizar Firmware – Única Remediação Definitiva

A Fortinet disponibilizou versões corrigidas. (Fortinet PSIRT FG-IR-25-910). A atualização é a única forma de remediação completa:

Versão AtualAtualizar para
8.0.x8.0.2
7.6.x7.6.5
7.4.x7.4.10
7.2.x7.2.12
7.0.x7.0.12

5.2 Mitigação Temporária (Workaround)

Se a atualização não puder ser aplicada imediatamente, recomenda-se:

  • Bloquear o acesso HTTP/HTTPS externo às interfaces administrativas do FortiWeb;
  • Permitir acesso de administração apenas por redes internas ou via VPN segura;
  • Monitorar tráfego para /cgi-bin/fwbcgi e padrões anômalos envolvendo /api/v2.0/... com Path Traversal.

Atenção: a mitigação reduz a superfície de ataque, mas não elimina a vulnerabilidade. A atualização de firmware continua obrigatória.

6. Indicadores de Comprometimento (IoCs)

6.1 Rede / Proxy / WAF Logs

Procurar por requisições com padrão de Path Traversal direcionadas ao binário CGI:

/api/v2.0/cmd/system/admin%3F/../../../../../cgi-bin/fwbcgi

Além disso, monitorar requisições contendo o header CGIINFO com conteúdo Base64, principalmente oriundas de IPs externos ou não autorizados.

CGIINFO: <string_base64_suspeita>

IPs com múltiplas tentativas de POST para esses caminhos devem ser tratados como suspeitos, com correlação adicional em outros logs.

6.2 Sistema / Configurações

Nos próprios dispositivos FortiWeb, verificar:

  • Criação de novas contas de administrador, principalmente a partir de outubro de 2025;
  • Contas com perfil de acesso prof_admin ou super_admin não reconhecidas pela equipe de segurança;
  • Configurações de trust host definidas como 0.0.0.0/0 ou ::/0 em contas administrativas;
  • Alterações não autorizadas em políticas, perfis, certificados e regras de inspeção.

7. Procedimentos de Resposta a Incidente

Em caso de suspeita de exploração da CVE-2025-64446, recomenda-se o seguinte fluxo para equipes de Blue Team / CERT / CSIRT:

  1. Isolar o dispositivo: restringir acesso administrativo externo, mantendo apenas o mínimo necessário para análise e operação.
  2. Coletar logs: exportar logs de sistema, eventos, auditoria e administração para um servidor seguro de análise.
  3. Revisar contas de usuário: identificar contas administrativas novas ou modificadas, sobretudo com perfis elevados.
  4. Analisar headers CGIINFO: quando possível, decodificar strings Base64 para determinar tentativas de impersonação de administradores.
  5. Aplicar atualização de firmware para as versões corrigidas recomendadas pela Fortinet.
  6. Revalidar configuração: revisar políticas, objetos, perfis e parâmetros de segurança para identificar alterações maliciosas.
  7. Verificar persistência: buscar scripts, agendamentos, acessos remotos ou configurações suspeitas que indiquem backdoors.
  8. Monitorar pós-correção: manter monitoramento reforçado por pelo menos 72 horas após a atualização e a revisão de segurança.

8. Conclusão

A CVE-2025-64446 representa uma vulnerabilidade de alta criticidade em dispositivos FortiWeb, com exploração ativa e baixo nível de complexidade técnica para o atacante. Dispositivos expostos à Internet, principalmente em ambientes de alta criticidade, estão sob risco significativo.

A atualização para versões corrigidas deve ser tratada como prioridade máxima em planos de resposta a incidentes e gestão de vulnerabilidades, especialmente em:

  • Provedores de serviços de Internet (ISPs e provedores regionais);
  • Órgãos públicos e infraestruturas críticas;
  • Instituições financeiras e meios de pagamento;
  • Ambientes acadêmicos com grande exposição de aplicações web;
  • Empresas que utilizam o FortiWeb para proteger aplicações sensíveis.

Equipes de segurança devem tratar essa vulnerabilidade como um incidente de severidade máxima, combinando correção, caça a ameaças (threat hunting) e monitoramento contínuo.

Referências

Vol. 1 No. 20250929-963 (2025)

HybridPetya: A Ameaça Silenciosa que Neutraliza o Secure Boot

Adriano Cansian | adriano.cansian@unesp.br | 29/09/2025

Resumo Executivo

Este alerta de segurança aborda a descoberta do HybridPetya, uma nova variante de ransomware que representa uma evolução significativa nas ameaças de firmware. Identificado em fevereiro de 2025, ele combina características dos notórios malwares Petya e NotPetya, que causaram estragos entre 2016 e 2017. A principal inovação do HybridPetya é sua capacidade de comprometer sistemas modernos baseados em UEFI, explorando a vulnerabilidade CVE-2024-7344 para contornar o Secure Boot em máquinas que não aplicaram as atualizações de revogação (dbx) da Microsoft de janeiro de 2025.

Embora ainda não haja evidências de campanhas ativas, a sofisticação técnica do HybridPetya exige atenção e preparação por parte dos profissionais de segurança.

Análise Técnica do HybridPetya

O HybridPetya, assim como seus predecessores, tem como alvo a Master File Table (MFT) em partições NTFS, tornando os arquivos do sistema operacional inacessíveis. No entanto, sua abordagem é mais sofisticada, utilizando um bootkit UEFI para garantir sua persistência e execução antes mesmo do carregamento do sistema operacional.

O Bootkit UEFI e o Processo de Criptografia

A principal inovação do HybridPetya é a sua capacidade de instalar uma aplicação EFI maliciosa na EFI System Partition (ESP). Este bootkit é responsável por orquestrar todo o processo de ataque. Uma vez executado, ele utiliza o algoritmo de criptografia Salsa20 para criptografar a MFT. Durante este processo, o malware exibe uma falsa mensagem do CHKDSK, o que leva o usuário a acreditar que o sistema está realizando uma verificação de disco, quando na verdade seus arquivos estão sendo criptografados.

O processo de ataque pode ser resumido da seguinte forma:

  1. Instalação: O malware instala sua aplicação EFI maliciosa na ESP.
  2. Configuração: O bootkit verifica um arquivo de configuração para determinar o estado da criptografia (pronto para criptografar, já criptografado ou resgate pago).
  3. Criptografia: Se o sistema ainda não foi comprometido, o bootkit extrai a chave de criptografia Salsa20 e inicia a criptografia da MFT.
  4. Falsa Verificação: Durante a criptografia, uma mensagem falsa do CHKDSK é exibida para enganar o usuário.
  5. Reinicialização: Após a conclusão da criptografia, o sistema é reiniciado e a nota de resgate é exibida.

Exploração da Vulnerabilidade CVE-2024-7344

Uma das variantes analisadas do HybridPetya explora a vulnerabilidade CVE-2024-7344 para contornar o UEFI Secure Boot. Esta falha de segurança reside em uma aplicação UEFI assinada pela Microsoft, chamada “Reloader“, que permite a execução de código não assinado a partir de um arquivo chamado cloak.dat. O HybridPetya explora essa falha para executar seu bootkit UEFI mesmo em sistemas com o Secure Boot ativado, desde que não tenham recebido as atualizações de revogação da Microsoft.

Diferenças em Relação ao Petya e NotPetya

Apesar das semelhanças, o HybridPetya apresenta diferenças cruciais em relação aos seus predecessores:

CaracterísticaPetya (2016)NotPetya (2017)HybridPetya (2025)
PropósitoRansomwareDestrutivo (wiper)Ransomware
RecuperaçãoPossívelImpossívelPossível
AlvoMBR e MFTMBR e MFTMFT (via UEFI)
UEFINãoNãoSim
PropagaçãoLimitadaAgressiva (rede)Limitada (até o momento)

É importante notar que, ao contrário do NotPetya, o HybridPetya foi projetado para funcionar como um ransomware tradicional. O algoritmo de geração de chaves, inspirado no proof-of-concept RedPetyaOpenSSL, permite que o operador do malware reconstrua a chave de descriptografia, tornando a recuperação dos dados possível mediante o pagamento do resgate.

