Autor: Adriano Cansian

Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP - Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas "Computers & Security" e "International Journal of Forensic Computer Science", consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.

Vol. 1 No. 20260127-1101 (2025)

Atualização de Emergência Microsoft

Adriano Cansian | adriano.cansian@unesp.br | 27/01/2026

Esse é um alerta crítico. A Microsoft lançou no início da noite de ontem (26 de janeiro de 2026) uma atualização de segurança de emergência, para corrigir a vulnerabilidade zero-day CVE-2026-21509, que permite contornar de proteções contra controles inseguros nos aplicativos Microsoft Office, fazendo que um ataque possa acontecer por intermédio de um documento ou arquivo malicioso, possivelmente sem interação do usuário.

A vulnerabilidade atinge aplicações Microsoft Office / 365 tanto no Windows como no macOS (veja comentário sobre o MacOS no final dessa postagem).

Temos notícias de que vulnerabilidade essa está sendo explorada ativamente por atacantes usando documentos maliciosos.

Essa falha afeta todas as versões, tais como Office 2016, 2019, LTSC 2021/2024 e Microsoft 365 Apps Enterprise, bem como Microsoft 365 Standalone ou Famility Edition, tanto no Windows quanto no macOS.

O que fazer, imediatamente

  1. Aplique as atualizações de segurança do Microsoft Office via Microsoft Update ou WSUS.​ 
  2. Reinicie as aplicações Microsoft 365 (muito importante), ou faça um reboot.
  3. Como mitigação temporária, configure o registro do Windows com a chave “Compatibility Flags” = 0x400 em HKEY_CURRENT_USER\Software\Microsoft\Office[version]\Common para reforçar as proteções OLE.
  4. Monitore phishing com anexos Office, dado o uso em campanhas direcionadas.

Nota importante: reinicie a aplicação

Não há um “número de versão/build” específico a partir do qual se esteja seguro, pois a correção é aplicada via service-side change (mudança da regra de proteção COM/OLE nos servidores Microsoft). Assim, Office 2021 e posteriores, que estejam atualizados, ficam protegidos com a versão mais recente que você tenha testado como atualizada em 26/01/2026, e após reinício completo dos aplicativos, sem necessidade de novo patch de instalação ou alteração no número da versão local. Ou seja, se sua versão já estiver atualizada, pode ser que você não veja uma mudança no número de versão.

Severidade CVSS E EPSS

A pontuação CVSS de severidade dessa vulnerabilidade é 7.8 (alta severidade). No momento de escrita desse alerta (27/01/2026 9h43m BRT), ela ainda não possui um score EPSS (Exploit Prediction Scoring System) disponível nos dados públicos recentes, pois foi divulgada há apenas um dia (26 de janeiro de 2026). O EPSS é atualizado diariamente pela FIRST.org com base em dados de exploração real. Como ela está sendo explorada ativamente e listada no catálogo KEV da CISA, espera-se um score EPSS elevado. Verifique em https://www.first.org/epss/search?cve=CVE-2026-21509 para o valor mais atual.

Detalhamento

As proteções contra controles COM/OLE inseguros no Microsoft Office são mecanismos de segurança implementados para bloquear a execução automática de objetos “COM” (Component Object Model) e “OLE” (Object Linking and Embedding) potencialmente maliciosos.

Objetos COM/OLE perigosos são componentes ActiveX ou objetos vinculados, embutidos, anexados ou inseridos em documentos do Microsoft Office (como ícones, gráficos ou mini-aplicativos de outros programas) que podem conter código malicioso.

Eles podem explorar a confiança automática do Office para executar scripts ou payloads sem interação segura do usuário, permitindo roubo de dados, instalação de malware ou controle remoto do sistema, como observado em ataques por meio de macros VBA, arquivos HTA ou streams OLE ofuscados em documentos Word ou Excel.

A Microsoft introduziu mecanismos de mitigação, incluindo kill bits, para reduzir esses riscos, especialmente em cenários de phishing com anexos maliciosos. Em segurança cibernética, chamamos essas proteções de “kill bits“. Esses kill bits são flags de segurança no Registro do Windows que desabilitam a criação ou execução de controles ActiveX específicos no Microsoft Office. A vulnerabilidade zero-day CVE-2026-21509 no Microsoft Office explora uma falha relacionada a essa proteção, permitindo contornar a restrição imposta pelos kill bits.

Apple / macOS

A CVE-2026-21509 afeta sim o Microsoft 365 no macOS, especificamente as Microsoft 365 Apps for Enterprise, Family e Standalone (incluindo Word, Excel, PowerPoint, Outlook), pois as mitigações OLE/COM são aplicadas no cliente Office, não dependentes do Sistema Operacional.

A Microsoft confirma que para Office 2021 e posteriores (incluindo M365), a proteção é via service-side change, requerendo reinício dos apps no macOS após propagação do serviço, similar ao Windows. Verifique atualizações no Microsoft AutoUpdate no macOS e reinicie os apps para ativar a correção emergencial de 26/01/2026.

Apesar da correção ter saído ontem, 26/1/2026, no caso do macOS a versão NÃO vulnerável é a partir de, e incluindo, a Version 16.105.1, de 20/01/2026. Em outras palavras, a instalação em si não muda de número de versão via patch tradicional; o ambiente passa a ficar protegido quando o tenant já recebeu a atualização no serviço e o usuário reinicia Word/Excel/PowerPoint/Outlook, momento em que as novas mitigações OLE/COM entram em vigor.

Caso queira verificar e forçar uma atualização no macOS, os comandos via terminal são os seguintes:

cd "/Library/Application Support/Microsoft/MAU2.0/Microsoft AutoUpdate.app/Contents/MacOS"
./msupdate --list  # Lista atualizações disponíveis
./msupdate --install  # Instala todas

Referências

[1] NVD (NIST)https://nvd.nist.gov/vuln/detail/CVE-2026-21509

[2] Microsoft MSRChttps://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509

[3] Microsoft – Configurações de segurança para objetos COM no Office.

[4] Microsoft Learn – Como controlar o bloqueio de componentes OLE/COM na Assinatura do Microsoft 365

Vol. 1 No. 20251226-1078 (2025)

Vulnerabilidades Associadas à Campanha BRICKSTORM e aos Atores UNC5221

Adriano Cansian | adriano.cansian@unesp.br | 26/12/2025

Complementando as informações sobre a campanha BRICKSTORM, sobre a qual falamos em postagem anterior.

Atribuída ao grupo UNC5221 (atores patrocinados pela China), BRICKSTORM está associada a múltiplas vulnerabilidades críticas em dispositivos de perímetro e em infraestruturas de acesso remoto. Embora BRICKSTORM em si não seja uma vulnerabilidade específica (ela é um malware do tipo “backdoor“), os atores exploram várias CVEs para obter acesso inicial aos ambientes das vítimas.

A seguir listamos todas as CVEs que apuramos estarem associadas a essa campanha. Nossa recomendação é que o leitor faça a gestão de vulnerabilidades e corrija ou mitigue essas vulnerabilidades, para evitar ser vítima dessa campanha.

Observação: os valores de EPSS foram levantados em 26/12/2025.

CVEs Explorados por UNC5221

1. CVE-2025-0282 e CVE-2025-0283 (Ivanti Connect Secure)

Tipo: Buffer Overflow / Autenticação.

Plataforma: Ivanti Connect Secure (“ICS”) VPN appliances.

Versões Afetadas: 22.7R2.5 e anteriores

Data de Divulgação: 8 de janeiro de 2025.

Severidade: Crítica

EPSS (CVE-2025-0282): 94.11% – Probabilidade muito alta de exploração nos próximos 30 dias.

EPSS (CVE-2025-0283): 22.99% – Probabilidade moderada de exploração nos próximos 30 dias.

Descrição: CVE-2025-0282 é um buffer overflow baseado em stack não autenticado que permite execução remota de código (RCE). Exploração bem-sucedida resulta em acesso não autenticado ao appliance VPN, levando a comprometimento potencial de toda a rede downstream.

Exploração por UNC5221: Zero-day exploitation começou em meados de dezembro de 2024. Após exploração, UNC5221 implanta múltiplas famílias de malware customizado incluindo ZIPLINE, THINSPOOL, LIGHTWIRE e WARPWIRE.

Técnicas Pós-Exploração:

  • Desabilitar SELinux;
  • Bloquear syslog forwarding via iptables;
  • Remontar drive como read-write;
  • Implantar web shells em getComponent.cgi e restAuth.cgi;
  • Usar PHASEJAM dropper para modificações persistentes;
  • Simular atualizações do sistema para evitar detecção.

2. CVE-2025-22457 (Ivanti Connect Secure)

Tipo: Buffer Overflow.

Plataforma: Ivanti Connect Secure VPN appliances.

Versões Afetadas: 22.7R2.5 e anteriores, 9.x (end of life).

Data de Divulgação: 3 de abril de 2025.

Severidade: Crítica.

EPSS: 49.13% – Probabilidade moderada-alta de exploração nos próximos 30 dias

Descrição: Buffer overflow que permite execução remota de código. Exploração bem-sucedida resulta em RCE no appliance VPN.

Exploração por UNC5221: Exploração ativa observada desde março de 2025. Após exploração inicial, UNC5221 implanta BRICKSTORM e outras ferramentas de backdoor para manter acesso persistente.

3. CVE-2023-46805 (Ivanti Connect Secure)

Tipo: Authentication Bypass.

Plataforma: Ivanti Connect Secure VPN.

Data de Descoberta: Dezembro de 2023.

Severidade: Crítica.

EPSS: 94.37% – Probabilidade muito alta de exploração nos próximos 30 dias.

Descrição: Bypass de autenticação que permite acesso não autorizado ao appliance.

Exploração por UNC5221: Explorado desde dezembro de 2023 como parte de campanha de longa duração. Combinado com CVE-2024-21887 para obter acesso inicial.

