Categoria: Uncategorized

Vol. 1 No. 20251010-985 (2025)

Firewall de sistema operacional

Anísio José Moreira Neto | anisio@cylo.com.br | 10/10/2025

Esta semana tive a satisfação de iniciar a implantação do firewall do Cortex nos endpoints de um novo cliente — abrangendo tanto os Windows Servers quanto as estações de trabalho.

Digo satisfação porque ainda me surpreende como é comum esse recurso essencial ser negligenciado.

Tenho convicção de que o firewall de sistema operacional é uma camada crítica para a segurança dos ambientes. Ele não deve ser tratado como algo opcional, mas sim como parte do fazer certo — com políticas bem definidas, alinhadas à realidade da operação.

Se você está pensando em começar essa implantação, minha sugestão é iniciar pelo servidor de backup. E claro, conte com a nossa ajuda para fazer isso da melhor forma.

Vol. 1 No. 20251003-973 (2025)

Ataques destinados ao Brasil via Whatsapp

Pedro Brandt Zanqueta | pedro@cylo.com.br | 03/10/2025

Estamos lidando massivamente com a resposta a incidente que vem ocorrendo nessa semana. O ataque inicia via Whatsapp, aplicativo muito utilizado no nosso país.

O objetivo é notificar a todos desse ataque, onde se inicia a partir de arquivo ZIP compartilhado pelo mensageiro, sugerindo o usuário baixar em sua estação e descompactar para execução dos arquivos relacionados e posteriormente iniciar sua exploração.

Sempre desconfie e análise com cautela das informações ao qual recebe e envia, duvide de arquivos, mensagens, promoções e qualquer outra categoria de mensagem.

Recomendações:

  • Controlar aplicações não corporativas no ambiente;
  • Implantar XDR no ambiente para análise comportamental;
  • Integração de feeds de inteligência;
  • Treinamentos no ambiente corporativo;
  • Divulgação de comunicados internos;

IOCs

sorvetenopote[.]com
expansiveuser[.]com
zapgrande[.]com
imobiliariaricardoparanhos[.]com
886136adfac9287ecb53f45d8b5ab42e98d2c8c058288e81795caa13dbf5faa8
94411cd5eb27b28b0b039ac07eef2ec0f4e0e0ebd83884bfcaf79665d73d0b6a
109[.]176[.]30[.]141
23[.]227[.]203[.]148

Exemplo da mensagem que o pessoal recebe:

Vol. 1 No. 20250910-948 (2025)

Alerta de Segurança: Vulnerabilidade Ativamente Explorada em Roteadores TP-Link

Adriano Cansian | adriano.cansian@unesp.br | 10/09/2025

Ameaça real a redes domésticas e corporativas

Nos últimos dias, a comunidade de segurança da informação voltou sua atenção para uma vulnerabilidade crítica que afeta roteadores da TP-Link, um dos fabricantes mais populares de equipamentos de rede do mundo.

Ainda que eu não acredite que essa vulnerabilidade sozinha possa representar grande risco para atores que não sejam de alto interesse, o uso combinado dessa vulnerabilidade com outras pode levar algum risco significativo, principalmente para pequenos negócios. De qualquer forma, não é bom ficar com vulnerabilidades em sua casa ou na sua empresa. Então, vamos explicar do que ela se trata e como mitigá-la, visto que o produto é descontinuado e ela não terá conserto definitivo.

A falha, identificada como CVE-2023-50224 está sendo ativamente explorada por agentes maliciosos, o que levou a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) a incluí-la em seu catálogo de vulnerabilidades conhecidas e exploradas (KEV). Não é uma vulnerabilidade teórica. A exploração ativa desta falha é antiga e remonta a 2023, sendo atribuída a uma botnet com objetivos de espionagem.

Análise da vulnerabilidade CVE-2023-50224

  • Descrição: trata-se de uma vulnerabilidade de evasão de autenticação por spoofing no serviço httpd do roteador TP-Link TL-WR841N. A falha permite que um atacante acesse o arquivo /tmp/dropbear/dropbearpwd, que contém credenciais de usuário, sem precisar de autenticação. Essencialmente, a vulnerabilidade abre uma porta para o roubo de senhas do roteador.
  • Produtos afetados: O principal produto afetado é o TP-Link TL-WR841N, um modelo extremamente popular e amplamente utilizado em residências e pequenos escritórios. Infelizmente, este modelo é considerado End-of-Life (EoL), o que significa que o fabricante não fornecerá mais atualizações de firmware para corrigir a falha.
  • Data de publicação: A vulnerabilidade foi divulgada publicamente em 19 de dezembro de 2023, mas foi adicionada ao catálogo KEV da CISA em 3 de setembro de 2025, após a confirmação de exploração ativa.
  • Severidade: Média (CVSS v3.1: 6.5 - AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N). Embora a pontuação não seja classificada como “Crítica”, o impacto real, se explorada, é extremamente alto devido à facilidade de exploração e ao fato de levar ao comprometimento total do dispositivo.
  • EPSS: 4.50% (baixa probabilidade de exploração nos próximos 30 dias).
  • Percentil EPSS: 88.70% indica que a pontuação é igual ou superior à de aproximadamente 88.7% das outras vulnerabilidades catalogadas, representando um risco significativamente elevado. Entenda mais sobre “percentil” no EPSS [nesse link].
  • Outras informações: A exploração desta vulnerabilidade está associada à botnet Quad7 (também conhecida como CovertNetwork-1658), que tem sido ligada a grupos de ameaças com objetivos de espionagem. Em vez de usar os roteadores para ataques de negação de serviço (DDoS), os atacantes os transformam em proxies secretos para lançar outros ataques, como roubo de credenciais de serviços em nuvem (Microsoft 365, etc.).

O Impacto Real: O Que Significa Para Você?