Implicações de Segurança e Mitigação

O surgimento do HybridPetya reforça a importância da segurança de firmware e da necessidade de manter os sistemas atualizados. As seguintes medidas são recomendadas para mitigar o risco de ataques como este:

  • Atualizações de Firmware e SO: Manter o firmware UEFI e o sistema operacional sempre atualizados é a principal linha de defesa.
  • Atualizações de Revogação (dbx): Garantir que as atualizações de revogação do Secure Boot da Microsoft sejam aplicadas para bloquear a execução de binários vulneráveis conhecidos, como o explorado pela CVE-2024-7344.
  • Monitoramento da ESP: Monitorar a EFI System Partition em busca de modificações não autorizadas pode ajudar a detectar a instalação de bootkits UEFI.
  • Controle de Acesso: Restringir o acesso de gravação à ESP para usuários e processos não privilegiados.

Conclusão

O HybridPetya representa uma nova e sofisticada ameaça no cenário de ransomware, demonstrando a contínua evolução das técnicas de ataque para o nível de firmware. Embora ainda não tenha sido observado em campanhas ativas, seu potencial de dano é significativo, especialmente em ambientes que não seguem as melhores práticas de segurança de firmware. A comunidade de segurança deve permanecer vigilante e proativa na implementação de medidas de defesa para se proteger contra esta e outras ameaças emergentes.

Referências

Apêndice – Petya e NotPetya: Características Técnicas Confirmadas

Petya Original (2016)

Descoberta: Março de 2016.

Alvo: Master Boot Record (MBR) e Master File Table (MFT).

Propósito: Ransomware legítimo com possibilidade de recuperação.

Criptografia: Salsa20 para MFT.

NotPetya (2017)

Data do Ataque: 27 de junho de 2017

Vetor Inicial: Software de contabilidade ucraniano M.E.Doc

Propagação: EternalBlue, EternalRomance, PsExec, WMI, Mimikatz.

Alvo: MBR e MFT (similar ao Petya).

Diferencial: Destrutivo – sem possibilidade real de recuperação.

Impacto: Mais de $10 bilhões em danos globais

Atribuição: Origem Militar Russa (GRU) – confirmado pelos governos EUA e Reino Unido.

Vol. 1 No. 20250926-958 (2025)

Alerta: Vulnerabilidades Críticas em Dispositivos Cisco IOS e IOS XE

Adriano Cansian | adriano.cansian@unesp.br | 26/09/2025

Resumo Executivo

Este alerta de segurança aborda a descoberta de 14 vulnerabilidades graves que afetam os dispositivos das famílias de produtos Cisco IOS e IOS XE. A mais crítica destas vulnerabilidades, identificada como CVE-2025-20363, possui uma pontuação CVSS de 9.0 (Crítica) e permite a execução remota de código arbitrário sem necessidade de autenticação. A Cisco já disponibilizou as devidas atualizações de correção.

A exploração bem-sucedida destas vulnerabilidades pode levar a uma variedade de consequências danosas, incluindo a tomada de controlo total de dispositivos afetados, negação de serviço (DoS), escalonamento de privilégios e contorno de controlos de acesso. Dada a gravidade e o número de vulnerabilidades, recomenda-se a aplicação imediata das atualizações de segurança disponibilizadas pela Cisco para mitigar os riscos associados.

Vulnerabilidades Críticas

CVSS (Common Vulnerability Scoring System): Indica a gravidade técnica numa escala de 0 a 10.

EPSS (Exploit Prediction Scoring System): Estima a probabilidade de exploração nos próximos 30 dias numa escala de 0 a 1.

Percentil EPSS: Mostra a posição relativa comparada com todas as vulnerabilidades conhecidas. Percentis mais altos indicam maior probabilidade de exploração comparativa.

A lista a seguir resume as vulnerabilidades identificadas com os respectivos identificadores CVE e descrições.

CVE-2025-20363: Vulnerabilidade de estouro de memória que pode permitir a execução remota de código arbitrário. Produtos afetados: Cisco IOS e IOS XE. CVSS 9.0, EPSS 0.00164, Percentil 38.0%

CVE-2025-20334: Injeção de comandos nas interfaces de gestão do IOS XE, permitindo a execução remota de código. Produtos afetados: Cisco IOS XE. CVSS 8.8, EPSS 0.00098, Percentil 28.0%

CVE-2025-20315: Vulnerabilidade de negação de serviço (DoS) no reconhecimento de aplicações de rede do IOS XE. Produtos afetados: Cisco IOS XE. CVSS 8.6, EPSS 0.00105, Percentil 29.2%

CVE-2025-20160: Contorno do controlo de acesso do protocolo TACACS+ em dispositivos IOS e IOS XE. Produtos afetados: Cisco IOS e IOS XE. CVSS 8.1, EPSS 0.00069, Percentil 21.8%

CVE-2025-20352: Vulnerabilidade no SNMP que pode levar a DoS ou escalonamento de privilégios. Produtos afetados: Cisco IOS e IOS XE. CVSS 7.7, EPSS 0.00177, Percentil 39.7%

CVE-2025-20327: Vulnerabilidade que leva a DoS em switches industriais com IOS. Produtos afetados: Cisco IOS. CVSS 6.5, EPSS 0.00122, Percentil 32.1%

CVE-2025-20312: Vulnerabilidade de DoS no SNMP em dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 6.5, EPSS 0.00174, Percentil 39.4%

CVE-2025-20311: Vulnerabilidade de DoS em dispositivos Cisco Catalyst 9000. Produtos afetados: Cisco Catalyst 9000. CVSS 6.5, EPSS 0.00019, Percentil 3.6%

CVE-2025-20313: Contorno do arranque seguro (secure boot) em dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 6.0, EPSS 0.00050, Percentil 15.4%

CVE-2025-20314: Contorno do arranque seguro (secure boot) em dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 6.0, EPSS 0.00059, Percentil 18.7%

CVE-2025-20149: Capacidade de um utilizador local causar DoS em dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 5.5, EPSS 0.00023, Percentil 4.7%

CVE-2025-20240: Vulnerabilidade de Cross-Site Scripting (XSS) na interface de gestão do IOS XE. Produtos afetados: Cisco IOS XE. CVSS 5.4, EPSS 0.00040, Percentil 11.5%

CVE-2025-20338: Escalonamento de privilégios por um utilizador local em dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 5.5, EPSS 0.00009, Percentil 0.6%

CVE-2025-20293: Contorno do controlo de acesso nos serviços de certificados para certos dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 5.3, EPSS 0.00017, Percentil 2.8%

CVE-2025-20316: Contorno do controlo de acesso em certos dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 5.3, EPSS 0.00023, Percentil 4.5%

Interpretação dos Valores EPSS

É importante notar que os valores EPSS apresentados são relativamente baixos (todos abaixo de 0.2%), o que pode parecer contraditório face à gravidade elevada das vulnerabilidades. Esta situação deve-se a estas vulnerabilidades terem sido publicadas muito recentemente (24 a 26 de setembro de 2025). O modelo EPSS baseia-se em dados históricos de exploração real e necessita de tempo para ajustar as suas previsões à medida que mais informações sobre tentativas de exploração se tornam disponíveis. Vulnerabilidades recém-descobertas começam tipicamente com pontuações baixas que aumentam gradualmente conforme os atacantes desenvolvem e implementam exploits. Apesar dos valores EPSS baixos, a gravidade técnica elevada (CVSS) destas vulnerabilidades, especialmente as que permitem execução remota de código, justifica a aplicação imediata das correções de segurança.