Malware Implantado: ZIPLINE (passive backdoor), THINSPOOL (dropper), LIGHTWIRE (web shell), WARPWIRE (credential harvester).

4. CVE-2024-21887 (Ivanti Connect Secure)

Tipo: Command Injection.

Plataforma: Ivanti Connect Secure VPN.

Data de Descoberta: 2023-2024.

Severidade: Crítica.

EPSS: 94.41% – Probabilidade muito alta de exploração nos próximos 30 dias.

Descrição: Injeção de comando que permite execução de comandos arbitrários.

Exploração por UNC5221: Explorado em conjunto com CVE-2023-46805 para obter acesso inicial e executar código malicioso.

5. CVE-2023-4966 (Citrix NetScaler ADC/Gateway)

Tipo: Divulgação de Informação Sensível / Buffer Overflow.

Plataforma: Citrix NetScaler ADC e NetScaler Gateway appliances.

Severidade: Crítica.

EPSS: 94.35% – Probabilidade muito alta de exploração nos próximos 30 dias.

Exploração por UNC5221: Zero-day exploitation documentado. Parte do histórico de UNC5221 de exploração de zero-days em dispositivos edge.

Relação com BRICKSTORM

Como já mencionado, BRICKSTORM não é uma vulnerabilidade específica, mas sim um malware backdoor implantado após exploração bem-sucedida de uma das CVEs acima. O fluxo típico de ataque é:

  1. Acesso Inicial: Exploração de CVE em dispositivo edge (Ivanti, NetScaler, etc.).
  2. Implantação de Malware: Após RCE, UNC5221 implanta BRICKSTORM ou outras ferramentas de backdoor.
  3. Persistência: BRICKSTORM estabelece comunicação C2 criptografada e permite movimento lateral.
  4. Movimento Lateral: BRICKSTORM facilita acesso a VMware vCenter, controladores de domínio e outros sistemas críticos.

Ecosistema de Malware Associado

UNC5221 utiliza um ecosistema de malware sofisticado chamado SPAWN, que inclui:

  • SPAWNANT: Installer/loader.
  • SPAWNMOLE: Tunneler para movimento lateral.
  • SPAWNSNAIL: SSH backdoor.
  • SPAWNCHIMERA: Variante adicional
  • ZIPLINE: Passive backdoor.
  • THINSPOOL: Dropper.
  • LIGHTWIRE: Web shell.
  • WARPWIRE: Credential harvester.
  • PHASEJAM: Dropper específico para Ivanti.
  • BRICKSTORM: Backdoor para VMware e Windows.

Padrão Operacional de UNC5221

  1. Foco em Edge Devices: Preferência consistente por exploração de vulnerabilidades em appliances de perímetro (VPN, load balancers, etc.).
  2. Zero-Day Exploitation: Histórico de acesso e exploração de vulnerabilidades zero-day.
  3. Desenvolvimento Ativo: Contínuo desenvolvimento e modificação de malware.
  4. Ofuscação de Origem: Uso de redes de appliances comprometidos (Cyberoam, QNAP, ASUS routers) para mascarar origem real.
  5. Movimento Lateral Sofisticado: Após acesso inicial, movimento lateral para infraestrutura crítica com mínima telemetria
  6. Persistência de Longo Prazo: Tempo médio de permanência não detectada de 393 dias.

O Tempo médio de permanência não detectada do BRICKSTORM é de 393 dias

Recomendações

  1. Manter patches atualizados em todos appliances edge.
  2. Implementar monitoramento especializado em dispositivos VPN e load balancers.
  3. Usar MFA em todos acessos administrativos.
  4. Implementar segmentação de rede adequada.
  5. Monitorar atividades de reconhecimento (requisições sequenciais de versão).
  6. Realizar busca ativa (hunt) por artefatos de BRICKSTORM em VMware vCenter.

Referências

  • Google Threat Intelligence Group. “Ivanti Connect Secure VPN Targeted in New Zero-Day Exploitation.” 8/12/2025
  • Google Threat Intelligence Group. “Suspected China-Nexus Threat Actor Actively Exploiting Critical Ivanti Connect Secure Vulnerability (CVE-2025-22457).” 3/04/2025
  • Mandiant Services. “Another BRICKSTORM: Stealthy Backdoor Enabling Espionage into Tech and Legal Sectors.” 24/09/2025
  • CISA. “BRICKSTORM Backdoor – Malware Analysis Report (AR25-338A).” 19/12/2025

Vol. 1 No. 20251224-1075 (2025)

BRICKSTORM: A sofisticação silenciosa de um backdoor patrocinado por Estado

Adriano Cansian | adriano.cansian@unesp.br | 24/12/2025

Em 4 de dezembro de 2025, a Cybersecurity and Infrastructure Security Agency (CISA), a National Security Agency (NSA) e o Canadian Centre for Cyber Security publicaram um comunicado conjunto alertando sobre uma nova e altamente sofisticada campanha de malware denominada BRICKSTORM.

Mais do que um backdoor convencional, o BRICKSTORM representa uma ameaça sistêmica a ambientes de virtualização, infraestrutura de identidade e operações corporativas críticas, explorando exatamente os pontos onde a visibilidade de segurança costuma ser limitada ou inexistente.

O relatório técnico AR25-338A, atualizado em 19 de dezembro de 2025, descreve em detalhes as capacidades avançadas do malware e disponibiliza indicadores de comprometimento destinados a apoiar equipes de defesa. Investigações conduzidas em resposta a incidentes revelam um dado alarmante, o tempo médio de permanência não detectada nos ambientes comprometidos chega a 393 dias, evidenciando o nível de evasão operacional alcançado pelos atores responsáveis.

A campanha é atribuída a atores patrocinados pelo Estado da República Popular da China, com foco em acesso persistente, coleta de credenciais privilegiadas e exploração silenciosa de infraestruturas críticas.

1. Visão Geral Técnica

O BRICKSTORM é um backdoor modular desenvolvido para ambientes VMware vSphere, incluindo vCenter e ESXi, além de sistemas Windows. Até o momento, foram identificadas pelo menos oito amostras distintas, coletadas a partir de ambientes reais de vítimas, incluindo organizações atendidas diretamente pela CISA em operações de resposta a incidentes.

O malware foi desenvolvido em linguagem Go, uma escolha arquitetural estratégica que permite portabilidade entre plataformas Linux, BSD e Windows. Esse fator é especialmente relevante porque possibilita a implantação do BRICKSTORM em appliances de perímetro e componentes de infraestrutura que normalmente não contam com EDRs ou agentes de segurança tradicionais, reduzindo drasticamente a superfície de detecção.

1.1. Vetores de Infecção e Acesso Inicial

A análise de múltiplos incidentes revela um padrão recorrente nos vetores de ataque utilizados. O acesso inicial ocorre, predominantemente, por meio da exploração de vulnerabilidades em dispositivos de perímetro e sistemas de acesso remoto , incluindo appliances de rede expostos à Internet (veja esss outra postagem sobre as vulnerabilidades associadas ao ataque inicial).

Em pelo menos um dos casos documentados, os atores exploraram vulnerabilidades zero-day, indicando acesso a capacidades avançadas de desenvolvimento e manutenção de exploits.

Após o comprometimento inicial, geralmente por meio de web shells implantadas em servidores na DMZ, os atores realizam movimento lateral utilizando protocolos amplamente disponíveis como RDP e SMB. Durante esse processo, credenciais são sistematicamente coletadas e reutilizadas para acessar sistemas críticos, incluindo controladores de domínio e servidores ADFS.

Em um incidente investigado pela CISA, os atacantes mantiveram acesso persistente desde abril de 2024. A partir de uma web shell em um servidor web da DMZ, o grupo avançou lateralmente até o vCenter, onde implantou o BRICKSTORM como mecanismo de persistência de longo prazo.

Esse padrão reforça um ponto crítico, a campanha não depende de exploração ruidosa, mas sim de progressão metódica e silenciosa dentro da rede.

1.2. Persistência e Mecanismos de Autoproteção

O BRICKSTORM implementa mecanismos robustos de persistência, projetados para resistir a tentativas de remoção parcial ou reinicializações do sistema. Um dos componentes mais relevantes é sua função de auto-vigilância, que monitora continuamente o próprio processo e o reinicia automaticamente caso seja interrompido.

Em sistemas Linux e Unix, o malware é implantado em diretórios sensíveis, como /etc/sysconfig/, e integrado aos scripts de inicialização do sistema. Em ambientes VMware, modificações são realizadas diretamente nos arquivos de inicialização do hypervisor, garantindo carregamento precoce durante o boot.

As amostras analisadas indicam desenvolvimento ativo, com uso de obfuscação por ferramentas como Garble e versões customizadas de bibliotecas. Algumas variantes incluem timers programados para atrasar a comunicação com o C2, aguardando datas específicas, um indicativo claro de planejamento operacional e tentativa de evitar correlação temporal com o incidente inicial.

2. Capacidades Técnicas Avançadas

2.1. Comunicação de Comando e Controle

O canal de comando e controle do BRICKSTORM foi projetado para dificultar ao máximo a inspeção e correlação por SOCs tradicionais. O malware combina múltiplas camadas de comunicação e criptografia:

  • HTTPS como camada de transporte básica.
  • WebSockets para multiplexação de sessões.
  • TLS aninhado na camada de aplicação.
  • DNS-over-HTTPS (DoH) para ocultar resolução de nomes.

Na prática, essa combinação quebra modelos clássicos de detecção baseados em DNS, proxy e inspeção de tráfego, especialmente em ambientes onde appliances de perímetro são tratados como “caixas pretas” do ponto de vista de segurança.