O comprometimento de um roteador vai muito além da simples perda de acesso à internet. Um atacante com controle sobre seu roteador pode:

  1. Interceptar todo o seu tráfego de internet: Isso inclui senhas, dados bancários, e-mails e qualquer outra informação não criptografada que passe pela sua rede.
  2. Redirecionar seu tráfego para sites falsos: O atacante pode realizar ataques de phishing em nível de rede, redirecionando você para um site falso do seu banco, por exemplo, para roubar suas credenciais.
  3. Usar sua rede para atividades ilegais: Como mencionado, os roteadores comprometidos estão sendo usados como uma rede de proxies para lançar ataques contra outras vítimas. Isso significa que sua rede pode ser implicada em atividades criminosas.
  4. Atacar outros dispositivos na sua rede: O roteador pode ser usado como um ponto de partida para atacar outros dispositivos conectados à sua rede local, como computadores, smartphones e dispositivos de IoT (câmeras, assistentes de voz, etc.).

O fato de o TP-Link TL-WR841N ser um dispositivo EoL agrava enormemente o risco. Não haverá uma correção oficial do fabricante. Se você possui este roteador, ele permanecerá vulnerável para sempre.

Recomendações: O Que Fazer Agora?

Dado o risco e a falta de um patch, a recomendação é clara e urgente.

Mitigação Primária (Ação Imediata)

  • Substitua o roteador imediatamente: Esta é a única maneira de garantir que sua rede esteja protegida contra esta vulnerabilidade. Desconecte o TP-Link TL-WR841N e substitua-o por um modelo de um fabricante confiável que ainda receba atualizações de segurança.

Mitigações Secundárias (Medidas Paliativas)

Se a substituição imediata não for possível, tome as seguintes medidas para reduzir o risco, mas entenda que elas não eliminam a vulnerabilidade:

  • Desative o gerenciamento remoto: Certifique-se de que o painel de administração do seu roteador não esteja acessível a partir da internet (WAN).
  • Altere a senha do administrador: Use uma senha forte e exclusiva. Embora a vulnerabilidade permita o roubo dessa senha, alterá-la pode dificultar o acesso se o atacante ainda não tiver explorado a falha.
  • Isole a rede: Se possível, crie uma rede de convidados (Guest Network) para dispositivos menos confiáveis e use a rede principal somente para dispositivos essenciais.

Conclusão

Verifique o modelo do seu roteador. Se for um TP-Link TL-WR841N, é recomendado que você adote as medidas de mitigação. A CVE-2023-50224 é um lembrete dos perigos associados ao uso de hardware de rede desatualizado. Roteadores são a porta de entrada para a internet e, quando comprometidos, colocam toda a sua vida digital em risco. A exploração ativa desta falha por grupos organizados mostra que mesmo vulnerabilidades de severidade “Média” podem ter consequências devastadoras no mundo real.

Referências

Vol. 1 No. 20250823-913 (2025)

Semana das vulnerabilidades em roteadores Wi-Fi da Linksys

Adriano Cansian | adriano.cansian@unesp.br | 23/08/2025

Nos últimos 7 dias (16 a 23 de agosto de 2025), com base em fontes públicas, realizamos um levantamento das vulnerabilidades registradas em roteadores e extensores de alcance de Wi-Fi da marca Linksys. As falhas identificadas são majoritariamente do tipo stack-based buffer overflow, remotamente exploráveis, e afetam modelos específicos da série RE, permitindo ataques sem autenticação.

Divulgadas recentemente, essas vulnerabilidades não receberam resposta do fabricante para notificações de divulgação coordenada, e não há patches disponíveis mencionados nas fontes, reforçando a importância de monitoramento contínuo e mitigação proativa. Elas são semelhantes entre si, afetando funções específicas no firmware dos dispositivos. Em seguida apresentamos esse levantamento para fins de acompanhamento:

CVEs Catalogados na Semana

1. CVE-2025-9356

  • Descrição: Extravazamento de buffer baseado em pilha na função inboundFilterAdd do endpoint /goform/inboundFilterAdd, desencadeado por um parâmetro ruleName excessivamente longo. Permite execução de código arbitrário remotamente, sem autenticação.
  • Produtos afetados: Linksys RE6250 (firmware 1.0.013.001), RE6300 (1.0.04.001), RE6350 (1.0.04.002), RE6500 (1.1.05.003), RE7000 (1.2.07.001), RE9000 (1.2.07.001).
  • Data de publicação: 22 de agosto de 2025.
  • Severidade: Alta (CVSS v4: 7.4; CVSS v3.1: 8.8; CVSS v2: 9.0).
  • EPSS: Não disponível ainda (a pontuação EPSS pode demorar para ser calculada em vulnerabilidades muito recentes).
  • Percentil EPSS: Não disponível ainda.
  • Outras informações: Exploit público disponível; similar a outras vulnerabilidades na mesma família de dispositivos (ex.: CVE-2025-8824).
  • Referência: https://www.cvedetails.com/cve/CVE-2025-9356/

2. CVE-2025-9252

  • Descrição: Transbordamento de buffer baseado em pilha na função DisablePasswordAlertRedirect do arquivo /goform/DisablePasswordAlertRedirect, manipulado pelo argumento hint. Ataque remoto possível, com exploit público.
  • Produtos afetados: Linksys RE6250 (1.0.013.001), RE6300 (1.0.04.001 e 1.0.04.002), RE6350 (1.1.05.003), RE6500 (1.2.07.001), RE7000 (1.0.013.001), RE9000 (1.0.013.001).
  • Data de publicação: 20 de agosto de 2025.
  • Severidade: Alta (CVSS v4: 7.4; CVSS v3.1: 8.8; CVSS v2: 9.0).
  • EPSS: 0.04% (probabilidade baixa de exploração nos próximos 30 dias).
  • Percentil EPSS: ~12% (indica que a pontuação é igual ou superior à de aproximadamente 12% das outras vulnerabilidades scored).
  • Outras informações: Associada a CWE-121 e CWE-119; sem resposta do fabricante.
  • Referência: https://www.cvedetails.com/cve/CVE-2025-9252/