Sistemas Afetados

As vulnerabilidades afetam uma vasta gama de dispositivos da família de produtos Cisco IOS e IOS XE. Para uma lista detalhada dos dispositivos e versões de software afetados, é crucial consultar os avisos de segurança oficiais da Cisco.

Ações Recomendadas

Para mitigar os riscos associados a estas vulnerabilidades, recomendam-se as seguintes ações imediatas:

  1. Identificação de Ativos: Realize um inventário completo de todos os dispositivos Cisco IOS e IOS XE presentes na sua rede.
  2. Análise de Vulnerabilidade: Verifique as versões de software dos dispositivos identificados para determinar se estão vulneráveis.
  3. Priorização de Correções: Dê prioridade à aplicação de correções nos dispositivos que estão expostos a redes externas ou que fazem parte de infraestruturas críticas.
  4. Aplicação de Atualizações: Aplique as atualizações de segurança disponibilizadas pela Cisco o mais rapidamente possível, com especial atenção para a vulnerabilidade CVE-2025-20363.

Referências

Para mais informações, consulte os avisos de segurança da Cisco:

Vol. 1 No. 20250910-948 (2025)

Alerta de Segurança: Vulnerabilidade Ativamente Explorada em Roteadores TP-Link

Adriano Cansian | adriano.cansian@unesp.br | 10/09/2025

Ameaça real a redes domésticas e corporativas

Nos últimos dias, a comunidade de segurança da informação voltou sua atenção para uma vulnerabilidade crítica que afeta roteadores da TP-Link, um dos fabricantes mais populares de equipamentos de rede do mundo.

Ainda que eu não acredite que essa vulnerabilidade sozinha possa representar grande risco para atores que não sejam de alto interesse, o uso combinado dessa vulnerabilidade com outras pode levar algum risco significativo, principalmente para pequenos negócios. De qualquer forma, não é bom ficar com vulnerabilidades em sua casa ou na sua empresa. Então, vamos explicar do que ela se trata e como mitigá-la, visto que o produto é descontinuado e ela não terá conserto definitivo.

A falha, identificada como CVE-2023-50224 está sendo ativamente explorada por agentes maliciosos, o que levou a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) a incluí-la em seu catálogo de vulnerabilidades conhecidas e exploradas (KEV). Não é uma vulnerabilidade teórica. A exploração ativa desta falha é antiga e remonta a 2023, sendo atribuída a uma botnet com objetivos de espionagem.

Análise da vulnerabilidade CVE-2023-50224

  • Descrição: trata-se de uma vulnerabilidade de evasão de autenticação por spoofing no serviço httpd do roteador TP-Link TL-WR841N. A falha permite que um atacante acesse o arquivo /tmp/dropbear/dropbearpwd, que contém credenciais de usuário, sem precisar de autenticação. Essencialmente, a vulnerabilidade abre uma porta para o roubo de senhas do roteador.
  • Produtos afetados: O principal produto afetado é o TP-Link TL-WR841N, um modelo extremamente popular e amplamente utilizado em residências e pequenos escritórios. Infelizmente, este modelo é considerado End-of-Life (EoL), o que significa que o fabricante não fornecerá mais atualizações de firmware para corrigir a falha.
  • Data de publicação: A vulnerabilidade foi divulgada publicamente em 19 de dezembro de 2023, mas foi adicionada ao catálogo KEV da CISA em 3 de setembro de 2025, após a confirmação de exploração ativa.
  • Severidade: Média (CVSS v3.1: 6.5 - AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N). Embora a pontuação não seja classificada como “Crítica”, o impacto real, se explorada, é extremamente alto devido à facilidade de exploração e ao fato de levar ao comprometimento total do dispositivo.
  • EPSS: 4.50% (baixa probabilidade de exploração nos próximos 30 dias).
  • Percentil EPSS: 88.70% indica que a pontuação é igual ou superior à de aproximadamente 88.7% das outras vulnerabilidades catalogadas, representando um risco significativamente elevado. Entenda mais sobre “percentil” no EPSS [nesse link].
  • Outras informações: A exploração desta vulnerabilidade está associada à botnet Quad7 (também conhecida como CovertNetwork-1658), que tem sido ligada a grupos de ameaças com objetivos de espionagem. Em vez de usar os roteadores para ataques de negação de serviço (DDoS), os atacantes os transformam em proxies secretos para lançar outros ataques, como roubo de credenciais de serviços em nuvem (Microsoft 365, etc.).

O Impacto Real: O Que Significa Para Você?

O comprometimento de um roteador vai muito além da simples perda de acesso à internet. Um atacante com controle sobre seu roteador pode:

  1. Interceptar todo o seu tráfego de internet: Isso inclui senhas, dados bancários, e-mails e qualquer outra informação não criptografada que passe pela sua rede.
  2. Redirecionar seu tráfego para sites falsos: O atacante pode realizar ataques de phishing em nível de rede, redirecionando você para um site falso do seu banco, por exemplo, para roubar suas credenciais.
  3. Usar sua rede para atividades ilegais: Como mencionado, os roteadores comprometidos estão sendo usados como uma rede de proxies para lançar ataques contra outras vítimas. Isso significa que sua rede pode ser implicada em atividades criminosas.
  4. Atacar outros dispositivos na sua rede: O roteador pode ser usado como um ponto de partida para atacar outros dispositivos conectados à sua rede local, como computadores, smartphones e dispositivos de IoT (câmeras, assistentes de voz, etc.).

O fato de o TP-Link TL-WR841N ser um dispositivo EoL agrava enormemente o risco. Não haverá uma correção oficial do fabricante. Se você possui este roteador, ele permanecerá vulnerável para sempre.

Recomendações: O Que Fazer Agora?

Dado o risco e a falta de um patch, a recomendação é clara e urgente.

Mitigação Primária (Ação Imediata)

  • Substitua o roteador imediatamente: Esta é a única maneira de garantir que sua rede esteja protegida contra esta vulnerabilidade. Desconecte o TP-Link TL-WR841N e substitua-o por um modelo de um fabricante confiável que ainda receba atualizações de segurança.

Mitigações Secundárias (Medidas Paliativas)

Se a substituição imediata não for possível, tome as seguintes medidas para reduzir o risco, mas entenda que elas não eliminam a vulnerabilidade:

  • Desative o gerenciamento remoto: Certifique-se de que o painel de administração do seu roteador não esteja acessível a partir da internet (WAN).
  • Altere a senha do administrador: Use uma senha forte e exclusiva. Embora a vulnerabilidade permita o roubo dessa senha, alterá-la pode dificultar o acesso se o atacante ainda não tiver explorado a falha.
  • Isole a rede: Se possível, crie uma rede de convidados (Guest Network) para dispositivos menos confiáveis e use a rede principal somente para dispositivos essenciais.

Conclusão

Verifique o modelo do seu roteador. Se for um TP-Link TL-WR841N, é recomendado que você adote as medidas de mitigação. A CVE-2023-50224 é um lembrete dos perigos associados ao uso de hardware de rede desatualizado. Roteadores são a porta de entrada para a internet e, quando comprometidos, colocam toda a sua vida digital em risco. A exploração ativa desta falha por grupos organizados mostra que mesmo vulnerabilidades de severidade “Média” podem ter consequências devastadoras no mundo real.

Referências

Vol. 1 No. 20250823-913 (2025)

Semana das vulnerabilidades em roteadores Wi-Fi da Linksys

Adriano Cansian | adriano.cansian@unesp.br | 23/08/2025

Nos últimos 7 dias (16 a 23 de agosto de 2025), com base em fontes públicas, realizamos um levantamento das vulnerabilidades registradas em roteadores e extensores de alcance de Wi-Fi da marca Linksys. As falhas identificadas são majoritariamente do tipo stack-based buffer overflow, remotamente exploráveis, e afetam modelos específicos da série RE, permitindo ataques sem autenticação.