A infraestrutura de C2 observada inclui uso de Cloudflare Workers, aplicações Heroku e serviços de DNS dinâmico como sslip.io e nip.io. Um aspecto particularmente relevante é a ausência de reutilização de domínios C2 entre vítimas, indicando operações altamente compartimentalizadas e orientadas à evasão.

2.2. Funcionalidades de Controle Remoto

Uma vez estabelecida a comunicação, o BRICKSTORM oferece aos operadores um conjunto completo de capacidades de controle remoto:

  • Shell interativo para execução de comandos arbitrários.
  • Gerenciamento completo de arquivos.
  • Proxy SOCKS para facilitação de movimento lateral.
  • API HTTP para operações administrativas.
  • Suporte a VSOCK, permitindo comunicação inter-VM em ambientes virtualizados.

Essas funcionalidades transformam o sistema comprometido em um ponto de apoio operacional, capaz de sustentar operações de espionagem de longo prazo.

3.3. Escalação de Privilégios em Ambientes vCenter

Um dos aspectos mais sofisticados da campanha é a implantação de um Servlet Filter malicioso, rastreado como BRICKSTEAL, no Apache Tomcat que hospeda a interface web do vCenter.

Esse componente intercepta requisições HTTP relacionadas à autenticação SAML2, decodificando headers que podem conter credenciais em texto claro. Considerando que muitas organizações integram o vCenter ao Active Directory, o impacto potencial é elevado.

Com credenciais administrativas em mãos, os atores exploram recursos legítimos do vCenter para clonar máquinas virtuais críticas, como controladores de domínio. Essas clones permitem a extração offline de artefatos sensíveis, incluindo o banco ntds.dit, sem disparar alertas nos sistemas originais.

Esse método ilustra um ponto essencial, a virtualização deixa de ser apenas alvo e passa a ser ferramenta do ataque.

3. Indicadores de Comprometimento e Detecção

A CISA disponibilizou um conjunto abrangente de indicadores técnicos, incluindo nomes de arquivos, diretórios, variáveis de ambiente, padrões de tráfego e modificações em sistemas.

Apesar da utilidade desses IoCs, o próprio perfil da campanha indica que a detecção eficaz depende muito mais de hunting ativo, análise comportamental e baseline de ambientes virtualizados do que de simples correspondência por assinatura.

Regras YARA e Sigma, hashes conhecidos e análise forense de logs devem ser tratados como ponto de partida, não como solução definitiva.

4. Contexto de Ameaça e Atores

A atividade foi atribuída ao grupo UNC5221, associado a operações patrocinadas pela China, conforme documentado pelo Google Threat Intelligence Group e pela Mandiant.

Os setores-alvo incluem governo, TI, serviços jurídicos, SaaS e BPOs, organizações que frequentemente operam como nós intermediários de acesso a dados, identidades e infraestrutura crítica.

O longo tempo de permanência e a baixa geração de telemetria indicam que os operadores monitoram ativamente os ambientes comprometidos e adaptam suas técnicas diante de sinais de investigação, reforçando o caráter persistente da ameaça.

5. Recomendações de Mitigação

As recomendações das agências incluem:

  • Hunting ativo em vCenter, ESXi e appliances de perímetro
  • Implementação rigorosa de MFA para acessos administrativos
  • Segmentação entre DMZ e infraestrutura crítica
  • Revisão contínua de logs de autenticação e alterações em ambientes virtualizados
  • Aplicação tempestiva de patches de segurança em plataformas VMware

Organizações que identifiquem indícios de comprometimento devem acionar a CISA e considerar engajamento imediato de equipes especializadas em resposta a incidentes.

6. Conclusão

O BRICKSTORM não é apenas mais um backdoor sofisticado. Ele representa uma mudança clara na forma como atores patrocinados por Estados exploram virtualização, identidade e confiança operacional.

Ao operar quase invisivelmente em camadas tradicionalmente pouco monitoradas, essa campanha desafia modelos clássicos de defesa e reforça a necessidade de visibilidade real sobre infraestrutura, não apenas sobre endpoints.

Para SOCs, MSPs e organizações que operam ambientes híbridos e virtualizados, a lição é inequívoca, virtualização deixou de ser apenas plataforma, passou a ser superfície de ataque crítica.

Referências

  1. CISA. (2025, December 4). “PRC State-Sponsored Actors Use BRICKSTORM Malware Across Public Sector and Information Technology.https://www.cisa.gov/news-events/alerts/2025/12/04/prc-state-sponsored-actors-use-brickstorm-malware-across-public-sector-and-information-technology
  2. CISA. (2025, December 19 ). “BRICKSTORM Backdoor – Malware Analysis Report (AR25-338A).” https://www.cisa.gov/news-events/analysis-reports/ar25-338a
  3. NSA. (2025, December 4 ). “NSA Joins CISA to Release Guidance on Detecting BRICKSTORM Backdoor Activity.” https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/4348338/
  4. Canadian Centre for Cyber Security. (2025, December 4 ). “Joint Malware Analysis Report on Brickstorm Backdoor.https://www.cyber.gc.ca/en/news-events/joint-malware-analysis-report-brickstorm-backdoor
  5. Google Threat Intelligence Group & Mandiant. (2025, September 24 ). “Another BRICKSTORM: Stealthy Backdoor Enabling Espionage into Tech and Legal Sectors.https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign

Vol. 1 No. 20251208-1043 (2025)

React2Shell: Análise Aprofundada da Vulnerabilidade no React

Adriano Cansian | adriano.cansian@unesp.br | 08/12/2025

ATUALIZAÇÃO em 11/12/2025:

O valor do EPSS saltou de 13,9% em 08/12/2025 para 76,01% HOJE 11/12/2025.

Com um valor de CVSS 10,0 é fundamental que sejam aplicadas as medidas de resolução imediatamente.

1. Introdução

No início de dezembro de 2025, uma vulnerabilidade de severidade crítica, apelidada de React2Shell, emergiu, abalando a comunidade de desenvolvimento web.

Identificada oficialmente como CVE-2025-55182, trata-se de uma falha de Execução Remota de Código Não Autenticada ou Unauthenticated Remote Code Execution (Unauthenticated RCE) e recebeu a pontuação máxima de 10.0 no Common Vulnerability Scoring System (CVSS), sinalizando um risco extremo para uma vasta gama de aplicações modernas.

Uma Execução Remota de Código Não Autenticada é uma vulnerabilidade que permite a um atacante executar comandos ou código arbitrário em um servidor remoto sem necessidade de possuir credenciais válidas ou autenticação prévia.

Diferentemente de vulnerabilidades que exigem que o invasor esteja logado ou tenha acesso autorizado ao sistema, uma Unauthenticated RCE pode ser explorada por qualquer pessoa com acesso à rede (geralmente a internet), tornando-a extremamente perigosa.

A vulnerabilidade reside no coração dos React Server Components (RSC), uma tecnologia cada vez mais adotada em frameworks populares como Next.js, afetando potencialmente mais de 40% dos principais websites da Internet.

Este artigo oferece uma análise técnica aprofundada da React2Shell, detalhando seu mecanismo de exploração, o impacto que pode causar e as medidas essenciais que as equipes de segurança e desenvolvimento devem tomar para mitigar esta ameaça iminente.

2. O Mecanismo da Exploração: Desserialização Insegura

A React2Shell NÃO é uma vulnerabilidade comum. Sua periculosidade reside na simplicidade de sua exploração.

Um atacante, sem qualquer tipo de autenticação, pode comprometer completamente um servidor vulnerável através de uma única requisição HTTP POST maliciosamente elaborada.

A raiz do problema está na forma como os React Server Components lidam com a desserialização de dados.

Quando um cliente envia uma requisição para um endpoint que utiliza Server Functions, o React transforma os dados recebidos em chamadas de função do lado do servidor.

Durante este processo, a vulnerabilidade permite que um payload manipulado seja desserializado sem as devidas validações de segurança. Isso cria um caminho direto para que o atacante injete e execute código arbitrário com os mesmos privilégios do processo do servidor Node.js, abrindo as portas para um comprometimento total do sistema.

2. Análise de Impacto: As Consequências de uma Exploração Bem-Sucedida

Uma vulnerabilidade de RCE pré-autenticação é o ativo mais cobiçado no arsenal de um agente malicioso. No caso da React2Shell, as consequências de uma exploração bem-sucedida são catastróficas e podem se manifestar de várias formas:

  • Comprometimento Total da Infraestrutura: O atacante obtém controle total sobre o servidor, permitindo acesso irrestrito ao sistema de arquivos, roubo de credenciais e a instalação de backdoors para acesso persistente.
  • Exfiltração de Dados Sensíveis: Uma vez dentro do sistema, o invasor pode acessar e exfiltrar informações críticas, como bancos de dados de clientes, segredos de aplicação (chaves de API, tokens), propriedade intelectual e lógica de negócios.
  • Movimento Lateral na Rede: O servidor comprometido torna-se um ponto de pivô, a partir do qual o atacante pode lançar novas ofensivas contra outros sistemas internos, bancos de dados e recursos na nuvem, expandindo o alcance do ataque por toda a organização.
  • Ataques de Ransomware e Interrupção de Negócios: Com controle total, os atacantes podem implantar ransomware, criptografando dados vitais e exigindo um resgate, ou simplesmente interromper as operações, causando perdas financeiras e danos à reputação.

2. Descrição Técnica

A vulnerabilidade decorre de desserialização insegura no protocolo Flight, mecanismo responsável por transportar estruturas dos Server Components entre cliente e servidor.

Ao receber um payload malicioso, o servidor interpreta dados arbitrários como referências de função, o que permite execução remota de código com privilégios equivalentes ao processo Node.js.

Condições de exploração

  • Não exige autenticação;
  • Não exige cookie, API key ou token;
  • Pode ser explorada por qualquer atacante com acesso ao endpoint RSC;
  • Vetor principal: HTTP POST com conteúdo Flight manipulado.

