Tag: Cybersecurity

Vol. 1 No. 20251118-1027 (2025)

Instabilidade na Cloudflare não é um ataque cibernético

Adriano Cansian | adriano.cansian@unesp.br | 18/11/2025

Nessa manhã de 18 de novembro de 2025, uma instabilidade global no serviço da Cloudflare causou interrupções generalizadas, afetando o acesso a grandes plataformas como o ChatGPT, X (antigo Twitter) e Canva [2]. Usuários no Brasil e no mundo relataram dificuldades de acesso e mensagens de erro, como a notificação “Please unblock challenges.cloudflare.com to proceed”.

Não há evidências de que a instabilidade da Cloudflare em 18 de novembro de 2025 tenha sido causada por um ataque cibernético. Com base nas declarações oficiais da empresa e nas análises de especialistas, o incidente parece estar relacionado a problemas internos de infraestrutura.

A falha, que começou por volta das 8h da manhã no horário de Brasília, foi atribuída pela Cloudflare a um “pico de tráfego incomum” em sua rede [1].

Se você receber a mensagem “Please unblock challenges.cloudflare.com to proceed“, não é necessário fazer nada. Esta é uma mensagem de erro relacionada à instabilidade interna da Cloudflare, e não um problema de bloqueio no seu dispositivo ou rede.

Veja no final dessa postagem, há um timeline a respeito dessa instabilidade.

Entretanto, este cenário evidencia a profunda dependência da internet global em um número restrito de provedores de infraestrutura. A Cloudflare, que gerencia aproximadamente 20% de todo o tráfego da web, atua como uma camada essencial de segurança e desempenho para milhões de sites [2]. Uma falha em seus sistemas, mesmo que temporária, tem um efeito cascata imediato e visível para usuários em todo o mundo.

O Ataque Recorde à Azure e a Ameaça Crescente das Botnets

Coincidentemente, a instabilidade da Cloudflare ocorreu no dia seguinte à divulgação, pela Microsoft, de detalhes sobre um ataque de negação de serviço (DDoS) de escala recorde que sua plataforma Azure sofreu. Em 24 de outubro de 2025, a infraestrutura da Azure mitigou com sucesso um ataque que atingiu um pico de 15.72 Tbps, originado pela botnet Aisuru [3].

Ainda que alguns veículos estejam especulando que esses eventos estão relacionados, ainda não, até o momento da escrita desse post, nenhuma evidência ou confirmação disso.

Este ataque massivo envolveu mais de 500.000 dispositivos IoT comprometidos, como roteadores e câmeras, e destaca o poder destrutivo que as botnets modernas podem alcançar. Embora a Microsoft tenha conseguido neutralizar a ameaça sem impacto para seus clientes, o episódio serve como um forte indicativo da crescente sofisticação e escala dos ataques cibernéticos contra a infraestrutura de nuvem 3.

Confusão com o Ataque à Azure

Uma fonte significativa de confusão é que duas grandes notícias de cibersegurança foram divulgadas quase simultaneamente:

Notícia 1: Instabilidade da Cloudflare (18 de novembro de 2025)

• Evento atual, em andamento.

• Causa: Pico de tráfego incomum, origem desconhecida.

• Impacto: Interrupção de serviços globais.

Notícia 2: Ataque DDoS à Azure (divulgado em 17-18 de novembro de 2025)

• Evento ocorrido em 24 de outubro de 2025.

• Causa: Ataque DDoS da botnet Aisuru.

• Resultado: Microsoft mitigou com sucesso, sem impacto aos clientes

Importante: O ataque à Azure ocorreu há quase um mês e foi mitigado com sucesso. A Microsoft apenas divulgou os detalhes técnicos do ataque nesta semana. Não há conexão entre o ataque à Azure e a instabilidade da Cloudflare.