Divulgadas recentemente, essas vulnerabilidades não receberam resposta do fabricante para notificações de divulgação coordenada, e não há patches disponíveis mencionados nas fontes, reforçando a importância de monitoramento contínuo e mitigação proativa. Elas são semelhantes entre si, afetando funções específicas no firmware dos dispositivos. Em seguida apresentamos esse levantamento para fins de acompanhamento:

CVEs Catalogados na Semana

1. CVE-2025-9356

  • Descrição: Extravazamento de buffer baseado em pilha na função inboundFilterAdd do endpoint /goform/inboundFilterAdd, desencadeado por um parâmetro ruleName excessivamente longo. Permite execução de código arbitrário remotamente, sem autenticação.
  • Produtos afetados: Linksys RE6250 (firmware 1.0.013.001), RE6300 (1.0.04.001), RE6350 (1.0.04.002), RE6500 (1.1.05.003), RE7000 (1.2.07.001), RE9000 (1.2.07.001).
  • Data de publicação: 22 de agosto de 2025.
  • Severidade: Alta (CVSS v4: 7.4; CVSS v3.1: 8.8; CVSS v2: 9.0).
  • EPSS: Não disponível ainda (a pontuação EPSS pode demorar para ser calculada em vulnerabilidades muito recentes).
  • Percentil EPSS: Não disponível ainda.
  • Outras informações: Exploit público disponível; similar a outras vulnerabilidades na mesma família de dispositivos (ex.: CVE-2025-8824).
  • Referência: https://www.cvedetails.com/cve/CVE-2025-9356/

2. CVE-2025-9252

  • Descrição: Transbordamento de buffer baseado em pilha na função DisablePasswordAlertRedirect do arquivo /goform/DisablePasswordAlertRedirect, manipulado pelo argumento hint. Ataque remoto possível, com exploit público.
  • Produtos afetados: Linksys RE6250 (1.0.013.001), RE6300 (1.0.04.001 e 1.0.04.002), RE6350 (1.1.05.003), RE6500 (1.2.07.001), RE7000 (1.0.013.001), RE9000 (1.0.013.001).
  • Data de publicação: 20 de agosto de 2025.
  • Severidade: Alta (CVSS v4: 7.4; CVSS v3.1: 8.8; CVSS v2: 9.0).
  • EPSS: 0.04% (probabilidade baixa de exploração nos próximos 30 dias).
  • Percentil EPSS: ~12% (indica que a pontuação é igual ou superior à de aproximadamente 12% das outras vulnerabilidades scored).
  • Outras informações: Associada a CWE-121 e CWE-119; sem resposta do fabricante.
  • Referência: https://www.cvedetails.com/cve/CVE-2025-9252/

3. CVE-2025-9249

  • Descrição: Transbordamento de buffer baseado em pilha na função DHCPReserveAddGroup, manipulado pelos parâmetros enable_group, name_group, ip_group e mac_group. Permite acesso não autorizado e comprometimento da integridade do dispositivo remotamente.
  • Produtos afetados: Linksys RE6250 (1.0.013.001, 1.0.04.001, 1.0.04.002), RE6300, RE6350, RE6500, RE7000, RE9000.
  • Data de publicação: 20 de agosto de 2025.
  • Severidade: Alta (CVSS v4: 7.4; CVSS v3.1: 8.8; CVSS v2: 9.0).
  • EPSS: 0.04% (probabilidade baixa de exploração nos próximos 30 dias).
  • Percentil EPSS: ~12% (indica que a pontuação é igual ou superior à de aproximadamente 12% das outras vulnerabilidades scored).
  • Outras informações: Exploit e PoC (Proof of Concept) públicos disponíveis; afeta confidencialidade, integridade e disponibilidade.
  • Referência: https://www.cvedetails.com/cve/CVE-2025-9249

4. CVE-2025-9253

  • Descrição: Transbordamento de buffer baseado em pilha na função RP_doSpecifySiteSurvey do arquivo /goform/RP_doSpecifySiteSurvey, manipulado pelo argumento ssidhex. Ataque remoto possível, com exploit público.
  • Produtos afetados: Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 (firmwares 1.0.013.001, 1.0.04.001, 1.0.04.002, 1.1.05.003, 1.2.07.001).
  • Data de publicação: 20 de agosto de 2025.
  • Severidade: Alta (CVSS v4: 7.4; CVSS v3.1: 8.8; CVSS v2: 9.0).
  • EPSS: 0.04% (probabilidade baixa de exploração nos próximos 30 dias).
  • Percentil EPSS: ~12% (indica que a pontuação é igual ou superior à de aproximadamente 12% das outras vulnerabilidades scored).
  • Outras informações: Associada a CWE-121 e CWE-119; sem resposta do fabricante.
  • Referência: https://www.cvedetails.com/cve/CVE-2025-9253

5. CVE-2025-9251

  • Descrição: Transbordamento de buffer baseado em pilha na função sta_wps_pin, manipulado pelo argumento Ssid. Permite execução de código remoto, comprometendo o dispositivo.
  • Produtos afetados: Linksys RE6250 (1.0.013.001, 1.0.04.001, 1.0.04.002); provavelmente afeta outros da série RE.
  • Data de publicação: 20 de agosto de 2025.
  • Severidade: Alta (CVSS v4: 7.4; CVSS v3.1: 8.8; CVSS v2: 9.0).
  • EPSS: 0.04% (probabilidade baixa de exploração nos próximos 30 dias).
  • Percentil EPSS: ~12% (indica que a pontuação é igual ou superior à de aproximadamente 12% das outras vulnerabilidades scored).
  • Outras informações: Exploit e PoC públicos disponíveis; afeta confidencialidade, integridade e disponibilidade.
  • Referência: https://www.cvedetails.com/cve/CVE-2025-9251

Compilado de produtos afetados:

  1. Linksys RE6250
    • Versões de firmware afetadas: 1.0.013.001, 1.0.04.001, 1.0.04.002
    • Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251
  2. Linksys RE6300
    • Versões de firmware afetadas: 1.0.04.001, 1.0.04.002
    • Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251
  3. Linksys RE6350
    • Versões de firmware afetadas: 1.0.04.002, 1.1.05.003
    • Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251
  4. Linksys RE6500
    • Versões de firmware afetadas: 1.1.05.003, 1.2.07.001
    • Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251
  5. Linksys RE7000
    • Versões de firmware afetadas: 1.0.013.001, 1.2.07.001
    • Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251
  6. Linksys RE9000
    • Versões de firmware afetadas: 1.0.013.001, 1.2.07.001
    • Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251

Observações Gerais:

  • Todas essas vulnerabilidades são remotamente exploráveis e não requerem interação do usuário ou privilégios elevados em muitos casos. Elas foram divulgadas em fontes como VulDB, SecAlerts e SecurityVulnerability.io, mas algumas ainda não aparecem no NVD (National Vulnerability Database) do NIST, possivelmente devido a atrasos na catalogação.
  • Há indícios de mais vulnerabilidades semelhantes na série RE (ex.: CVE-2025-9360, 9362, 9363 no VulDB), mas sem detalhes completos disponíveis nas buscas realizadas. Elas parecem seguir o mesmo padrão de buffer overflows.
  • Os valores de EPSS são baixos para as vulnerabilidades com dados disponíveis, indicando probabilidade reduzida de exploração imediata, mas o percentil ~12% sugere que elas estão acima de uma pequena porção de vulnerabilidades em termos de risco relativo. Para CVE-2025-9356, como é mais recente, o EPSS ainda não foi calculado no momento de escrita dessa publicação (23/08/2025 -13h25m GNT-3).
  • Recomendação: Atualize o firmware dos dispositivos Linksys o mais breve possível, desative o gerenciamento remoto se não for necessário, e monitore alertas de segurança. Para mais detalhes, consulte os sites de origem ou o site oficial da Linksys.
  • Se não houver vulnerabilidades adicionais ou se o período exato não capturou mais registros, isso reflete as informações disponíveis em tempo real.