Impacto técnico

  • Execução remota de código (RCE);
  • Execução arbitrária de processos no host ou container;
  • Exfiltração de dados sensíveis;
  • Movimento lateral;
  • Possível comprometimento total de infraestrutura (quando mal configurada).

3. Sistemas Afetados

3.1 React e bibliotecas centrais

Conforme registros do NVD:

PacoteVersões vulneráveisVersões corrigidas
react-server-dom-webpack19.0.0 a 19.2.019.0.1+, 19.1.2+, 19.2.1+
react-server-dom-parcel19.0.0 a 19.2.019.0.1+, 19.1.2+, 19.2.1+
react-server-dom-turbopack19.0.0 a 19.2.019.0.1+, 19.1.2+, 19.2.1+

3.2 Frameworks afetados

  • Next.js versões 15.x e 16.x;
    Associado adicionalmente ao CVE-2025-66478, conforme documentação CISA/NVD.
  • React Router com RSC;
  • Expo;
  • RedwoodJS;
  • Waku;
  • Plugins de integração RSC para Vite, Parcel e Turbopack.

4. Vetor de Ataque e Indicadores de Exploração

4.1 Vetor primário

POST /<endpoint-rsc>  
Content-Type: application/json  
Payload malformado contendo blocos Flight manipulados

4.2 Indicadores observáveis

  • Logs de erro do Flight referentes a parsing inesperado;
  • Picos súbitos de CPU em processos Node.js;
  • Tentativas de criação de processos via child_process.spawn/exec;
  • Comunicação egressa para hosts desconhecidos
  • Criação de artefatos suspeitos em /tmp em containers Linux

4.3 Atividade Maliciosa Confirmada

Organizações de segurança reportaram:

  • Scanners em larga escala buscando endpoints RSC;
  • Explorações automatizadas visando Next.js exposto;
  • Comprometimento de clusters Kubernetes negligentemente isolados;
  • Uso da vulnerabilidade para implantação de webshells e reverse shells.

5. Mitigação

5.1 Patching obrigatório

Aplicar imediatamente as versões corrigidas dos pacotes React RSC e atualizar aplicações Next.js para releases não vulneráveis.

5.2 Controles compensatórios (temporários)

  • Regras de WAF para bloquear payloads suspeitos do protocolo Flight;
  • Monitoramento agressivo de tráfego de egressão;
  • Habilitar logs completos de chamadas RSC;
  • Bloquear criação de processos filho por Node.js quando possível;
  • Reforçar políticas noexec em diretórios temporários.

5.3 Defesa em profundidade

  • Execução do Node.js com mínimo privilégio;
  • Isolamento adequado de containers e namespaces;
  • Mecanismos RASP como camada adicional;

6. Avaliação de Risco

A vulnerabilidade é considerada Crítica, nível máximo no CVSS 10.0, devido a:

  • Exploração ativa confirmada globalmente
  • Ausência de barreiras de autenticação
  • Impacto direto em aplicações amplamente adotadas (React/Next.js)
  • Possibilidade de comprometimento total do ambiente

É altamente recomendável priorizar a correção em ambientes expostos à internet.

6.1. Sobre o EPSS e CVVS Score para React2Shel

MétricaValor
Score Inicial0.46%
Score Atual13.86% (8 de dezembro de 2025)
76,01% (atualizado em 11/12/2025)
PercentilEm atualização contínua

O Problema: Uma Discrepância Crítica

Existe uma divergência significativa entre o CVSS (10.0 – Crítico) e o EPSS (13.86%), que revela uma limitação importante dos sistemas de scoring automatizados.

É importante entender que o EPSS é um “indicador retardado” (lagging indicator).

Embora tenha subido de 0.46% para 13.86% desde o início da publicação do CVE, ainda está muito abaixo do que os níveis reais de exploração justificariam, porque:

  1. Exploração Ativa em Andamento: Grupos de ameaças vinculados à China já foram observados explorando a vulnerabilidade (AWS)
  2. Liderança em Bug Bounty: É o #1 CVE mais explorado na plataforma HackerOne
  3. Remediação Acelerada: Organizações estão remediando em menos de um dia em média
  4. Escala Massiva: Mais de 12 milhões de sites potencialmente vulneráveis.

O Que Isso Significa

O EPSS demonstra que sistemas de scoring automatizados podem não acompanhar o ritmo de exploração em tempo real. Isso ressalta a importância de:

  • Não depender apenas de scores automatizados para priorização de vulnerabilidades críticas.
  • Usar feedback em tempo real de comunidades de segurança (bug bounty, threat intelligence).
  • Considerar o contexto operacional além dos scores numéricos

Referências:

  1. Portal informativo sobre a vulnerabilidade: https://react2shell.com/
  2. NVD / NIST – CVE-2025-55182
    https://nvd.nist.gov/vuln/detail/CVE-2025-55182
  3. CVE.org – CVE Record CVE-2025-55182
    https://www.cve.org/CVERecord?id=CVE-2025-55182
  4. NVD / NIST – CVE-2025-66478 (Next.js)
    https://nvd.nist.gov/vuln/detail/CVE-2025-66478
  5. React Team. React Server Components Documentation.
    https://react.dev/reference/react-server
  6. React Flight Protocol (repositório oficial).
    https://github.com/facebook/react/tree/main/packages/react-server
  7. Vercel. Next.js App Router and React Server Components.
    https://nextjs.org/docs/app/building-your-application/rendering/server-components
  8. MITRE. CWE-502: Deserialization of Untrusted Data
    https://cwe.mitre.org/data/definitions/502.html
  9. OWASP. Deserialization of Untrusted Data
    https://owasp.org/www-community/vulnerabilities/Deserialization_of_untrusted_data

Vol. 1 No. 20251118-1027 (2025)

Instabilidade na Cloudflare não é um ataque cibernético

Adriano Cansian | adriano.cansian@unesp.br | 18/11/2025

Nessa manhã de 18 de novembro de 2025, uma instabilidade global no serviço da Cloudflare causou interrupções generalizadas, afetando o acesso a grandes plataformas como o ChatGPT, X (antigo Twitter) e Canva [2]. Usuários no Brasil e no mundo relataram dificuldades de acesso e mensagens de erro, como a notificação “Please unblock challenges.cloudflare.com to proceed”.

Não há evidências de que a instabilidade da Cloudflare em 18 de novembro de 2025 tenha sido causada por um ataque cibernético. Com base nas declarações oficiais da empresa e nas análises de especialistas, o incidente parece estar relacionado a problemas internos de infraestrutura.

A falha, que começou por volta das 8h da manhã no horário de Brasília, foi atribuída pela Cloudflare a um “pico de tráfego incomum” em sua rede [1].

Se você receber a mensagem “Please unblock challenges.cloudflare.com to proceed“, não é necessário fazer nada. Esta é uma mensagem de erro relacionada à instabilidade interna da Cloudflare, e não um problema de bloqueio no seu dispositivo ou rede.

Veja no final dessa postagem, há um timeline a respeito dessa instabilidade.

Entretanto, este cenário evidencia a profunda dependência da internet global em um número restrito de provedores de infraestrutura. A Cloudflare, que gerencia aproximadamente 20% de todo o tráfego da web, atua como uma camada essencial de segurança e desempenho para milhões de sites [2]. Uma falha em seus sistemas, mesmo que temporária, tem um efeito cascata imediato e visível para usuários em todo o mundo.

O Ataque Recorde à Azure e a Ameaça Crescente das Botnets

Coincidentemente, a instabilidade da Cloudflare ocorreu no dia seguinte à divulgação, pela Microsoft, de detalhes sobre um ataque de negação de serviço (DDoS) de escala recorde que sua plataforma Azure sofreu. Em 24 de outubro de 2025, a infraestrutura da Azure mitigou com sucesso um ataque que atingiu um pico de 15.72 Tbps, originado pela botnet Aisuru [3].

Ainda que alguns veículos estejam especulando que esses eventos estão relacionados, ainda não, até o momento da escrita desse post, nenhuma evidência ou confirmação disso.

Este ataque massivo envolveu mais de 500.000 dispositivos IoT comprometidos, como roteadores e câmeras, e destaca o poder destrutivo que as botnets modernas podem alcançar. Embora a Microsoft tenha conseguido neutralizar a ameaça sem impacto para seus clientes, o episódio serve como um forte indicativo da crescente sofisticação e escala dos ataques cibernéticos contra a infraestrutura de nuvem 3.

Confusão com o Ataque à Azure

Uma fonte significativa de confusão é que duas grandes notícias de cibersegurança foram divulgadas quase simultaneamente:

Notícia 1: Instabilidade da Cloudflare (18 de novembro de 2025)

• Evento atual, em andamento.

• Causa: Pico de tráfego incomum, origem desconhecida.

• Impacto: Interrupção de serviços globais.

Notícia 2: Ataque DDoS à Azure (divulgado em 17-18 de novembro de 2025)

• Evento ocorrido em 24 de outubro de 2025.

• Causa: Ataque DDoS da botnet Aisuru.

• Resultado: Microsoft mitigou com sucesso, sem impacto aos clientes

Importante: O ataque à Azure ocorreu há quase um mês e foi mitigado com sucesso. A Microsoft apenas divulgou os detalhes técnicos do ataque nesta semana. Não há conexão entre o ataque à Azure e a instabilidade da Cloudflare.

Um Alerta para a Infraestrutura Crítica da Internet

Como dito, embora não haja, até o momento, nenhuma evidência que conecte a instabilidade da Cloudflare ao ataque contra a Azure, a ocorrência de dois eventos de tão grande magnitude em um curto espaço de tempo é um alerta contundente. Ambos os incidentes, cada um à sua maneira, expõem as vulnerabilidades inerentes à arquitetura centralizada da internet moderna.