Um Alerta para a Infraestrutura Crítica da Internet

Como dito, embora não haja, até o momento, nenhuma evidência que conecte a instabilidade da Cloudflare ao ataque contra a Azure, a ocorrência de dois eventos de tão grande magnitude em um curto espaço de tempo é um alerta contundente. Ambos os incidentes, cada um à sua maneira, expõem as vulnerabilidades inerentes à arquitetura centralizada da internet moderna.

A dependência de poucos grandes players, como Cloudflare, AWS e Azure, significa que uma falha técnica ou um ataque bem-sucedido pode ter consequências globais. A resiliência da internet depende da capacidade dessas empresas de não apenas inovar em segurança e desempenho, mas também de responder rapidamente a incidentes inevitáveis.

Para empresas e desenvolvedores, a lição é clara: a resiliência digital não pode ser terceirizada por completo. É fundamental adotar práticas de contingência, como arquiteturas multi-cloud, monitoramento proativo e planos de resposta a incidentes, para garantir a continuidade dos negócios diante de um cenário de ameaças e falhas cada vez mais complexo.

Referências:

[1] The Guardian. (2025, 18 de novembro). Cloudflare outage causes error messages across the internet.

[2] Reuters. (2025, 18 de novembro). Cloudflare outage easing after impacting thousands of internet users.

[3] Microsoft Azure Infrastructure Blog. (2025, 17 de novembro). Defending the cloud: Azure neutralized a record-breaking 15 Tbps DDoS attack.

Linha do tempo | Instabilidade da Cloudflare

A Cloudflare publicou as seguintes atualizações em sua página de status (referência: Página oficial de status da Cloudflare):

13:35 UTC (10:35 AM horário de Brasília): A empresa continua trabalhando na restauração dos serviços para clientes de serviços de aplicação. Alguns serviços já foram restaurados, mas o trabalho de recuperação ainda está em andamento.

13:13 UTC (10:13 AM horário de Brasília): A Cloudflare implementou mudanças que permitiram a recuperação do Cloudflare Access e do WARP. Os níveis de erro para usuários desses serviços retornaram às taxas anteriores ao incidente. O acesso WARP em Londres foi reabilitado.

13:09 UTC (10:09 AM horário de Brasília): O problema foi identificado e uma correção está sendo implementada.

12:21 UTC (9:21 AM horário de Brasília): A empresa reportou que os serviços estavam se recuperando, mas os clientes ainda poderiam observar taxas de erro acima do normal durante os esforços de remediação.

11:48 UTC (8:48 AM horário de Brasília): Início da investigação oficial do problema, confirmando degradação interna do serviço.

Vol. 1 No. 20251115-962 (2025)

Alerta: Vulnerabilidade Crítica em Equipamentos Fortinet com Exploração Ativa

Adriano Cansian | adriano.cansian@unesp.br | 15/11/2025

Alerta Técnico – Vulnerabilidade CVE-2025-64446

Data: 14/11/2025
Severidade: Crítica – CVSS 9.8
Status: Explorada ativamente desde outubro/2025
Produtos afetados: FortiWeb 7.0 a 8.0 (múltiplas versões)

Resumo Executivo

Em 14 de novembro de 2025, a Fortinet e a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) divulgaram um alerta sobre uma vulnerabilidade crítica de Path Traversal (CWE-23) que afeta os produtos FortiWeb, o Web Application Firewall (WAF) da Fortinet. A falha, identificada como CVE-2025-64446, possui uma pontuação CVSSv3 de 9.8 (Crítica) e está sendo ativamente explorada por atacantes desde o início de outubro de 2025 1.

A vulnerabilidade permite que um atacante não autenticado execute comandos administrativos remotos em sistemas vulneráveis, levando a um comprometimento total do dispositivo. A CISA já adicionou esta falha ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com um prazo de remediação obrigatório até 21 de novembro de 2025

1. Visão Geral da Vulnerabilidade

A CVE-2025-64446 é uma vulnerabilidade crítica de Path Traversal (CWE-23) combinada com bypass de autenticação, permitindo que um atacante não autenticado execute operações administrativas via CGI (fwbcgi).