3. CVE-2025-9249

  • Descrição: Transbordamento de buffer baseado em pilha na função DHCPReserveAddGroup, manipulado pelos parâmetros enable_group, name_group, ip_group e mac_group. Permite acesso não autorizado e comprometimento da integridade do dispositivo remotamente.
  • Produtos afetados: Linksys RE6250 (1.0.013.001, 1.0.04.001, 1.0.04.002), RE6300, RE6350, RE6500, RE7000, RE9000.
  • Data de publicação: 20 de agosto de 2025.
  • Severidade: Alta (CVSS v4: 7.4; CVSS v3.1: 8.8; CVSS v2: 9.0).
  • EPSS: 0.04% (probabilidade baixa de exploração nos próximos 30 dias).
  • Percentil EPSS: ~12% (indica que a pontuação é igual ou superior à de aproximadamente 12% das outras vulnerabilidades scored).
  • Outras informações: Exploit e PoC (Proof of Concept) públicos disponíveis; afeta confidencialidade, integridade e disponibilidade.
  • Referência: https://www.cvedetails.com/cve/CVE-2025-9249

4. CVE-2025-9253

  • Descrição: Transbordamento de buffer baseado em pilha na função RP_doSpecifySiteSurvey do arquivo /goform/RP_doSpecifySiteSurvey, manipulado pelo argumento ssidhex. Ataque remoto possível, com exploit público.
  • Produtos afetados: Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 (firmwares 1.0.013.001, 1.0.04.001, 1.0.04.002, 1.1.05.003, 1.2.07.001).
  • Data de publicação: 20 de agosto de 2025.
  • Severidade: Alta (CVSS v4: 7.4; CVSS v3.1: 8.8; CVSS v2: 9.0).
  • EPSS: 0.04% (probabilidade baixa de exploração nos próximos 30 dias).
  • Percentil EPSS: ~12% (indica que a pontuação é igual ou superior à de aproximadamente 12% das outras vulnerabilidades scored).
  • Outras informações: Associada a CWE-121 e CWE-119; sem resposta do fabricante.
  • Referência: https://www.cvedetails.com/cve/CVE-2025-9253

5. CVE-2025-9251

  • Descrição: Transbordamento de buffer baseado em pilha na função sta_wps_pin, manipulado pelo argumento Ssid. Permite execução de código remoto, comprometendo o dispositivo.
  • Produtos afetados: Linksys RE6250 (1.0.013.001, 1.0.04.001, 1.0.04.002); provavelmente afeta outros da série RE.
  • Data de publicação: 20 de agosto de 2025.
  • Severidade: Alta (CVSS v4: 7.4; CVSS v3.1: 8.8; CVSS v2: 9.0).
  • EPSS: 0.04% (probabilidade baixa de exploração nos próximos 30 dias).
  • Percentil EPSS: ~12% (indica que a pontuação é igual ou superior à de aproximadamente 12% das outras vulnerabilidades scored).
  • Outras informações: Exploit e PoC públicos disponíveis; afeta confidencialidade, integridade e disponibilidade.
  • Referência: https://www.cvedetails.com/cve/CVE-2025-9251

Compilado de produtos afetados:

  1. Linksys RE6250
    • Versões de firmware afetadas: 1.0.013.001, 1.0.04.001, 1.0.04.002
    • Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251
  2. Linksys RE6300
    • Versões de firmware afetadas: 1.0.04.001, 1.0.04.002
    • Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251
  3. Linksys RE6350
    • Versões de firmware afetadas: 1.0.04.002, 1.1.05.003
    • Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251
  4. Linksys RE6500
    • Versões de firmware afetadas: 1.1.05.003, 1.2.07.001
    • Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251
  5. Linksys RE7000
    • Versões de firmware afetadas: 1.0.013.001, 1.2.07.001
    • Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251
  6. Linksys RE9000
    • Versões de firmware afetadas: 1.0.013.001, 1.2.07.001
    • Vulnerabilidades: CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251

Observações Gerais:

  • Todas essas vulnerabilidades são remotamente exploráveis e não requerem interação do usuário ou privilégios elevados em muitos casos. Elas foram divulgadas em fontes como VulDB, SecAlerts e SecurityVulnerability.io, mas algumas ainda não aparecem no NVD (National Vulnerability Database) do NIST, possivelmente devido a atrasos na catalogação.
  • Há indícios de mais vulnerabilidades semelhantes na série RE (ex.: CVE-2025-9360, 9362, 9363 no VulDB), mas sem detalhes completos disponíveis nas buscas realizadas. Elas parecem seguir o mesmo padrão de buffer overflows.
  • Os valores de EPSS são baixos para as vulnerabilidades com dados disponíveis, indicando probabilidade reduzida de exploração imediata, mas o percentil ~12% sugere que elas estão acima de uma pequena porção de vulnerabilidades em termos de risco relativo. Para CVE-2025-9356, como é mais recente, o EPSS ainda não foi calculado no momento de escrita dessa publicação (23/08/2025 -13h25m GNT-3).
  • Recomendação: Atualize o firmware dos dispositivos Linksys o mais breve possível, desative o gerenciamento remoto se não for necessário, e monitore alertas de segurança. Para mais detalhes, consulte os sites de origem ou o site oficial da Linksys.
  • Se não houver vulnerabilidades adicionais ou se o período exato não capturou mais registros, isso reflete as informações disponíveis em tempo real.