A dependência de poucos grandes players, como Cloudflare, AWS e Azure, significa que uma falha técnica ou um ataque bem-sucedido pode ter consequências globais. A resiliência da internet depende da capacidade dessas empresas de não apenas inovar em segurança e desempenho, mas também de responder rapidamente a incidentes inevitáveis.

Para empresas e desenvolvedores, a lição é clara: a resiliência digital não pode ser terceirizada por completo. É fundamental adotar práticas de contingência, como arquiteturas multi-cloud, monitoramento proativo e planos de resposta a incidentes, para garantir a continuidade dos negócios diante de um cenário de ameaças e falhas cada vez mais complexo.

Referências:

[1] The Guardian. (2025, 18 de novembro). Cloudflare outage causes error messages across the internet.

[2] Reuters. (2025, 18 de novembro). Cloudflare outage easing after impacting thousands of internet users.

[3] Microsoft Azure Infrastructure Blog. (2025, 17 de novembro). Defending the cloud: Azure neutralized a record-breaking 15 Tbps DDoS attack.

Linha do tempo | Instabilidade da Cloudflare

A Cloudflare publicou as seguintes atualizações em sua página de status (referência: Página oficial de status da Cloudflare):

13:35 UTC (10:35 AM horário de Brasília): A empresa continua trabalhando na restauração dos serviços para clientes de serviços de aplicação. Alguns serviços já foram restaurados, mas o trabalho de recuperação ainda está em andamento.

13:13 UTC (10:13 AM horário de Brasília): A Cloudflare implementou mudanças que permitiram a recuperação do Cloudflare Access e do WARP. Os níveis de erro para usuários desses serviços retornaram às taxas anteriores ao incidente. O acesso WARP em Londres foi reabilitado.

13:09 UTC (10:09 AM horário de Brasília): O problema foi identificado e uma correção está sendo implementada.

12:21 UTC (9:21 AM horário de Brasília): A empresa reportou que os serviços estavam se recuperando, mas os clientes ainda poderiam observar taxas de erro acima do normal durante os esforços de remediação.

11:48 UTC (8:48 AM horário de Brasília): Início da investigação oficial do problema, confirmando degradação interna do serviço.

Vol. 1 No. 20251115-962 (2025)

Alerta: Vulnerabilidade Crítica em Equipamentos Fortinet com Exploração Ativa

Adriano Cansian | adriano.cansian@unesp.br | 15/11/2025

Alerta Técnico – Vulnerabilidade CVE-2025-64446

Data: 14/11/2025
Severidade: Crítica – CVSS 9.8
Status: Explorada ativamente desde outubro/2025
Produtos afetados: FortiWeb 7.0 a 8.0 (múltiplas versões)

Resumo Executivo

Em 14 de novembro de 2025, a Fortinet e a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) divulgaram um alerta sobre uma vulnerabilidade crítica de Path Traversal (CWE-23) que afeta os produtos FortiWeb, o Web Application Firewall (WAF) da Fortinet. A falha, identificada como CVE-2025-64446, possui uma pontuação CVSSv3 de 9.8 (Crítica) e está sendo ativamente explorada por atacantes desde o início de outubro de 2025 1.

A vulnerabilidade permite que um atacante não autenticado execute comandos administrativos remotos em sistemas vulneráveis, levando a um comprometimento total do dispositivo. A CISA já adicionou esta falha ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com um prazo de remediação obrigatório até 21 de novembro de 2025

1. Visão Geral da Vulnerabilidade

A CVE-2025-64446 é uma vulnerabilidade crítica de Path Traversal (CWE-23) combinada com bypass de autenticação, permitindo que um atacante não autenticado execute operações administrativas via CGI (fwbcgi).

Esta é a terceira vulnerabilidade crítica da linha FortiWeb nos últimos 18 meses, reforçando o padrão preocupante de falhas severas na superfície de ataque de dispositivos de borda da Fortinet.

A falha ocorre em dois estágios principais:

  1. Path Traversal no endpoint /api/v2.0/…
  2. Impersonação via header CGIINFO (base64) aceito pela função cgi_auth() sem validação real

O resultado é o comprometimento total do dispositivo FortiWeb, com capacidade de persistência, desvio de políticas de segurança e movimentação lateral na rede.

A falha foi adicionada em 14/11/2025 ao catálogo CISA KEV (Known Exploited Vulnerabilities Catalog) com prazo de mitigação obrigatório até 21/11/2025.

2. Detalhes de Exploração

2.1 Estágio 1 – Path Traversal

No primeiro estágio, o atacante utiliza um endpoint de API válido para escapar do diretório esperado e alcançar o executável administrativo fwbcgi:

POST /api/v2.0/cmd/system/admin%3F/../../../../../cgi-bin/fwbcgi HTTP/1.1

O Path Traversal permite que requisições atinjam o binário fwbcgi, responsável por operações administrativas no dispositivo.

2.2 Estágio 2 – Impersonação via CGIINFO

O binário fwbcgi utiliza a função cgi_auth(), que:

  • não valida corretamente credenciais de autenticação;
  • aceita um header HTTP chamado CGIINFO;
  • confia em informações de identidade fornecidas em JSON, codificadas em Base64.

Exemplo de payload JSON, antes de ser codificado em Base64:

{
  "username": "admin",
  "profname": "super_admin",
  "vdom": "root",
  "loginname": "admin"
}

Quando esse payload é aceito, o sistema concede privilégios administrativos completos, permitindo ao atacante criar novas contas, alterar configurações e manter persistência no dispositivo.

3. Impacto Operacional

Um atacante que explore com sucesso a CVE-2025-64446 pode:

  • Criar usuários administradores persistentes e ocultos;
  • Modificar políticas, regras e perfis de proteção do WAF;
  • Desabilitar ou contornar mecanismos de segurança;
  • Exfiltrar dados inspecionados e registrados pelo WAF;
  • Realizar movimentação lateral a partir do dispositivo comprometido.

Por se tratar de um WAF de borda, a vulnerabilidade abre um vetor crítico para ataques internos a partir de um equipamento que, normalmente, é considerado parte da camada de proteção.

4. Versões Afetadas (Confirmadas)

ProdutoVersões Vulneráveis
FortiWeb 8.08.0.0 – 8.0.1
FortiWeb 7.67.6.0 – 7.6.4
FortiWeb 7.47.4.0 – 7.4.9
FortiWeb 7.27.2.0 – 7.2.11
FortiWeb 7.07.0.0 – 7.0.11

5. Ação Recomendada (Imediata)

5.1 Atualizar Firmware – Única Remediação Definitiva

A Fortinet disponibilizou versões corrigidas. (Fortinet PSIRT FG-IR-25-910). A atualização é a única forma de remediação completa:

Versão AtualAtualizar para
8.0.x8.0.2
7.6.x7.6.5
7.4.x7.4.10
7.2.x7.2.12
7.0.x7.0.12

5.2 Mitigação Temporária (Workaround)

Se a atualização não puder ser aplicada imediatamente, recomenda-se:

  • Bloquear o acesso HTTP/HTTPS externo às interfaces administrativas do FortiWeb;
  • Permitir acesso de administração apenas por redes internas ou via VPN segura;
  • Monitorar tráfego para /cgi-bin/fwbcgi e padrões anômalos envolvendo /api/v2.0/... com Path Traversal.

Atenção: a mitigação reduz a superfície de ataque, mas não elimina a vulnerabilidade. A atualização de firmware continua obrigatória.

6. Indicadores de Comprometimento (IoCs)

6.1 Rede / Proxy / WAF Logs

Procurar por requisições com padrão de Path Traversal direcionadas ao binário CGI:

/api/v2.0/cmd/system/admin%3F/../../../../../cgi-bin/fwbcgi

Além disso, monitorar requisições contendo o header CGIINFO com conteúdo Base64, principalmente oriundas de IPs externos ou não autorizados.

CGIINFO: <string_base64_suspeita>

IPs com múltiplas tentativas de POST para esses caminhos devem ser tratados como suspeitos, com correlação adicional em outros logs.

6.2 Sistema / Configurações

Nos próprios dispositivos FortiWeb, verificar:

  • Criação de novas contas de administrador, principalmente a partir de outubro de 2025;
  • Contas com perfil de acesso prof_admin ou super_admin não reconhecidas pela equipe de segurança;
  • Configurações de trust host definidas como 0.0.0.0/0 ou ::/0 em contas administrativas;
  • Alterações não autorizadas em políticas, perfis, certificados e regras de inspeção.

7. Procedimentos de Resposta a Incidente

Em caso de suspeita de exploração da CVE-2025-64446, recomenda-se o seguinte fluxo para equipes de Blue Team / CERT / CSIRT:

  1. Isolar o dispositivo: restringir acesso administrativo externo, mantendo apenas o mínimo necessário para análise e operação.
  2. Coletar logs: exportar logs de sistema, eventos, auditoria e administração para um servidor seguro de análise.
  3. Revisar contas de usuário: identificar contas administrativas novas ou modificadas, sobretudo com perfis elevados.
  4. Analisar headers CGIINFO: quando possível, decodificar strings Base64 para determinar tentativas de impersonação de administradores.
  5. Aplicar atualização de firmware para as versões corrigidas recomendadas pela Fortinet.
  6. Revalidar configuração: revisar políticas, objetos, perfis e parâmetros de segurança para identificar alterações maliciosas.
  7. Verificar persistência: buscar scripts, agendamentos, acessos remotos ou configurações suspeitas que indiquem backdoors.
  8. Monitorar pós-correção: manter monitoramento reforçado por pelo menos 72 horas após a atualização e a revisão de segurança.

8. Conclusão

A CVE-2025-64446 representa uma vulnerabilidade de alta criticidade em dispositivos FortiWeb, com exploração ativa e baixo nível de complexidade técnica para o atacante. Dispositivos expostos à Internet, principalmente em ambientes de alta criticidade, estão sob risco significativo.