Referências

  1. CVE-2025-9356 – cvefeed.io. “Linksys Wireless Router Stack-Based Buffer Overflow Vulnerability.” Publicado em 22 de agosto de 2025. Disponível em: https://cvefeed.io/cve/CVE-2025-9356
  2. CVE-2025-9252 – VulDB. “Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 DisablePasswordAlertRedirect stack-based buffer overflow.” Publicado em 20 de agosto de 2025. Disponível em: https://vuldb.com/?id.275566
  3. CVE-2025-9249 – VulDB. “Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 DHCPReserveAddGroup stack-based buffer overflow.” Publicado em 20 de agosto de 2025. Disponível em: https://vuldb.com/?id.275563
  4. CVE-2025-9253 – VulDB. “Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 RP_doSpecifySiteSurvey stack-based buffer overflow.” Publicado em 20 de agosto de 2025. Disponível em: https://vuldb.com/?id.275567
  5. CVE-2025-9251 – VulDB. “Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 sta_wps_pin stack-based buffer overflow.” Publicado em 20 de agosto de 2025. Disponível em: https://vuldb.com/?id.275565
  6. Tenable Vulnerability Database. “Common Vulnerabilities and Exposures (CVEs).” Disponível em: https://www.tenable.com/cve
  7. @CVEnew on X. Postagens sobre CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251. Publicado entre 20 e 22 de agosto de 2025. Disponível em: https://x.com/CVEnew

Vol. 1 No. 20250822-906 (2025)

Vulnerabilidade da Cisco de 2018 Continua Sendo Fortemente Explorada em 2025

Adriano Cansian | adriano.cansian@unesp.br | 22/08/2025

Ação Urgente

Se você gerencia dispositivos Cisco, verifique imediatamente se o Smart Install está ativado e aplique mitigações, especialmente dado as explorações recentes por atores estatais. Consulte o advisory oficial para versões específicas:

 https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-20180328-smi2.html

Informações Gerais

Estamos cientes que, apesar de ter sido divulgada há mais de sete anos, a vulnerabilidade CVE-2018-0171 no recurso Smart Install do software Cisco IOS e IOS XE permanece uma ameaça ativa, com explorações recentes por grupos cibernéticos apoiados por governos estrangeiros. Essa falha crítica permite que atacantes remotos não autenticados causem negação de serviço (DoS) ou executem código arbitrário em dispositivos afetados, facilitando o roubo de configurações de rede e o estabelecimento de acesso persistente. 

Recentemente, agências como o FBI e a Cisco emitiram alertas sobre o uso contínuo dessa vulnerabilidade por atores estatais russos e chineses, enfatizando a necessidade urgente de mitigações em dispositivos legados ou não atualizados. 

A vulnerabilidade CVE-2018-0171 tem uma pontuação EPSS (Exploit Prediction Scoring System) de aproximadamente 0.909, o que corresponde a uma probabilidade de exploração de cerca de 91%. O seu percentil de EPSS é de 98.1%, colocando-a no percentil 100 em termos de probabilidade de exploração.

CaracterísticaDetalhe
CVE IDCVE-2018-0171
Pontuação EPSS0.90926 – 0.90994 (90.994%)
Percentil EPSS98.1% – 100%
GravidadeCrítica
Vetor CVSS v3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Pontuação Base CVSS v3.19.8

Detalhes da Vulnerabilidade

A CVE-2018-0171 surge de uma validação inadequada de dados em pacotes recebidos pelo recurso Smart Install, que é projetado para simplificar a instalação e configuração automática de switches Cisco. Um atacante pode explorar a falha enviando pacotes maliciosos para a porta TCP 4786, causando um overflow de buffer que leva a recargas inesperadas do dispositivo, crashes ou execução remota de código (RCE). 

•  Vetor de Ataque: Remoto, sem autenticação necessária. Basta que o dispositivo esteja exposto à rede com o Smart Install ativado (padrão em muitos modelos antigos).

•  Impacto Técnico: Pode resultar em extração de arquivos de configuração via TFTP, injeção de comandos ou implantação de implantes como o SYNful Knock para persistência. 

•  Sistemas Afetados: Switches e roteadores Cisco rodando IOS ou IOS XE com Smart Install ativado, incluindo modelos industriais como os Rockwell Automation Stratix. Dispositivos end-of-life (EOL) são particularmente vulneráveis, pois não recebem mais atualizações.

A fraqueza está associada ao CWE-119 (buffer overflow) e CWE-20 (validação inadequada de entrada), tornando-a explorável por meio de provas de conceito (PoCs) públicas disponíveis desde 2018. 

Explorações Recentes e Contexto Histórico

Embora corrigida pela Cisco em março de 2018, a CVE-2018-0171 continua sendo explorada em 2025 devido à persistência de dispositivos não patchados em infraestruturas críticas.

•  Atividade Russa (Static Tundra / FSB Center 16): Desde 2022, o grupo russo Static Tundra, ligado ao FSB, explora ativamente a vulnerabilidade para comprometer milhares de dispositivos globais, incluindo roteadores em telecomunicações, educação e manufatura nos EUA, Ásia, África e Europa. Eles usam SNMP para acesso inicial, roubam configurações e implantam túneis GRE para persistência, com foco intensificado em alvos ucranianos desde a guerra Rússia-Ucrânia.  O FBI emitiu um alerta em 20 de agosto de 2025, destacando ataques a infraestrutura crítica. 

•  Atividade Chinesa (Salt Typhoon): Em dezembro de 2024 e janeiro de 2025, o grupo chinês Salt Typhoon explorou a CVE-2018-0171 em conjunto com credenciais roubadas para infiltrar redes de telecomunicações nos EUA, persistindo por mais de três anos.  IPs maliciosos de origens como Suíça e EUA foram observados em tentativas de exploração. 

Essas campanhas demonstram como vulnerabilidades antigas em dispositivos legados facilitam espionagem cibernética em escala global, com alertas recentes da CSA de Singapura e Cyber.gc.ca reforçando a urgência. 

Impacto e Riscos

•  Severidade: CVSS 9.8 (Crítica), com alta exploitability devido à ausência de autenticação e PoCs públicas. Probabilidade de exploração (EPSS) é elevada, especialmente em redes expostas.

•  Consequências: Roubo de dados sensíveis, DoS em infraestrutura crítica, pivoteamento para outros sistemas e implantação de malware persistente. Setores como telecom, energia e governo são os mais afetados, com potencial para interrupções em massa.

•  Por Que Ainda Relevante?: Milhões de dispositivos Cisco EOL ou não patchados permanecem online, detectáveis via ferramentas como Shodan, facilitando scans em massa.

Recomendações e Mitigação

A Cisco recomenda ações imediatas para mitigar o risco:

•  Correções Principais: Aplique patches de 2018 para versões suportadas de IOS/IOS XE. Para dispositivos EOL, migre para modelos atuais.  Consulte o advisory oficial para versões específicas: https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-20180328-smi2.html

•  Workarounds: Desative o Smart Install com o comando no vstack no modo de configuração global. Bloqueie a porta TCP 4786 via ACLs ou firewalls. Desative SNMP se não essencial, ou use versões seguras (v3 com autenticação).  

•  Melhores Práticas: Realize scans regulares de vulnerabilidades, monitore tráfego na porta 4786 e adote hardening de rede (ex.: senhas fortes, SSH em vez de Telnet). Use ferramentas como Cisco Talos para inteligência de ameaças.  

•  Detecção: Verifique logs por acessos SNMP suspeitos ou tentativas na porta 4786.