Referências

  1. CVE-2025-9356 – cvefeed.io. “Linksys Wireless Router Stack-Based Buffer Overflow Vulnerability.” Publicado em 22 de agosto de 2025. Disponível em: https://cvefeed.io/cve/CVE-2025-9356
  2. CVE-2025-9252 – VulDB. “Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 DisablePasswordAlertRedirect stack-based buffer overflow.” Publicado em 20 de agosto de 2025. Disponível em: https://vuldb.com/?id.275566
  3. CVE-2025-9249 – VulDB. “Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 DHCPReserveAddGroup stack-based buffer overflow.” Publicado em 20 de agosto de 2025. Disponível em: https://vuldb.com/?id.275563
  4. CVE-2025-9253 – VulDB. “Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 RP_doSpecifySiteSurvey stack-based buffer overflow.” Publicado em 20 de agosto de 2025. Disponível em: https://vuldb.com/?id.275567
  5. CVE-2025-9251 – VulDB. “Linksys RE6250, RE6300, RE6350, RE6500, RE7000, RE9000 sta_wps_pin stack-based buffer overflow.” Publicado em 20 de agosto de 2025. Disponível em: https://vuldb.com/?id.275565
  6. Tenable Vulnerability Database. “Common Vulnerabilities and Exposures (CVEs).” Disponível em: https://www.tenable.com/cve
  7. @CVEnew on X. Postagens sobre CVE-2025-9356, CVE-2025-9252, CVE-2025-9249, CVE-2025-9253, CVE-2025-9251. Publicado entre 20 e 22 de agosto de 2025. Disponível em: https://x.com/CVEnew

Vol. 1 No. 20250817-901 (2025)

Vulnerabilidade Crítica de Execução Remota de Código no Fortinet FortiSIEM

Adriano Cansian | adriano.cansian@unesp.br | 17/08/2025

Estamos cientes que a Fortinet emitiu um alerta sobre uma vulnerabilidade de gravidade crítica que afeta seu produto FortiSIEM. A falha foi catalogada como a vulnerabilidade CVE-2025-25256, e permite que um invasor não autenticado execute comandos remotamente no sistema operacional dos dispositivos afetados.

A vulnerabilidade recebeu uma pontuação CVSS de 9.8, refletindo seu potencial de impacto máximo. A exploração bem-sucedida pode resultar no comprometimento total do equipamento, permitindo que o invasor execute código arbitrário com privilégios elevados.

Apesar da Fortinet não haver especificados indicadores de comprometimento (IoCs), temos a confirmação de que já existe pelo menos um código de exploit funcional para esta falha, o que significa que ataques ativos estão em andamento. Isso eleva drasticamente a urgência para a aplicação das devidas correções.

Detalhes Técnicos da Vulnerabilidade

  • Causa Raiz: A falha reside em uma vulnerabilidade de injeção de comando no sistema operacional, que pode ser acionada por meio de solicitações CLI (Interface de Linha de Comando) especialmente criadas para esse fim.
  • Vetor de Ataque: O ataque pode ser realizado remotamente, sem a necessidade de qualquer tipo de autenticação prévia, tornando qualquer sistema vulnerável exposto à internet um alvo fácil.
  • Impacto: A exploração permite a Execução Remota de Código (RCE), dando ao atacante controle total sobre o sistema FortiSIEM.

Versões Afetadas

A vulnerabilidade impacta muitas versões do FortiSIEM. As organizações que utilizam as seguintes versões devem tomar ações imediatas:

VersionAffectedSolution
FortiSIEM 7.4Not affectedNot Applicable
FortiSIEM 7.37.3.0 through 7.3.1Upgrade to 7.3.2 or above
FortiSIEM 7.27.2.0 through 7.2.5Upgrade to 7.2.6 or above
FortiSIEM 7.17.1.0 through 7.1.7Upgrade to 7.1.8 or above
FortiSIEM 7.07.0.0 through 7.0.3Upgrade to 7.0.4 or above
FortiSIEM 6.76.7.0 through 6.7.9Upgrade to 6.7.10 or above
FortiSIEM 6.66.6 all versionsMigrate to a fixed release
FortiSIEM 6.56.5 all versionsMigrate to a fixed release
FortiSIEM 6.46.4 all versionsMigrate to a fixed release
FortiSIEM 6.36.3 all versionsMigrate to a fixed release
FortiSIEM 6.26.2 all versionsMigrate to a fixed release
FortiSIEM 6.16.1 all versionsMigrate to a fixed release
FortiSIEM 5.45.4 all versionsMigrate to a fixed release

Recomendações e Mitigação

A recomendação principal e mais eficaz é a atualização imediata dos sistemas para as versões corrigidas disponibilizadas pela Fortinet.

Para ambientes onde a aplicação do patch não pode ser realizada imediatamente, a Fortinet sugere uma mitigação temporária: restringir o acesso à porta 7900 (phMonitor) do FortiSIEM, limitando a exposição a redes confiáveis e bloqueando o acesso externo.

Dada a existência de um exploit ativo, a inação não é uma opção. Recomenda-se que todos os administradores de sistemas Fortinet validem suas versões e apliquem os patches de segurança com a máxima prioridade para proteger seus ativos contra comprometimento.

Referências:

fortiguard.fortinet.com: https://fortiguard.fortinet.com/psirt/FG-IR-25-152 

Vol. 1 No. 20250817-898 (2025)

Vulnerabilidade no Software Cisco FMC em conjunto com RADIUS

Adriano Cansian | adriano.cansian@unesp.br |

Publicada em 14 de agosto de 2025, a vulnerabilidade CVE-2025-20265 é uma falha de segurança crítica encontrada no software Cisco Secure Firewall Management Center (FMC) que permite a um invasor remoto e não autenticado injetar e executar comandos arbitrários no dispositivo. A vulnerabilidade recebeu o valor de pontuação máxima de 10.0 no Common Vulnerability Scoring System (CVSS), classificando-a como “CRÍTICA”, e demandando atenção imediata.

Atualização em 19/08/2025 09:33 GMT-3:

  1. Publicação do EPSS: A CVE-2025-20265 obteve EPSS estável de 0.481%
  2. Baixo Risco de Exploração: probabilidade baixa de exploração nos próximos 30 dias
  3. Monitoramento Contínuo: Recomenda-se continuar acompanhando nos próximos dias/semanas. Utilize esse [LINK].

Pré-condição importante:

Entretanto, antes que se entre em pânico, é importante saber que existe uma pré-condição específica e indispensável para que a vulnerabilidade CVE-2025-20265 possa ser explorada: O software Cisco Secure Firewall Management Center (FMC) deve estar configurado para usar autenticação externa via RADIUS.

Isso se aplica tanto para o acesso à interface de gerenciamento baseada na web quanto para o acesso via SSH.