A atualização para versões corrigidas deve ser tratada como prioridade máxima em planos de resposta a incidentes e gestão de vulnerabilidades, especialmente em:

  • Provedores de serviços de Internet (ISPs e provedores regionais);
  • Órgãos públicos e infraestruturas críticas;
  • Instituições financeiras e meios de pagamento;
  • Ambientes acadêmicos com grande exposição de aplicações web;
  • Empresas que utilizam o FortiWeb para proteger aplicações sensíveis.

Equipes de segurança devem tratar essa vulnerabilidade como um incidente de severidade máxima, combinando correção, caça a ameaças (threat hunting) e monitoramento contínuo.

Referências

Vol. 1 No. 20250929-963 (2025)

HybridPetya: A Ameaça Silenciosa que Neutraliza o Secure Boot

Adriano Cansian | adriano.cansian@unesp.br | 29/09/2025

Resumo Executivo

Este alerta de segurança aborda a descoberta do HybridPetya, uma nova variante de ransomware que representa uma evolução significativa nas ameaças de firmware. Identificado em fevereiro de 2025, ele combina características dos notórios malwares Petya e NotPetya, que causaram estragos entre 2016 e 2017. A principal inovação do HybridPetya é sua capacidade de comprometer sistemas modernos baseados em UEFI, explorando a vulnerabilidade CVE-2024-7344 para contornar o Secure Boot em máquinas que não aplicaram as atualizações de revogação (dbx) da Microsoft de janeiro de 2025.

Embora ainda não haja evidências de campanhas ativas, a sofisticação técnica do HybridPetya exige atenção e preparação por parte dos profissionais de segurança.

Análise Técnica do HybridPetya

O HybridPetya, assim como seus predecessores, tem como alvo a Master File Table (MFT) em partições NTFS, tornando os arquivos do sistema operacional inacessíveis. No entanto, sua abordagem é mais sofisticada, utilizando um bootkit UEFI para garantir sua persistência e execução antes mesmo do carregamento do sistema operacional.

O Bootkit UEFI e o Processo de Criptografia

A principal inovação do HybridPetya é a sua capacidade de instalar uma aplicação EFI maliciosa na EFI System Partition (ESP). Este bootkit é responsável por orquestrar todo o processo de ataque. Uma vez executado, ele utiliza o algoritmo de criptografia Salsa20 para criptografar a MFT. Durante este processo, o malware exibe uma falsa mensagem do CHKDSK, o que leva o usuário a acreditar que o sistema está realizando uma verificação de disco, quando na verdade seus arquivos estão sendo criptografados.

O processo de ataque pode ser resumido da seguinte forma:

  1. Instalação: O malware instala sua aplicação EFI maliciosa na ESP.
  2. Configuração: O bootkit verifica um arquivo de configuração para determinar o estado da criptografia (pronto para criptografar, já criptografado ou resgate pago).
  3. Criptografia: Se o sistema ainda não foi comprometido, o bootkit extrai a chave de criptografia Salsa20 e inicia a criptografia da MFT.
  4. Falsa Verificação: Durante a criptografia, uma mensagem falsa do CHKDSK é exibida para enganar o usuário.
  5. Reinicialização: Após a conclusão da criptografia, o sistema é reiniciado e a nota de resgate é exibida.

Exploração da Vulnerabilidade CVE-2024-7344

Uma das variantes analisadas do HybridPetya explora a vulnerabilidade CVE-2024-7344 para contornar o UEFI Secure Boot. Esta falha de segurança reside em uma aplicação UEFI assinada pela Microsoft, chamada “Reloader“, que permite a execução de código não assinado a partir de um arquivo chamado cloak.dat. O HybridPetya explora essa falha para executar seu bootkit UEFI mesmo em sistemas com o Secure Boot ativado, desde que não tenham recebido as atualizações de revogação da Microsoft.

Diferenças em Relação ao Petya e NotPetya

Apesar das semelhanças, o HybridPetya apresenta diferenças cruciais em relação aos seus predecessores:

CaracterísticaPetya (2016)NotPetya (2017)HybridPetya (2025)
PropósitoRansomwareDestrutivo (wiper)Ransomware
RecuperaçãoPossívelImpossívelPossível
AlvoMBR e MFTMBR e MFTMFT (via UEFI)
UEFINãoNãoSim
PropagaçãoLimitadaAgressiva (rede)Limitada (até o momento)

É importante notar que, ao contrário do NotPetya, o HybridPetya foi projetado para funcionar como um ransomware tradicional. O algoritmo de geração de chaves, inspirado no proof-of-concept RedPetyaOpenSSL, permite que o operador do malware reconstrua a chave de descriptografia, tornando a recuperação dos dados possível mediante o pagamento do resgate.

Implicações de Segurança e Mitigação

O surgimento do HybridPetya reforça a importância da segurança de firmware e da necessidade de manter os sistemas atualizados. As seguintes medidas são recomendadas para mitigar o risco de ataques como este:

  • Atualizações de Firmware e SO: Manter o firmware UEFI e o sistema operacional sempre atualizados é a principal linha de defesa.
  • Atualizações de Revogação (dbx): Garantir que as atualizações de revogação do Secure Boot da Microsoft sejam aplicadas para bloquear a execução de binários vulneráveis conhecidos, como o explorado pela CVE-2024-7344.
  • Monitoramento da ESP: Monitorar a EFI System Partition em busca de modificações não autorizadas pode ajudar a detectar a instalação de bootkits UEFI.
  • Controle de Acesso: Restringir o acesso de gravação à ESP para usuários e processos não privilegiados.

Conclusão

O HybridPetya representa uma nova e sofisticada ameaça no cenário de ransomware, demonstrando a contínua evolução das técnicas de ataque para o nível de firmware. Embora ainda não tenha sido observado em campanhas ativas, seu potencial de dano é significativo, especialmente em ambientes que não seguem as melhores práticas de segurança de firmware. A comunidade de segurança deve permanecer vigilante e proativa na implementação de medidas de defesa para se proteger contra esta e outras ameaças emergentes.

Referências

Apêndice – Petya e NotPetya: Características Técnicas Confirmadas

Petya Original (2016)

Descoberta: Março de 2016.

Alvo: Master Boot Record (MBR) e Master File Table (MFT).

Propósito: Ransomware legítimo com possibilidade de recuperação.

Criptografia: Salsa20 para MFT.

NotPetya (2017)

Data do Ataque: 27 de junho de 2017

Vetor Inicial: Software de contabilidade ucraniano M.E.Doc

Propagação: EternalBlue, EternalRomance, PsExec, WMI, Mimikatz.

Alvo: MBR e MFT (similar ao Petya).

Diferencial: Destrutivo – sem possibilidade real de recuperação.

Impacto: Mais de $10 bilhões em danos globais

Atribuição: Origem Militar Russa (GRU) – confirmado pelos governos EUA e Reino Unido.

Vol. 1 No. 20250926-958 (2025)

Alerta: Vulnerabilidades Críticas em Dispositivos Cisco IOS e IOS XE

Adriano Cansian | adriano.cansian@unesp.br | 26/09/2025

Resumo Executivo

Este alerta de segurança aborda a descoberta de 14 vulnerabilidades graves que afetam os dispositivos das famílias de produtos Cisco IOS e IOS XE. A mais crítica destas vulnerabilidades, identificada como CVE-2025-20363, possui uma pontuação CVSS de 9.0 (Crítica) e permite a execução remota de código arbitrário sem necessidade de autenticação. A Cisco já disponibilizou as devidas atualizações de correção.

A exploração bem-sucedida destas vulnerabilidades pode levar a uma variedade de consequências danosas, incluindo a tomada de controlo total de dispositivos afetados, negação de serviço (DoS), escalonamento de privilégios e contorno de controlos de acesso. Dada a gravidade e o número de vulnerabilidades, recomenda-se a aplicação imediata das atualizações de segurança disponibilizadas pela Cisco para mitigar os riscos associados.

Vulnerabilidades Críticas

CVSS (Common Vulnerability Scoring System): Indica a gravidade técnica numa escala de 0 a 10.

EPSS (Exploit Prediction Scoring System): Estima a probabilidade de exploração nos próximos 30 dias numa escala de 0 a 1.

Percentil EPSS: Mostra a posição relativa comparada com todas as vulnerabilidades conhecidas. Percentis mais altos indicam maior probabilidade de exploração comparativa.

A lista a seguir resume as vulnerabilidades identificadas com os respectivos identificadores CVE e descrições.