Epílogo

Essa vulnerabilidade destaca a importância de gerenciar patches em dispositivos de rede, mesmo anos após a divulgação.  Organizações com dispositivos Cisco devem priorizar auditorias imediatas, especialmente em ambientes OT ou de infraestrutura crítica, para evitar compromissos por atores como Static Tundra ou Salt Typhoon.

Referências

•  Cisco Security Advisory: Cisco IOS and IOS XE Software Smart Install Remote Code Execution Vulnerability. Disponível em: https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-20180328-smi2.html

•  NVD – CVE-2018-0171 Detail. Disponível em: https://nvd.nist.gov/vuln/detail/cve-2018-0171

•  FBI: Russian Government Cyber Actors Targeting Networking Devices. Disponível em: https://www.ic3.gov/PSA/2025/PSA250820

•  CyberScoop: Russian cyber group exploits seven-year-old network vulnerabilities. Disponível em: https://cyberscoop.com/russian-static-tundra-hacks-cisco-network-devices-cve-2018-0171/

•  The Hacker News: FBI Warns FSB-Linked Hackers Exploiting Unpatched Cisco. Disponível em: https://thehackernews.com/2025/08/fbi-warns-russian-fsb-linked-hackers.html

•  Cisco Talos: Russian state-sponsored espionage group Static Tundra. Disponível em: https://blog.talosintelligence.com/static-tundra/

Vol. 1 No. 20250817-901 (2025)

Vulnerabilidade Crítica de Execução Remota de Código no Fortinet FortiSIEM

Adriano Cansian | adriano.cansian@unesp.br | 17/08/2025

Estamos cientes que a Fortinet emitiu um alerta sobre uma vulnerabilidade de gravidade crítica que afeta seu produto FortiSIEM. A falha foi catalogada como a vulnerabilidade CVE-2025-25256, e permite que um invasor não autenticado execute comandos remotamente no sistema operacional dos dispositivos afetados.

A vulnerabilidade recebeu uma pontuação CVSS de 9.8, refletindo seu potencial de impacto máximo. A exploração bem-sucedida pode resultar no comprometimento total do equipamento, permitindo que o invasor execute código arbitrário com privilégios elevados.

Apesar da Fortinet não haver especificados indicadores de comprometimento (IoCs), temos a confirmação de que já existe pelo menos um código de exploit funcional para esta falha, o que significa que ataques ativos estão em andamento. Isso eleva drasticamente a urgência para a aplicação das devidas correções.

Detalhes Técnicos da Vulnerabilidade

  • Causa Raiz: A falha reside em uma vulnerabilidade de injeção de comando no sistema operacional, que pode ser acionada por meio de solicitações CLI (Interface de Linha de Comando) especialmente criadas para esse fim.
  • Vetor de Ataque: O ataque pode ser realizado remotamente, sem a necessidade de qualquer tipo de autenticação prévia, tornando qualquer sistema vulnerável exposto à internet um alvo fácil.
  • Impacto: A exploração permite a Execução Remota de Código (RCE), dando ao atacante controle total sobre o sistema FortiSIEM.

Versões Afetadas

A vulnerabilidade impacta muitas versões do FortiSIEM. As organizações que utilizam as seguintes versões devem tomar ações imediatas:

VersionAffectedSolution
FortiSIEM 7.4Not affectedNot Applicable
FortiSIEM 7.37.3.0 through 7.3.1Upgrade to 7.3.2 or above
FortiSIEM 7.27.2.0 through 7.2.5Upgrade to 7.2.6 or above
FortiSIEM 7.17.1.0 through 7.1.7Upgrade to 7.1.8 or above
FortiSIEM 7.07.0.0 through 7.0.3Upgrade to 7.0.4 or above
FortiSIEM 6.76.7.0 through 6.7.9Upgrade to 6.7.10 or above
FortiSIEM 6.66.6 all versionsMigrate to a fixed release
FortiSIEM 6.56.5 all versionsMigrate to a fixed release
FortiSIEM 6.46.4 all versionsMigrate to a fixed release
FortiSIEM 6.36.3 all versionsMigrate to a fixed release
FortiSIEM 6.26.2 all versionsMigrate to a fixed release
FortiSIEM 6.16.1 all versionsMigrate to a fixed release
FortiSIEM 5.45.4 all versionsMigrate to a fixed release

Recomendações e Mitigação

A recomendação principal e mais eficaz é a atualização imediata dos sistemas para as versões corrigidas disponibilizadas pela Fortinet.

Para ambientes onde a aplicação do patch não pode ser realizada imediatamente, a Fortinet sugere uma mitigação temporária: restringir o acesso à porta 7900 (phMonitor) do FortiSIEM, limitando a exposição a redes confiáveis e bloqueando o acesso externo.

Dada a existência de um exploit ativo, a inação não é uma opção. Recomenda-se que todos os administradores de sistemas Fortinet validem suas versões e apliquem os patches de segurança com a máxima prioridade para proteger seus ativos contra comprometimento.

Referências:

fortiguard.fortinet.com: https://fortiguard.fortinet.com/psirt/FG-IR-25-152 

Vol. 1 No. 20250817-898 (2025)

Vulnerabilidade no Software Cisco FMC em conjunto com RADIUS

Adriano Cansian | adriano.cansian@unesp.br |

Publicada em 14 de agosto de 2025, a vulnerabilidade CVE-2025-20265 é uma falha de segurança crítica encontrada no software Cisco Secure Firewall Management Center (FMC) que permite a um invasor remoto e não autenticado injetar e executar comandos arbitrários no dispositivo. A vulnerabilidade recebeu o valor de pontuação máxima de 10.0 no Common Vulnerability Scoring System (CVSS), classificando-a como “CRÍTICA”, e demandando atenção imediata.

Atualização em 19/08/2025 09:33 GMT-3:

  1. Publicação do EPSS: A CVE-2025-20265 obteve EPSS estável de 0.481%
  2. Baixo Risco de Exploração: probabilidade baixa de exploração nos próximos 30 dias
  3. Monitoramento Contínuo: Recomenda-se continuar acompanhando nos próximos dias/semanas. Utilize esse [LINK].

Pré-condição importante:

Entretanto, antes que se entre em pânico, é importante saber que existe uma pré-condição específica e indispensável para que a vulnerabilidade CVE-2025-20265 possa ser explorada: O software Cisco Secure Firewall Management Center (FMC) deve estar configurado para usar autenticação externa via RADIUS.

Isso se aplica tanto para o acesso à interface de gerenciamento baseada na web quanto para o acesso via SSH.

Se o sistema não estiver usando RADIUS para autenticação (por exemplo, se estiver usando contas de usuário locais, LDAP ou SAML), ele não está vulnerável a esta falha específica, mesmo que esteja executando uma versão de software afetada. A rota de ataque depende inteiramente da maneira como o subsistema RADIUS processa as credenciais de login.

IMPORTANTE: mesmo que você não utilize autenticação RADIUS, certifique-se que ela não está habilitada. Veja as instruções no apêndice desse texto, mais abaixo.

Pontos principais:

Causa: A falha ocorre devido ao tratamento inadequado da entrada do usuário durante a fase de autenticação no subsistema RADIUS. Um invasor pode explorar isso enviando entradas criadas especificamente ao inserir credenciais para serem autenticadas no servidor RADIUS configurado.

Fraqueza: CWE-74 Improper Neutralization of Special Elements in Output Used by a Downstream Component (‘Injection’)

Impacto: Uma exploração bem-sucedida pode permitir que o invasor execute comandos com um alto nível de privilégio, levando a uma possível comprometimento completo do sistema.

Produtos Afetados: As versões 7.0.7 e 7.7.0 do software Cisco Secure FMC são afetadas se tiverem a autenticação RADIUS ativada para a interface de gerenciamento baseada na web, gerenciamento SSH ou ambos.