Se o sistema não estiver usando RADIUS para autenticação (por exemplo, se estiver usando contas de usuário locais, LDAP ou SAML), ele não está vulnerável a esta falha específica, mesmo que esteja executando uma versão de software afetada. A rota de ataque depende inteiramente da maneira como o subsistema RADIUS processa as credenciais de login.

IMPORTANTE: mesmo que você não utilize autenticação RADIUS, certifique-se que ela não está habilitada. Veja as instruções no apêndice desse texto, mais abaixo.

Pontos principais:

Causa: A falha ocorre devido ao tratamento inadequado da entrada do usuário durante a fase de autenticação no subsistema RADIUS. Um invasor pode explorar isso enviando entradas criadas especificamente ao inserir credenciais para serem autenticadas no servidor RADIUS configurado.

Fraqueza: CWE-74 Improper Neutralization of Special Elements in Output Used by a Downstream Component (‘Injection’)

Impacto: Uma exploração bem-sucedida pode permitir que o invasor execute comandos com um alto nível de privilégio, levando a uma possível comprometimento completo do sistema.

Produtos Afetados: As versões 7.0.7 e 7.7.0 do software Cisco Secure FMC são afetadas se tiverem a autenticação RADIUS ativada para a interface de gerenciamento baseada na web, gerenciamento SSH ou ambos.

Descoberta: A vulnerabilidade foi descoberta por um engenheiro de software da Cisco durante testes de segurança internos. Até o momento, a Cisco não tem conhecimento de nenhuma exploração desta vulnerabilidade em ataques reais.

Probabilidade de exploração: no momento de escrita desse alerta (17.ago.2025 18:30 GMT-3) a análise do EPSS que indica a probabilidade de exploração encontra-se pendente. O sistema EPSS atualiza suas pontuações diariamente, e é provável que um valor para esta CVE seja disponibilizado em breve, dada a sua alta criticidade. Até o momento não existe exploit público de ataque disponível, até onde se sabe.

Solução principal:

A correção para essa vulnerabilidade é simples. A forma mais eficaz e recomendada de corrigi-la é instalar as atualizações de software fornecidas pela Cisco. Os administradores devem atualizar seus sistemas para uma versão de software que não esteja vulnerável.

A empresa lançou versões corrigidas do software Cisco Secure Firewall Management Center (FMC) que resolvem essa falha. Consulte a recomendação do fabricante em https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-radius-rce-TNBKf79

Mitigação:

Se não for possível aplicar a atualização de software imediatamente, a Cisco recomenda as seguintes ações para mitigar o risco:

  1. Desativar a Autenticação RADIUS: A vulnerabilidade só pode ser explorada se a autenticação externa via RADIUS estiver habilitada. A principal mitigação é desativar o RADIUS para o acesso de gerenciamento (tanto para a interface web quanto para o SSH).
  2. Usar Métodos de Autenticação Alternativos: Em vez de RADIUS, os administradores podem configurar outros métodos de autenticação que não são afetados por esta vulnerabilidade, como:
    • Contas de usuário locais.
    • Autenticação externa via LDAP (Lightweight Directory Access Protocol).
    • Logon Único (SSO) usando SAML (Security Assertion Markup Language).

Referências

APÊNDICE – Como verificar se a autenticação RADIUS está habilitada no Cisco

1. Passo a Passo para Verificação via interface web

O processo consiste em duas etapas principais:

  1. Verificar se existe um servidor RADIUS configurado e ativo.
  2. Confirmar se esse servidor RADIUS está sendo usado para autenticação.

Etapa 1: Localizar e Inspecionar os Servidores de Autenticação Externa

Primeiro, você precisa ver onde os servidores de autenticação externa, como RADIUS, LDAP ou SAML, são configurados.

  1. Faça login na interface web do seu FMC.
  2. Navegue até a página de Autenticação Externa:
    • No menu superior, clique em System (Sistema).No menu suspenso, clique em Users (Usuários).Na página de Usuários, clique na aba External Authentication (Autenticação Externa).
    O caminho é: System > Users > External Authentication.
  3. Analise a Lista de Objetos de Autenticação:
    • Nesta página, você verá uma lista de todos os “objetos” de autenticação externa que foram criados.
    • Procure por qualquer objeto na lista cujo Authentication Method (Método de Autenticação) seja RADIUS.
  4. Verifique o Status do Objeto RADIUS:
    • Depois de encontrar um objeto RADIUS, olhe para a coluna Status.
    • Se o círculo de status estiver verde e o texto disser Enabled (Habilitado), significa que o FMC tem uma configuração RADIUS funcional e ativa.
    O que isso significa até agora? Você confirmou que o FMC está configurado para se comunicar com um servidor RADIUS. Agora, precisamos verificar se ele está realmente usando essa configuração para logins.

Etapa 2: Verificar se o RADIUS é o Método de Login Padrão

Mesmo que um servidor RADIUS esteja habilitado, ele pode não estar em uso. Ele precisa ser definido como o método de autenticação para os logins da interface web ou do SSH.

  1. Permaneça na mesma página (System > Users > External Authentication).
  2. Role a página para baixo até encontrar a seção chamada Default Authentication (Autenticação Padrão).
  3. Examine as Configurações Padrão:
    • Esta seção permite que você defina qual método de autenticação será usado por padrão para diferentes tipos de acesso.
    • Procure pelas opções:
      • Web: Para logins na interface gráfica.
      • SSH: Para logins via linha de comando.
  4. Verifique se o RADIUS está selecionado:
    • Olhe para os menus suspensos ao lado de Web e SSH.
    • Se algum desses menus estiver configurado para usar o objeto de autenticação RADIUS que você identificou na Etapa 1, então a autenticação RADIUS está ativa e em uso para esse tipo de acesso.

Para estar vulnerável à CVE-2025-20265, as seguintes condições devem ser verdadeiras na interface web:

(Condição 1 / Etapa 1): Você tem um objeto de autenticação externa com o método RADIUS que está Habilitado (Enabled)

AND

(Condição 2 / Etapa 2): Na seção Default Authentication, o menu suspenso para Web ou SSH (ou ambos) está selecionado para usar esse objeto RADIUS.