CVE-2025-20363: Vulnerabilidade de estouro de memória que pode permitir a execução remota de código arbitrário. Produtos afetados: Cisco IOS e IOS XE. CVSS 9.0, EPSS 0.00164, Percentil 38.0%

CVE-2025-20334: Injeção de comandos nas interfaces de gestão do IOS XE, permitindo a execução remota de código. Produtos afetados: Cisco IOS XE. CVSS 8.8, EPSS 0.00098, Percentil 28.0%

CVE-2025-20315: Vulnerabilidade de negação de serviço (DoS) no reconhecimento de aplicações de rede do IOS XE. Produtos afetados: Cisco IOS XE. CVSS 8.6, EPSS 0.00105, Percentil 29.2%

CVE-2025-20160: Contorno do controlo de acesso do protocolo TACACS+ em dispositivos IOS e IOS XE. Produtos afetados: Cisco IOS e IOS XE. CVSS 8.1, EPSS 0.00069, Percentil 21.8%

CVE-2025-20352: Vulnerabilidade no SNMP que pode levar a DoS ou escalonamento de privilégios. Produtos afetados: Cisco IOS e IOS XE. CVSS 7.7, EPSS 0.00177, Percentil 39.7%

CVE-2025-20327: Vulnerabilidade que leva a DoS em switches industriais com IOS. Produtos afetados: Cisco IOS. CVSS 6.5, EPSS 0.00122, Percentil 32.1%

CVE-2025-20312: Vulnerabilidade de DoS no SNMP em dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 6.5, EPSS 0.00174, Percentil 39.4%

CVE-2025-20311: Vulnerabilidade de DoS em dispositivos Cisco Catalyst 9000. Produtos afetados: Cisco Catalyst 9000. CVSS 6.5, EPSS 0.00019, Percentil 3.6%

CVE-2025-20313: Contorno do arranque seguro (secure boot) em dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 6.0, EPSS 0.00050, Percentil 15.4%

CVE-2025-20314: Contorno do arranque seguro (secure boot) em dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 6.0, EPSS 0.00059, Percentil 18.7%

CVE-2025-20149: Capacidade de um utilizador local causar DoS em dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 5.5, EPSS 0.00023, Percentil 4.7%

CVE-2025-20240: Vulnerabilidade de Cross-Site Scripting (XSS) na interface de gestão do IOS XE. Produtos afetados: Cisco IOS XE. CVSS 5.4, EPSS 0.00040, Percentil 11.5%

CVE-2025-20338: Escalonamento de privilégios por um utilizador local em dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 5.5, EPSS 0.00009, Percentil 0.6%

CVE-2025-20293: Contorno do controlo de acesso nos serviços de certificados para certos dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 5.3, EPSS 0.00017, Percentil 2.8%

CVE-2025-20316: Contorno do controlo de acesso em certos dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 5.3, EPSS 0.00023, Percentil 4.5%

Interpretação dos Valores EPSS

É importante notar que os valores EPSS apresentados são relativamente baixos (todos abaixo de 0.2%), o que pode parecer contraditório face à gravidade elevada das vulnerabilidades. Esta situação deve-se a estas vulnerabilidades terem sido publicadas muito recentemente (24 a 26 de setembro de 2025). O modelo EPSS baseia-se em dados históricos de exploração real e necessita de tempo para ajustar as suas previsões à medida que mais informações sobre tentativas de exploração se tornam disponíveis. Vulnerabilidades recém-descobertas começam tipicamente com pontuações baixas que aumentam gradualmente conforme os atacantes desenvolvem e implementam exploits. Apesar dos valores EPSS baixos, a gravidade técnica elevada (CVSS) destas vulnerabilidades, especialmente as que permitem execução remota de código, justifica a aplicação imediata das correções de segurança.

Sistemas Afetados

As vulnerabilidades afetam uma vasta gama de dispositivos da família de produtos Cisco IOS e IOS XE. Para uma lista detalhada dos dispositivos e versões de software afetados, é crucial consultar os avisos de segurança oficiais da Cisco.

Ações Recomendadas

Para mitigar os riscos associados a estas vulnerabilidades, recomendam-se as seguintes ações imediatas:

  1. Identificação de Ativos: Realize um inventário completo de todos os dispositivos Cisco IOS e IOS XE presentes na sua rede.
  2. Análise de Vulnerabilidade: Verifique as versões de software dos dispositivos identificados para determinar se estão vulneráveis.
  3. Priorização de Correções: Dê prioridade à aplicação de correções nos dispositivos que estão expostos a redes externas ou que fazem parte de infraestruturas críticas.
  4. Aplicação de Atualizações: Aplique as atualizações de segurança disponibilizadas pela Cisco o mais rapidamente possível, com especial atenção para a vulnerabilidade CVE-2025-20363.

Referências

Para mais informações, consulte os avisos de segurança da Cisco:

Vol. 1 No. 20250910-948 (2025)

Alerta de Segurança: Vulnerabilidade Ativamente Explorada em Roteadores TP-Link

Adriano Cansian | adriano.cansian@unesp.br | 10/09/2025

Ameaça real a redes domésticas e corporativas

Nos últimos dias, a comunidade de segurança da informação voltou sua atenção para uma vulnerabilidade crítica que afeta roteadores da TP-Link, um dos fabricantes mais populares de equipamentos de rede do mundo.

Ainda que eu não acredite que essa vulnerabilidade sozinha possa representar grande risco para atores que não sejam de alto interesse, o uso combinado dessa vulnerabilidade com outras pode levar algum risco significativo, principalmente para pequenos negócios. De qualquer forma, não é bom ficar com vulnerabilidades em sua casa ou na sua empresa. Então, vamos explicar do que ela se trata e como mitigá-la, visto que o produto é descontinuado e ela não terá conserto definitivo.

A falha, identificada como CVE-2023-50224 está sendo ativamente explorada por agentes maliciosos, o que levou a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) a incluí-la em seu catálogo de vulnerabilidades conhecidas e exploradas (KEV). Não é uma vulnerabilidade teórica. A exploração ativa desta falha é antiga e remonta a 2023, sendo atribuída a uma botnet com objetivos de espionagem.

Análise da vulnerabilidade CVE-2023-50224

  • Descrição: trata-se de uma vulnerabilidade de evasão de autenticação por spoofing no serviço httpd do roteador TP-Link TL-WR841N. A falha permite que um atacante acesse o arquivo /tmp/dropbear/dropbearpwd, que contém credenciais de usuário, sem precisar de autenticação. Essencialmente, a vulnerabilidade abre uma porta para o roubo de senhas do roteador.
  • Produtos afetados: O principal produto afetado é o TP-Link TL-WR841N, um modelo extremamente popular e amplamente utilizado em residências e pequenos escritórios. Infelizmente, este modelo é considerado End-of-Life (EoL), o que significa que o fabricante não fornecerá mais atualizações de firmware para corrigir a falha.
  • Data de publicação: A vulnerabilidade foi divulgada publicamente em 19 de dezembro de 2023, mas foi adicionada ao catálogo KEV da CISA em 3 de setembro de 2025, após a confirmação de exploração ativa.
  • Severidade: Média (CVSS v3.1: 6.5 - AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N). Embora a pontuação não seja classificada como “Crítica”, o impacto real, se explorada, é extremamente alto devido à facilidade de exploração e ao fato de levar ao comprometimento total do dispositivo.
  • EPSS: 4.50% (baixa probabilidade de exploração nos próximos 30 dias).
  • Percentil EPSS: 88.70% indica que a pontuação é igual ou superior à de aproximadamente 88.7% das outras vulnerabilidades catalogadas, representando um risco significativamente elevado. Entenda mais sobre “percentil” no EPSS [nesse link].
  • Outras informações: A exploração desta vulnerabilidade está associada à botnet Quad7 (também conhecida como CovertNetwork-1658), que tem sido ligada a grupos de ameaças com objetivos de espionagem. Em vez de usar os roteadores para ataques de negação de serviço (DDoS), os atacantes os transformam em proxies secretos para lançar outros ataques, como roubo de credenciais de serviços em nuvem (Microsoft 365, etc.).

O Impacto Real: O Que Significa Para Você?

O comprometimento de um roteador vai muito além da simples perda de acesso à internet. Um atacante com controle sobre seu roteador pode:

  1. Interceptar todo o seu tráfego de internet: Isso inclui senhas, dados bancários, e-mails e qualquer outra informação não criptografada que passe pela sua rede.
  2. Redirecionar seu tráfego para sites falsos: O atacante pode realizar ataques de phishing em nível de rede, redirecionando você para um site falso do seu banco, por exemplo, para roubar suas credenciais.
  3. Usar sua rede para atividades ilegais: Como mencionado, os roteadores comprometidos estão sendo usados como uma rede de proxies para lançar ataques contra outras vítimas. Isso significa que sua rede pode ser implicada em atividades criminosas.
  4. Atacar outros dispositivos na sua rede: O roteador pode ser usado como um ponto de partida para atacar outros dispositivos conectados à sua rede local, como computadores, smartphones e dispositivos de IoT (câmeras, assistentes de voz, etc.).

O fato de o TP-Link TL-WR841N ser um dispositivo EoL agrava enormemente o risco. Não haverá uma correção oficial do fabricante. Se você possui este roteador, ele permanecerá vulnerável para sempre.

Recomendações: O Que Fazer Agora?

Dado o risco e a falta de um patch, a recomendação é clara e urgente.

Mitigação Primária (Ação Imediata)

  • Substitua o roteador imediatamente: Esta é a única maneira de garantir que sua rede esteja protegida contra esta vulnerabilidade. Desconecte o TP-Link TL-WR841N e substitua-o por um modelo de um fabricante confiável que ainda receba atualizações de segurança.

Mitigações Secundárias (Medidas Paliativas)

Se a substituição imediata não for possível, tome as seguintes medidas para reduzir o risco, mas entenda que elas não eliminam a vulnerabilidade:

  • Desative o gerenciamento remoto: Certifique-se de que o painel de administração do seu roteador não esteja acessível a partir da internet (WAN).
  • Altere a senha do administrador: Use uma senha forte e exclusiva. Embora a vulnerabilidade permita o roubo dessa senha, alterá-la pode dificultar o acesso se o atacante ainda não tiver explorado a falha.
  • Isole a rede: Se possível, crie uma rede de convidados (Guest Network) para dispositivos menos confiáveis e use a rede principal somente para dispositivos essenciais.

Conclusão

Verifique o modelo do seu roteador. Se for um TP-Link TL-WR841N, é recomendado que você adote as medidas de mitigação. A CVE-2023-50224 é um lembrete dos perigos associados ao uso de hardware de rede desatualizado. Roteadores são a porta de entrada para a internet e, quando comprometidos, colocam toda a sua vida digital em risco. A exploração ativa desta falha por grupos organizados mostra que mesmo vulnerabilidades de severidade “Média” podem ter consequências devastadoras no mundo real.