Descoberta: A vulnerabilidade foi descoberta por um engenheiro de software da Cisco durante testes de segurança internos. Até o momento, a Cisco não tem conhecimento de nenhuma exploração desta vulnerabilidade em ataques reais.

Probabilidade de exploração: no momento de escrita desse alerta (17.ago.2025 18:30 GMT-3) a análise do EPSS que indica a probabilidade de exploração encontra-se pendente. O sistema EPSS atualiza suas pontuações diariamente, e é provável que um valor para esta CVE seja disponibilizado em breve, dada a sua alta criticidade. Até o momento não existe exploit público de ataque disponível, até onde se sabe.

Solução principal:

A correção para essa vulnerabilidade é simples. A forma mais eficaz e recomendada de corrigi-la é instalar as atualizações de software fornecidas pela Cisco. Os administradores devem atualizar seus sistemas para uma versão de software que não esteja vulnerável.

A empresa lançou versões corrigidas do software Cisco Secure Firewall Management Center (FMC) que resolvem essa falha. Consulte a recomendação do fabricante em https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-radius-rce-TNBKf79

Mitigação:

Se não for possível aplicar a atualização de software imediatamente, a Cisco recomenda as seguintes ações para mitigar o risco:

  1. Desativar a Autenticação RADIUS: A vulnerabilidade só pode ser explorada se a autenticação externa via RADIUS estiver habilitada. A principal mitigação é desativar o RADIUS para o acesso de gerenciamento (tanto para a interface web quanto para o SSH).
  2. Usar Métodos de Autenticação Alternativos: Em vez de RADIUS, os administradores podem configurar outros métodos de autenticação que não são afetados por esta vulnerabilidade, como:
    • Contas de usuário locais.
    • Autenticação externa via LDAP (Lightweight Directory Access Protocol).
    • Logon Único (SSO) usando SAML (Security Assertion Markup Language).

Referências

APÊNDICE – Como verificar se a autenticação RADIUS está habilitada no Cisco

1. Passo a Passo para Verificação via interface web

O processo consiste em duas etapas principais:

  1. Verificar se existe um servidor RADIUS configurado e ativo.
  2. Confirmar se esse servidor RADIUS está sendo usado para autenticação.

Etapa 1: Localizar e Inspecionar os Servidores de Autenticação Externa

Primeiro, você precisa ver onde os servidores de autenticação externa, como RADIUS, LDAP ou SAML, são configurados.

  1. Faça login na interface web do seu FMC.
  2. Navegue até a página de Autenticação Externa:
    • No menu superior, clique em System (Sistema).No menu suspenso, clique em Users (Usuários).Na página de Usuários, clique na aba External Authentication (Autenticação Externa).
    O caminho é: System > Users > External Authentication.
  3. Analise a Lista de Objetos de Autenticação:
    • Nesta página, você verá uma lista de todos os “objetos” de autenticação externa que foram criados.
    • Procure por qualquer objeto na lista cujo Authentication Method (Método de Autenticação) seja RADIUS.
  4. Verifique o Status do Objeto RADIUS:
    • Depois de encontrar um objeto RADIUS, olhe para a coluna Status.
    • Se o círculo de status estiver verde e o texto disser Enabled (Habilitado), significa que o FMC tem uma configuração RADIUS funcional e ativa.
    O que isso significa até agora? Você confirmou que o FMC está configurado para se comunicar com um servidor RADIUS. Agora, precisamos verificar se ele está realmente usando essa configuração para logins.

Etapa 2: Verificar se o RADIUS é o Método de Login Padrão

Mesmo que um servidor RADIUS esteja habilitado, ele pode não estar em uso. Ele precisa ser definido como o método de autenticação para os logins da interface web ou do SSH.

  1. Permaneça na mesma página (System > Users > External Authentication).
  2. Role a página para baixo até encontrar a seção chamada Default Authentication (Autenticação Padrão).
  3. Examine as Configurações Padrão:
    • Esta seção permite que você defina qual método de autenticação será usado por padrão para diferentes tipos de acesso.
    • Procure pelas opções:
      • Web: Para logins na interface gráfica.
      • SSH: Para logins via linha de comando.
  4. Verifique se o RADIUS está selecionado:
    • Olhe para os menus suspensos ao lado de Web e SSH.
    • Se algum desses menus estiver configurado para usar o objeto de autenticação RADIUS que você identificou na Etapa 1, então a autenticação RADIUS está ativa e em uso para esse tipo de acesso.

Para estar vulnerável à CVE-2025-20265, as seguintes condições devem ser verdadeiras na interface web:

(Condição 1 / Etapa 1): Você tem um objeto de autenticação externa com o método RADIUS que está Habilitado (Enabled)

AND

(Condição 2 / Etapa 2): Na seção Default Authentication, o menu suspenso para Web ou SSH (ou ambos) está selecionado para usar esse objeto RADIUS.

Se ambas as condições forem atendidas e sua versão de software for uma das afetadas (como 7.7.0 ou 7.0.7), seu sistema está vulnerável e requer ação imediata.

2. Passo a Passo para Verificação via CLI

A configuração de autenticação externa não é gerenciada por um único comando “show” simples. Você precisará inspecionar os arquivos de configuração diretamente ou usar utilitários do sistema. A maneira mais confiável é usar o FMC expert mode para acessar o shell do Linux e, em seguida, consultar o banco de dados de configuração. O método recomendado via CLI é:

  1. Acesse a CLI do FMC: Conecte-se ao seu dispositivo FMC usando SSH.
  2. Entre no Modo expert: No prompt da CLI, digite o comando expert. Isso lhe dará acesso ao shell do Linux subjacente.Bash> expert
  3. Execute o Comando de Consulta ao Banco de Dados: O FMC armazena suas configurações em um banco de dados. Você pode consultá-lo diretamente para encontrar as configurações de autenticação RADIUS. O comando a seguir usa mysql para consultar a tabela auth_modules no banco de dados usm_db e filtra por módulos RADIUS.Copie e cole o seguinte comando completo no prompt do expert mode: 
% sudo /usr/local/sf/bin/sf-mysql -e 'SELECT name, is_enabled, is_default_web, is_default_cli FROM usm_db.auth_modules WHERE type="Radius"'

Como Interpretar a Saída

O comando retornará uma tabela. Preste atenção nas seguintes colunas para cada servidor RADIUS configurado (identificado pela coluna name):

  • is_enabled: Se o valor for 1, o objeto de autenticação RADIUS está habilitado. Se for 0, está desabilitado.
  • is_default_web: Se o valor for 1, este servidor RADIUS é usado para a autenticação padrão da interface web.
  • is_default_cli: Se o valor for 1, este servidor RADIUS é usado para a autenticação padrão do acesso SSH/CLI.

Exemplo de Saída Vulnerável:

Plain Text

+-------------------+------------+------------------+------------------+
| name              | is_enabled | is_default_web   | is_default_cli   |
+-------------------+------------+------------------+------------------+
| ServidorRADIUS_Corp |          1 |                1 |                1 |
+-------------------+------------+------------------+------------------+

Neste exemplo:

  • O objeto “ServidorRADIUS_Corp” está habilitado (is_enabled = 1).
  • Ele é usado para autenticação web (is_default_web = 1).
  • Ele é usado para autenticação CLI/SSH (is_default_cli = 1).

Se você vir is_enabled como 1 e pelo menos um dos is_default_web ou is_default_cli também como 1, seu sistema está usando autenticação RADIUS e está vulnerável (se estiver em uma versão de software afetada).

Se a tabela estiver vazia ou se todos os valores nas colunas is_enabled, is_default_web e is_default_cli forem 0, então a autenticação RADIUS não está ativa e você não está exposto a esta vulnerabilidade específica.

Este método CLI é ideal para verificações rápidas, auditorias ou para uso em scripts de automação.