Se ambas as condições forem atendidas e sua versão de software for uma das afetadas (como 7.7.0 ou 7.0.7), seu sistema está vulnerável e requer ação imediata.

2. Passo a Passo para Verificação via CLI

A configuração de autenticação externa não é gerenciada por um único comando “show” simples. Você precisará inspecionar os arquivos de configuração diretamente ou usar utilitários do sistema. A maneira mais confiável é usar o FMC expert mode para acessar o shell do Linux e, em seguida, consultar o banco de dados de configuração. O método recomendado via CLI é:

  1. Acesse a CLI do FMC: Conecte-se ao seu dispositivo FMC usando SSH.
  2. Entre no Modo expert: No prompt da CLI, digite o comando expert. Isso lhe dará acesso ao shell do Linux subjacente.Bash> expert
  3. Execute o Comando de Consulta ao Banco de Dados: O FMC armazena suas configurações em um banco de dados. Você pode consultá-lo diretamente para encontrar as configurações de autenticação RADIUS. O comando a seguir usa mysql para consultar a tabela auth_modules no banco de dados usm_db e filtra por módulos RADIUS.Copie e cole o seguinte comando completo no prompt do expert mode: 
% sudo /usr/local/sf/bin/sf-mysql -e 'SELECT name, is_enabled, is_default_web, is_default_cli FROM usm_db.auth_modules WHERE type="Radius"'

Como Interpretar a Saída

O comando retornará uma tabela. Preste atenção nas seguintes colunas para cada servidor RADIUS configurado (identificado pela coluna name):

  • is_enabled: Se o valor for 1, o objeto de autenticação RADIUS está habilitado. Se for 0, está desabilitado.
  • is_default_web: Se o valor for 1, este servidor RADIUS é usado para a autenticação padrão da interface web.
  • is_default_cli: Se o valor for 1, este servidor RADIUS é usado para a autenticação padrão do acesso SSH/CLI.

Exemplo de Saída Vulnerável:

Plain Text

+-------------------+------------+------------------+------------------+
| name              | is_enabled | is_default_web   | is_default_cli   |
+-------------------+------------+------------------+------------------+
| ServidorRADIUS_Corp |          1 |                1 |                1 |
+-------------------+------------+------------------+------------------+

Neste exemplo:

  • O objeto “ServidorRADIUS_Corp” está habilitado (is_enabled = 1).
  • Ele é usado para autenticação web (is_default_web = 1).
  • Ele é usado para autenticação CLI/SSH (is_default_cli = 1).

Se você vir is_enabled como 1 e pelo menos um dos is_default_web ou is_default_cli também como 1, seu sistema está usando autenticação RADIUS e está vulnerável (se estiver em uma versão de software afetada).

Se a tabela estiver vazia ou se todos os valores nas colunas is_enabled, is_default_web e is_default_cli forem 0, então a autenticação RADIUS não está ativa e você não está exposto a esta vulnerabilidade específica.

Este método CLI é ideal para verificações rápidas, auditorias ou para uso em scripts de automação.

<FIM DO DOCUMENTO>

Vol. 1 No. 20250815-763 (2025)

Chave privada em repositório Git

Matheus Augusto da Silva Santos | matheus@cylo.com.br | 15/08/2025

Recentemente, estava explorando o repositório GitHub de um framework que utilizo para desenvolvimento. Observando modificações recentes, me deparei com um commit que me deixou inicialmente muito confuso: uma chave privada, aparentemente utilizada para assinar o pacote de instalação do framework, havia sido adicionada aos arquivos do repositório.

Felizmente, após inspecionar a chave pública acompanhante, revelou-se que a chave foi credenciada para o domínio yourdomain.com. Comentando isso com um colega de trabalho, ele me instruiu que isso é, na verdade, algo relativamente comum: adicionar arquivos com uma chave de exemplo ao repositório para que a estrutura de arquivos fique completa. Adicionalmente, em alguns casos (como desenvolvimento de aplicações web), é possível utilizar esse certificado no ambiente de desenvolvimento local redirecionando o domínio de exemplo para o local host via alteração do arquivo hosts.

Digo que fiquei aliviado descobrindo que a adição da chave ao repositório foi, muito provavelmente, intencional e não impõe um risco de segurança ao projeto (é um dos meus frameworks favoritos). Reconheço que acidentes, especialmente quanto a adição de arquivos no Git que não deveriam ser adicionados, acontecem. Inúmeras vezes já ansiosamente executei git add .; git commit -m "..." no terminal, descobrindo somente depois que havia algum artefato de compilação, ou arquivo de cache (estou olhando para você, mypy), esquecido no diretório do projeto que agora havia sido imortalizado no repositório pela execução precoce do comando. Como diz o ditado, “once in git, always in git”.

Hoje em dia sou moderadamente mais cauteloso e ademais, grato pelas abençoadas almas que dispõem modelos de .gitignore na web. Porém, pessoalmente não julgo cautela como suficiente! Utilizo no meu desenvolvimento o pre-commit, uma ferramenta que realiza verificações automáticas antes de toda modificação de arquivos em um repositório Git. Incidentalmente, um dos plugins disponibilizados por padrão pela ferramenta possui um teste que previne o commit acidental de uma chave privada.

Referências

  • pre-commit. Disponível em: <https://pre-commit.com/>.
  • pre-commit/pre-commit-hooks. Disponível em: <https://github.com/pre-commit/pre-commit-hooks>.

Vol. 1 No. 20250801-804 (2025)

Impacto das conexões externas

Pedro Brandt Zanqueta | pedro@cylo.com.br | 01/08/2025

Durante um estudo para um projeto interno, onde criamos ambientes propositalmente vulneráveis, obtivemos resultados interessantes ao analisar fatores relacionados a conexões externas.