Referências

Vol. 1 No. 20250823-913 (2025)

Semana das vulnerabilidades em roteadores Wi-Fi da Linksys

Adriano Cansian | adriano.cansian@unesp.br | 23/08/2025

Nos últimos 7 dias (16 a 23 de agosto de 2025), com base em fontes públicas, realizamos um levantamento das vulnerabilidades registradas em roteadores e extensores de alcance de Wi-Fi da marca Linksys. As falhas identificadas são majoritariamente do tipo stack-based buffer overflow, remotamente exploráveis, e afetam modelos específicos da série RE, permitindo ataques sem autenticação.

Divulgadas recentemente, essas vulnerabilidades não receberam resposta do fabricante para notificações de divulgação coordenada, e não há patches disponíveis mencionados nas fontes, reforçando a importância de monitoramento contínuo e mitigação proativa. Elas são semelhantes entre si, afetando funções específicas no firmware dos dispositivos. Em seguida apresentamos esse levantamento para fins de acompanhamento:

CVEs Catalogados na Semana

1. CVE-2025-9356

  • Descrição: Extravazamento de buffer baseado em pilha na função inboundFilterAdd do endpoint /goform/inboundFilterAdd, desencadeado por um parâmetro ruleName excessivamente longo. Permite execução de código arbitrário remotamente, sem autenticação.
  • Produtos afetados: Linksys RE6250 (firmware 1.0.013.001), RE6300 (1.0.04.001), RE6350 (1.0.04.002), RE6500 (1.1.05.003), RE7000 (1.2.07.001), RE9000 (1.2.07.001).
  • Data de publicação: 22 de agosto de 2025.
  • Severidade: Alta (CVSS v4: 7.4; CVSS v3.1: 8.8; CVSS v2: 9.0).
  • EPSS: Não disponível ainda (a pontuação EPSS pode demorar para ser calculada em vulnerabilidades muito recentes).
  • Percentil EPSS: Não disponível ainda.
  • Outras informações: Exploit público disponível; similar a outras vulnerabilidades na mesma família de dispositivos (ex.: CVE-2025-8824).
  • Referência: https://www.cvedetails.com/cve/CVE-2025-9356/

2. CVE-2025-9252

  • Descrição: Transbordamento de buffer baseado em pilha na função DisablePasswordAlertRedirect do arquivo /goform/DisablePasswordAlertRedirect, manipulado pelo argumento hint. Ataque remoto possível, com exploit público.
  • Produtos afetados: Linksys RE6250 (1.0.013.001), RE6300 (1.0.04.001 e 1.0.04.002), RE6350 (1.1.05.003), RE6500 (1.2.07.001), RE7000 (1.0.013.001), RE9000 (1.0.013.001).
  • Data de publicação: 20 de agosto de 2025.
  • Severidade: Alta (CVSS v4: 7.4; CVSS v3.1: 8.8; CVSS v2: 9.0).
  • EPSS: 0.04% (probabilidade baixa de exploração nos próximos 30 dias).
  • Percentil EPSS: ~12% (indica que a pontuação é igual ou superior à de aproximadamente 12% das outras vulnerabilidades scored).
  • Outras informações: Associada a CWE-121 e CWE-119; sem resposta do fabricante.
  • Referência: https://www.cvedetails.com/cve/CVE-2025-9252/

3. CVE-2025-9249

  • Descrição: Transbordamento de buffer baseado em pilha na função DHCPReserveAddGroup, manipulado pelos parâmetros enable_group, name_group, ip_group e mac_group. Permite acesso não autorizado e comprometimento da integridade do dispositivo remotamente.
  • Produtos afetados: Linksys RE6250 (1.0.013.001, 1.0.04.001, 1.0.04.002), RE6300, RE6350, RE6500, RE7000, RE9000.
  • Data de publicação: 20 de agosto de 2025.
  • Severidade: Alta (CVSS v4: 7.4; CVSS v3.1: 8.8; CVSS v2: 9.0).
  • EPSS: 0.04% (probabilidade baixa de exploração nos próximos 30 dias).
  • Percentil EPSS: ~12% (indica que a pontuação é igual ou superior à de aproximadamente 12% das outras vulnerabilidades scored).
  • Outras informações: Exploit e PoC (Proof of Concept) públicos disponíveis; afeta confidencialidade, integridade e disponibilidade.
  • Referência: https://www.cvedetails.com/cve/CVE-2025-9249

4. CVE-2025-9253

  • Descrição: Transbordamento de buffer baseado em pilha na função RP_doSpecifySiteSurvey do arquivo /goform/RP_doSpecifySiteSurvey, manipulado pelo argumento ssidhex. Ataque remoto possível, com exploit público.
  • Produtos afetados: Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 (firmwares 1.0.013.001, 1.0.04.001, 1.0.04.002, 1.1.05.003, 1.2.07.001).
  • Data de publicação: 20 de agosto de 2025.
  • Severidade: Alta (CVSS v4: 7.4; CVSS v3.1: 8.8; CVSS v2: 9.0).
  • EPSS: 0.04% (probabilidade baixa de exploração nos próximos 30 dias).
  • Percentil EPSS: ~12% (indica que a pontuação é igual ou superior à de aproximadamente 12% das outras vulnerabilidades scored).
  • Outras informações: Associada a CWE-121 e CWE-119; sem resposta do fabricante.
  • Referência: https://www.cvedetails.com/cve/CVE-2025-9253

5. CVE-2025-9251

  • Descrição: Transbordamento de buffer baseado em pilha na função sta_wps_pin, manipulado pelo argumento Ssid. Permite execução de código remoto, comprometendo o dispositivo.
  • Produtos afetados: Linksys RE6250 (1.0.013.001, 1.0.04.001, 1.0.04.002); provavelmente afeta outros da série RE.
  • Data de publicação: 20 de agosto de 2025.
  • Severidade: Alta (CVSS v4: 7.4; CVSS v3.1: 8.8; CVSS v2: 9.0).
  • EPSS: 0.04% (probabilidade baixa de exploração nos próximos 30 dias).
  • Percentil EPSS: ~12% (indica que a pontuação é igual ou superior à de aproximadamente 12% das outras vulnerabilidades scored).
  • Outras informações: Exploit e PoC públicos disponíveis; afeta confidencialidade, integridade e disponibilidade.
  • Referência: https://www.cvedetails.com/cve/CVE-2025-9251

Compilado de produtos afetados:

  1. Linksys RE6250
    • Versões de firmware afetadas: 1.0.013.001, 1.0.04.001, 1.0.04.002
    • Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251
  2. Linksys RE6300
    • Versões de firmware afetadas: 1.0.04.001, 1.0.04.002
    • Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251
  3. Linksys RE6350
    • Versões de firmware afetadas: 1.0.04.002, 1.1.05.003
    • Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251
  4. Linksys RE6500
    • Versões de firmware afetadas: 1.1.05.003, 1.2.07.001
    • Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251
  5. Linksys RE7000
    • Versões de firmware afetadas: 1.0.013.001, 1.2.07.001
    • Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251
  6. Linksys RE9000
    • Versões de firmware afetadas: 1.0.013.001, 1.2.07.001
    • Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251

Observações Gerais:

  • Todas essas vulnerabilidades são remotamente exploráveis e não requerem interação do usuário ou privilégios elevados em muitos casos. Elas foram divulgadas em fontes como VulDB, SecAlerts e SecurityVulnerability.io, mas algumas ainda não aparecem no NVD (National Vulnerability Database) do NIST, possivelmente devido a atrasos na catalogação.
  • Há indícios de mais vulnerabilidades semelhantes na série RE (ex.: CVE-2025-9360, 9362, 9363 no VulDB), mas sem detalhes completos disponíveis nas buscas realizadas. Elas parecem seguir o mesmo padrão de buffer overflows.
  • Os valores de EPSS são baixos para as vulnerabilidades com dados disponíveis, indicando probabilidade reduzida de exploração imediata, mas o percentil ~12% sugere que elas estão acima de uma pequena porção de vulnerabilidades em termos de risco relativo. Para CVE-2025-9356, como é mais recente, o EPSS ainda não foi calculado no momento de escrita dessa publicação (23/08/2025 -13h25m GNT-3).
  • Recomendação: Atualize o firmware dos dispositivos Linksys o mais breve possível, desative o gerenciamento remoto se não for necessário, e monitore alertas de segurança. Para mais detalhes, consulte os sites de origem ou o site oficial da Linksys.
  • Se não houver vulnerabilidades adicionais ou se o período exato não capturou mais registros, isso reflete as informações disponíveis em tempo real.

Referências

  1. CVE-2025-9356 – cvefeed.io. “Linksys Wireless Router Stack-Based Buffer Overflow Vulnerability.” Publicado em 22 de agosto de 2025. Disponível em: https://cvefeed.io/cve/CVE-2025-9356
  2. CVE-2025-9252 – VulDB. “Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 DisablePasswordAlertRedirect stack-based buffer overflow.” Publicado em 20 de agosto de 2025. Disponível em: https://vuldb.com/?id.275566
  3. CVE-2025-9249 – VulDB. “Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 DHCPReserveAddGroup stack-based buffer overflow.” Publicado em 20 de agosto de 2025. Disponível em: https://vuldb.com/?id.275563
  4. CVE-2025-9253 – VulDB. “Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 RP_doSpecifySiteSurvey stack-based buffer overflow.” Publicado em 20 de agosto de 2025. Disponível em: https://vuldb.com/?id.275567
  5. CVE-2025-9251 – VulDB. “Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 sta_wps_pin stack-based buffer overflow.” Publicado em 20 de agosto de 2025. Disponível em: https://vuldb.com/?id.275565
  6. Tenable Vulnerability Database. “Common Vulnerabilities and Exposures (CVEs).” Disponível em: https://www.tenable.com/cve
  7. @CVEnew on X. Postagens sobre CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251. Publicado entre 20 e 22 de agosto de 2025. Disponível em: https://x.com/CVEnew