<FIM DO DOCUMENTO>

Vol. 1 No. 20250808-789 (2025)

Vulnerabilidade no Microsoft Exchange Server

Adriano Cansian | adriano.cansian@unesp.br | 08/08/2025

INTRODUÇÃO

Estamos cientes de uma vulnerabilidade de alta gravidade, a qual permite que um agente de ameaça cibernética com acesso administrativo a um servidor Microsoft Exchange local aumente privilégios explorando configurações híbridas vulneráveis. Essa vulnerabilidade, se não for corrigida, pode afetar a integridade da identidade do serviço Exchange Online de uma organização. Uma vez explorada, permite que um atacante com acesso administrativo a um servidor MS Exchange local consiga elevar seus privilégios para o ambiente em nuvem (Exchange Online), potencialmente comprometendo todo o domínio.

Ela foi catalogada como a vulnerabilidade CVE-2025-53786 com pontuação CVSS de 8.0 (Alta).

  • Tipo: Escalonamento de privilégios.
  • Gravidade: Alta, com pontuação CVSS de 8.0.
  • Vetor:  CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
  • CWE-287: CWE-287: Improper Authentication
  • Impacto: Permite que um atacante com acesso administrativo local acesse o ambiente em nuvem sem deixar rastros facilmente detectáveis, explorando a confiança entre o Exchange local e o Exchange Online.
  • Causa principal: O uso de um service principal compartilhado para autenticação entre o servidor local e a nuvem em configurações híbridas, criando uma ligação que pode ser explorada.

OBSERVAÇÃO: Não há evidências de exploração ativa até o momento, 08 de agosto de 2025, mas a Microsoft classifica a vulnerabilidade como Exploitation More Likely (Exploração Razoavelmente Provável) devido à sua gravidade. Independente de não haver relatos da exploração da vulnerabilidade em larga escala, nós recomendamos fortemente a aplicação de mitigação sugerida nesse documento.

A exploração é particularmente perigosa porque pode passar despercebida. O ataque não gera logs ou alertas evidentes, dificultando a detecção, já que usa funções legítimas do sistema.

RESUMO DA VULNERABILIDADE

O atacante já deve ter privilégios administrativos no servidor Exchange local, por exemplo, via uma senha fraca, outra vulnerabilidade, ação de phishing ou credenciais roubadas.

Como ocorre a exploração da vulnerabilidade:

  • O atacante acessa as keyCredentials do service principal, armazenadas na configuração do Exchange ou via PowerShell/Graph API.
  • Com essas chaves, ele gera um token S2S (server-to-server) válido para autenticação na nuvem.
  • Isso permite acesso a recursos como caixas de e-mail no Exchange Online, envio de e-mails em nome de outros usuários, alterações em configurações de segurança ou até pivô para outros serviços, como SharePoint Online.
  • Para entender o que é o service principal e o KeyCredentials e como esses se combinam para o ataque, consulte o apêndice desse alerta.

Quais os riscos associados:

  • Comprometimento de dados sensíveis (e-mails, configurações de segurança).
  • Movimento lateral para outros serviços na nuvem (como SharePoint).
  • Potencial para comprometimento total do domínio em ambientes híbridos.
  • A exploração é particularmente perigosa porque pode passar despercebida, mesmo com ferramentas de monitoramento como Conditional Access ou de autenticação MFA.

MITIGAÇÃO RECOMENDADA

1. Aplicar o hotfix de abril de 2025:

  • Instale a atualização de segurança em todos os servidores Exchange locais (2016, 2019 ou Subscription Edition) em modo híbrido.
  • Verifique se os servidores estão dentro do ciclo de suporte (ex.: Exchange 2019 CU14/CU15, Exchange 2016 CU23).

2. Fazer inventário e verificação:

  • Use o script HealthChecker.ps1 da Microsoft para identificar servidores afetados e gerar relatórios.

3. Migrar para um service principal dedicado:

  • Execute o Hybrid Configuration Wizard (HCW) atualizado para configurar uma nova entidade de serviço dedicada:
.\HybridConfigurationWizard.exe /Upgrade

.\HybridConfigurationWizard.exe /Configure
  • Redefina as keyCredentials do service principal compartilhado:
Connect-MgGraph -Scopes "Application.ReadWrite.All"
$sp = Get-MgServicePrincipal -Filter "displayName eq 'Exchange Hybrid Modern Auth Service Principal'"
Update-MgServicePrincipal -ServicePrincipalId $sp.Id -KeyCredentials @()

4. Adotar boas práticas

  • Minimize permissões administrativas.
  • Habilite e monitore logs detalhados.
  • Desconecte da internet servidores Exchange ou SharePoint em fim de vida (EOL).
  • Considere migrar para protocolos mais seguros, como Graph API, e reduzir o uso de Exchange Web Services (EWS).

INFORMAÇÕES ADICIONAIS

  • Descoberta: A vulnerabilidade foi reportada por Dirk-jan Mollema da Outsider Security e apresentada na conferência Black Hat no último dia 6 de agosto de 2025.
  • Diretiva da CISA: Agências federais dos EUA foram obrigadas a mitigar a falha até 11 de agosto de 2025, mas a recomendação se estende a todas as organizações com ambientes híbridos.
  • Contexto maior: Tal falha reforça a necessidade de revisar configurações legadas em ambientes híbridos e adotar modelos de zero trust para minimizar riscos.

REFERÊNCIAS:

[1] CISA – Emergency Directives ED 25-02: Mitigate Microsoft Exchange Vulnerability – Released: Aug 7, 2025

[2] Microsoft Exchange Server Hybrid Deployment Elevation of Privilege Vulnerability – CVE-2025-53786 Security Vulnerability – Released: Aug 6, 2025

[3] CVE-2025-53786

APÊNDICE

A keyCredentials é como um “chaveiro” criptográfico, que funciona como uma carteira de identidade do service principal híbrido. Ela é usada para autenticar um servidor Exchange local na nuvem. Na vulnerabilidade CVE-2025-53786, um atacante com acesso administrativo local pode roubar esse chaveiro (keyCredentials) e usá-lo para fazer se passar pelo servidor, acessando o Exchange Online sem deixar rastros óbvios.

O que é um Service Principal?

Um service principal é uma identidade não-humana usada em sistemas da Microsoft (como o Azure Active Directory, agora Microsoft Entra ID) para autenticar aplicativos ou serviços, permitindo que eles interajam com outros recursos na nuvem, como o Exchange Online. No caso de ambientes híbridos do Exchange, o service principal é usado para facilitar a comunicação segura entre o Exchange Server local (on-premises) e o Exchange Online (nuvem).

  • Função no ambiente híbrido: O service principal híbrido atua como uma “ponte” de autenticação, permitindo que o servidor local execute ações na nuvem, como sincronizar dados, gerenciar caixas de e-mail ou autenticar usuários. Ele é configurado automaticamente pelo Hybrid Configuration Wizard (HCW) durante a criação do ambiente híbrido.

O que é a keyCredentials?

A keyCredentials é uma propriedade do service principal que armazena as chaves criptográficas (certificados ou chaves assimétricas) usadas para autenticar o service principal no Microsoft Entra ID. Essas chaves são essenciais para o processo de autenticação server-to-server (S2S), permitindo que o servidor local consiga provar sua identidade ao acessar recursos na nuvem.

  • Formato: A keyCredentials contém informações como:
    • Chave pública de um certificado.
    • Identificador da chave (keyId).
    • Tipo de chave (geralmente assimétrica, como RSA).
    • Datas de validade (início e fim).
  • Uso: Quando o servidor Exchange local precisa acessar o Exchange Online, ele usa a chave privada correspondente à keyCredentials para assinar um token de autenticação (JWT). Esse token é validado pela nuvem usando a chave pública armazenada na keyCredentials.