Por mais de um mês, mantivemos a porta de RDP (3389) aberta exclusivamente para conexões originadas do Brasil. Mesmo com essa restrição geográfica, registramos diversas tentativas de exploração, força bruta de senhas e uso de ferramentas de escaneamento. No entanto, nenhum sistema foi comprometido.

Decidimos então testar o extremo: liberamos o acesso RDP 3389 para o mundo inteiro. O resultado? Em menos de 24 horas, tivemos um sistema comprometido.

Isso levanta uma questão: o Brasil sofre menos ataques? A resposta é não. Segundo o relatório da IBM, as empresas brasileiras estão entre as cinco mais atacadas do mundo.

O que temos observado é que muitas empresas mantêm sistemas expostos à internet sem as devidas proteções. Sites como o Shodan.io realizam varreduras globais em busca de serviços abertos, revelando a fragilidade de muitas infraestruturas.

Times de infraestrutura e segurança precisam implementar camadas de proteção: firewalls, IPS, regras de controle e restrições geográficas são medidas que podem salvar empresas em risco.

Por fim, deixo uma reflexão: você, que atua em infraestrutura, segurança ou áreas correlatas, já validou se suas aplicações expostas externamente possuem restrições de origem bem definidas? Se não, qual é a desculpa?

Vol. 1 No. 20250513-583 (2025)

Vulnerabilidades sendo exploradas em roteadores D-Link

Adriano Cansian | adriano.cansian@unesp.br | 13/05/2025

Nas últimas 72 horas estamos observando uma onda de ataques focados em roteadores D-Link, especificamente nos modelos D-Link DIR-600L, DIR-605L e DIR-619L. Essas vulnerabilidades são preocupantes porque muitos desses dispositivos atingiram o fim de seu suporte (EOL – End of Life), o que significa que não receberão atualizações de firmware para corrigir os problemas.

Esses roteadores foram lançados entre 2010 e 2013, quando o padrão 802.11n era amplamente adotado em dispositivos de entrada. Eles foram amplamente comercializados, especialmente em mercados emergentes como Índia, Brasil e Filipinas, devido ao seu baixo custo e funcionalidades básicas. Continuam em uso em residências e pequenas empresas, especialmente em regiões onde o custo de substituição é uma barreira, ou onde os usuários não estão cientes das vulnerabilidades.

Alguns exemplos de vulnerabilidades recentes nesses dispositivos:

1. D-Link DIR-600L

Vulnerabilidades muito recentes

  • CVE-2025-4349 (05/05/2025): Uma vulnerabilidade crítica no firmware até a versão 2.07B01, afetando a função formSysCmd. A manipulação do argumento host permite a execução remota de comandos, possibilitando que um atacante assuma o controle do roteador sem autenticação.
  • CVE-2025-4350 (05/05/2025): Outra falha crítica na função wake_on_lan do mesmo firmware. A manipulação de argumentos pode levar à execução de código arbitrário, permitindo ataques remotos.

2. D-Link DIR-605L

Vulnerabilidades muito recentes

  • CVE-2025-4441 (08/05/2025): Vulnerabilidade de estouro de buffer (buffer overflow) que pode ser explorada remotamente manipulando o parâmetro curTime. Isso permite a execução de código arbitrário, comprometendo o roteador.
  • CVE-2025-4442 (08/05/2025): Outro estouro de buffer remoto, desta vez via manipulação de configurações WAN, também permitindo execução de código malicioso.

3. D-Link DIR-619L

Vulnerabilidades muito recentes

  • CVE-2025-4454 (08/05/2025): Vulnerabilidade crítica no firmware 2.04B04, afetando a função wake_on_lan. A manipulação de argumentos permite execução remota de código, possibilitando o controle total do roteador.
  • CVE-2025-4453 (09/05/2025): Injeção remota de comandos no mesmo firmware, explorável via manipulação de parâmetros, permitindo que atacantes executem comandos arbitrários.
  • CVE-2025-4452 (09/05/2025): Estouro de buffer na função formSetWizard2, que pode ser explorado remotamente para comprometer o roteador.
  • CVE-2025-4449 (09/05/2025): Estouro de buffer na função EasySetupWizard3, presente em firmware não suportados, permitindo execução de código malicioso.

Possíveis impactos:

De forma bastante resumida, essas vulnerabilidades permitem que atacantes:

  • Executem comandos remotamente, comprometendo completamente o roteador.
  • Alterem configurações, como senhas Wi-Fi ou regras de firewall.
  • Obtenham credenciais de administrador, possibilitando o controle total do dispositivo.
  • Realizem ataques de rede, como redirecionamento de tráfego ou monitoramento de dados.
  • Obtenham controle total do roteador incluindo alterações de configuração e execução de código malicioso.
  • Realizem sequestro de sessões administrativas, comprometendo a segurança da rede.

O que fazer?

Infelizmente não há muito que possa ser feito que permita continuar utilizando esses equipamentos. A única solução definitiba é comprar um roteador moderno de um fabricante que ofereça suporte contínuo e atualizações regulares. Algumas ações configurações de segurança podem ajudar a reduzir um pouco o problema. De forma genérica, são elas:

  • Instalar o firmware mais recente disponível para o roteador.
  • Desativar o acesso remoto ao painel de administração.
  • Usar senhas fortes e exclusivas para o roteador e a rede Wi-Fi.
  • Desativar recursos como UPnP e WPS, que são alvos comuns de exploits.
  • Considerar usar um firewall ou software de monitoramento de rede.
  • Configurar redes separadas para dispositivos móveis e IoT, separando dos computadores para limitar o impacto de um eventual roteador comprometido.

Observações:

Conforme mencionado, estamos discutindo aqui as vulnerabilidades que estão sendo exploradas em roteadores D-Link D-Link DIR-600L, DIR-605L e DIR-619L nas últimas 72 horas, no momento de elaboração desse artigo. Existem diversos outros modelos de roteadores D-Link com problemas de vulnerabilidades. Porém, tais modelos continuam com o ciclo de vida ativo e recebem atualizações de segurança. Para uma busca completa de vulnerabilidades que estejam afetando os dispositivos D-Link, classificadas das mais recentes para as mais antigas, utilize essa [BUSCA] que irá abrir em outra janela.

Conclusão

Apesar da ausência de estatísticas precisas, pelas nossas obaservações, é plausível estimar que uma quantidade significativa de roteadores dos modelos D-Link DIR-600L, DIR-605L e DIR-619L permaneça em operação, particularmente em mercados emergentes, em função do seu baixo custo e das funcionalidades básicas que oferecem. No entanto, esses equipamentos encontram-se tecnicamente obsoletos e apresentam vulnerabilidades de segurança conhecidas e críticas.

Diante desse cenário, recomenda-se fortemente sua substituição por dispositivos mais modernos, que contem com atualizações de firmware e suporte contínuo por parte do fabricante. A manutenção desses modelos em redes ativas representa um vetor considerável de risco à segurança da informação.

Vol. 1 No. 20250509-262 (2025)

Quais as técnicas mais utilizadas por grupos de ransomware?

Matheus Augusto da Silva Santos | matheus@cylo.com.br | 09/05/2025

Se proteção contra ataques de ransomware for um objetivo almejado, a análise das técnicas mais utilizadas para tal é um caminho para priorização de medidas de defesa. Em particular, no framework MITRE ATT&CK1, existem associações entre as técnicas nele documentadas e:

  1. Fontes de dados (Data Sources) configuráveis para monitoramento e CTI;
  2. Mitigações (Mitigations) para defesa direta; e
  3. Recursos (Assets) afetados (este, porém, exclusivamente para técnicas da matriz ICS.)

Para a análise de dados neste post, utilizei os dados disponibilizados por Ransomware.live2. Em particular, seu endpoint de grupos de ransomware consta com mapeamentos de táticas, técnicas e procedimentos (TTPs) para um subconjunto dos grupos.

Infelizmente a parcela de grupos com TTPs mapeadas constitui somente aproximadamente 7% de todos os grupos disponíveis pela API. Torço que com o tempo, mais grupos sejam analisados.

Os 19 grupos com TTPs mapeadas analisados nesse post estão listados abaixo:

8base
BrainCipher
akira
alphv
bianlian
blackbasta
blacksuit
cactus
clop
crosslock
cuba
donex
dragonforce
hunters
medusa
ransomhub
royal
safepay
threeam

Análise da distribuição de táticas

Abaixo, o número de ocorrências de todas as táticas associadas a atividades dos grupos:

Curiosamente, não há mapeamentos para técnicas de TA0043 — Reconnaissance. Isso potencialmente incorre que os grupos analisados utilizam primariamente técnicas passivas3 para esse fim.

Análise da distribuição de técnicas

Abaixo, o número de ocorrências das técnicas mais frequentes (com associações a 5 ou mais grupos):

Não surpreendentemente, a técnica mais frequentemente associada é T1486 — Data Encrypted for Impact. Os únicos dois grupos não associados a ela foram blackbasta e cuba.

Dentre as técnicas listadas, uma que me chamou atenção é T1078 — Valid Accounts: por fazer parte de múltiplas tácticas (quatro no total), observa-se que grupos diferentes foram mapeados à mesma técnica, porém com objetivos distintos. Neste caso, especificamente, temos a seguinte partição:

TA001
Initial Access		TA003
Persistence		TA004
Privilege Escalation
akira🎯
alphv🎯🎯🎯
blacksuit🎯
clop🎯
medusa🎯
safepay🎯🎯🎯
Mapeamento das táticas de grupos utilizando a técnica T1078 — Valid Accounts

Interessantemente, nenhum grupo foi associado a esta técnica almejando a tática TA0005 — Defense Evasion.

Uma partição de táticas similar ocorreu com T1543.003 — Create or Modify System Process: Windows Service, porém em menor grau por esta técnica fazer parte de somente duas táticas.

A proporção entre técnicas base e sub-técnicas dentre as 15 mais frequentes também me intrigou. Técnicas base, por serem mais gerais, possuem maior chance de serem mapeadas a um comportamento observado. Naturalmente, portanto, elas representam a maioria das técnicas mais comuns.

Notavelmente, dentre as sete sub-técnicas presentes nesta listagem, quatro se referem a ações específicas para Windows/PowerShell. Considerando a popularidade do Windows no mercado4, suponho que faça sentido técnicas tão específicas fazerem parte da distribuição das mais comuns.

Conclusão

É importante relevar que os dados aqui analisados não representam a totalidade das complexidades do mundo de cibersegurança. Primeiramente, um mapeamento completo e estático para o comportamento de grupos de ransomware é impraticável. Adicionalmente, o framework ATT&CK não afirma ser uma fonte completa para todos os potenciais comportamentos de adversários5. Em particular, enfatizo o seguinte trecho:

“Don’t limit yourself to the matrix. Remember the ATT&CK matrix only documents observed real-world behaviors. Adversaries may have a series of other behaviors they use that have not been documented yet.”

Apesar da quantidade de dados limitados, foi possível fazer algumas inferências interessantes com as distribuições observadas.

A aplicabilidade dos dados observados para priorização de medidas de segurança, porém, necessita ainda da análise dos mapeamentos entre técnicas e outros elementos. Como citado no início, associações com mitigações seriam um ponto de estudo interessante.

Referências

  1. MITRE. MITRE ATT&CK®. Disponível em: <https://attack.mitre.org>. ↩︎
  2. Ransomware.live 👀. Disponível em: <https://www.ransomware.live>. ↩︎
  3. OGIDI U. O. C. Passive Reconnaissance Techniques. Disponível em: <https://pentescope.com/passive-reconnaissance-techniques/>. ↩︎
  4. SHERIF, A. Windows operating system market share by version 2017-2019 | Statista. Disponível em: <https://www.statista.com/statistics/993868/worldwide-windows-operating-system-market-share/>. ↩︎
  5. General Information | MITRE ATT&CK®. Disponível em: <https://attack.mitre.org/resources/>. ↩︎