Esta é a terceira vulnerabilidade crítica da linha FortiWeb nos últimos 18 meses, reforçando o padrão preocupante de falhas severas na superfície de ataque de dispositivos de borda da Fortinet.

A falha ocorre em dois estágios principais:

  1. Path Traversal no endpoint /api/v2.0/…
  2. Impersonação via header CGIINFO (base64) aceito pela função cgi_auth() sem validação real

O resultado é o comprometimento total do dispositivo FortiWeb, com capacidade de persistência, desvio de políticas de segurança e movimentação lateral na rede.

A falha foi adicionada em 14/11/2025 ao catálogo CISA KEV (Known Exploited Vulnerabilities Catalog) com prazo de mitigação obrigatório até 21/11/2025.

2. Detalhes de Exploração

2.1 Estágio 1 – Path Traversal

No primeiro estágio, o atacante utiliza um endpoint de API válido para escapar do diretório esperado e alcançar o executável administrativo fwbcgi:

POST /api/v2.0/cmd/system/admin%3F/../../../../../cgi-bin/fwbcgi HTTP/1.1

O Path Traversal permite que requisições atinjam o binário fwbcgi, responsável por operações administrativas no dispositivo.

2.2 Estágio 2 – Impersonação via CGIINFO

O binário fwbcgi utiliza a função cgi_auth(), que:

  • não valida corretamente credenciais de autenticação;
  • aceita um header HTTP chamado CGIINFO;
  • confia em informações de identidade fornecidas em JSON, codificadas em Base64.

Exemplo de payload JSON, antes de ser codificado em Base64:

{
  "username": "admin",
  "profname": "super_admin",
  "vdom": "root",
  "loginname": "admin"
}

Quando esse payload é aceito, o sistema concede privilégios administrativos completos, permitindo ao atacante criar novas contas, alterar configurações e manter persistência no dispositivo.

3. Impacto Operacional

Um atacante que explore com sucesso a CVE-2025-64446 pode:

  • Criar usuários administradores persistentes e ocultos;
  • Modificar políticas, regras e perfis de proteção do WAF;
  • Desabilitar ou contornar mecanismos de segurança;
  • Exfiltrar dados inspecionados e registrados pelo WAF;
  • Realizar movimentação lateral a partir do dispositivo comprometido.

Por se tratar de um WAF de borda, a vulnerabilidade abre um vetor crítico para ataques internos a partir de um equipamento que, normalmente, é considerado parte da camada de proteção.

4. Versões Afetadas (Confirmadas)

ProdutoVersões Vulneráveis
FortiWeb 8.08.0.0 – 8.0.1
FortiWeb 7.67.6.0 – 7.6.4
FortiWeb 7.47.4.0 – 7.4.9
FortiWeb 7.27.2.0 – 7.2.11
FortiWeb 7.07.0.0 – 7.0.11

5. Ação Recomendada (Imediata)

5.1 Atualizar Firmware – Única Remediação Definitiva

A Fortinet disponibilizou versões corrigidas. (Fortinet PSIRT FG-IR-25-910). A atualização é a única forma de remediação completa:

Versão AtualAtualizar para
8.0.x8.0.2
7.6.x7.6.5
7.4.x7.4.10
7.2.x7.2.12
7.0.x7.0.12

5.2 Mitigação Temporária (Workaround)

Se a atualização não puder ser aplicada imediatamente, recomenda-se:

  • Bloquear o acesso HTTP/HTTPS externo às interfaces administrativas do FortiWeb;
  • Permitir acesso de administração apenas por redes internas ou via VPN segura;
  • Monitorar tráfego para /cgi-bin/fwbcgi e padrões anômalos envolvendo /api/v2.0/... com Path Traversal.

Atenção: a mitigação reduz a superfície de ataque, mas não elimina a vulnerabilidade. A atualização de firmware continua obrigatória.

6. Indicadores de Comprometimento (IoCs)

6.1 Rede / Proxy / WAF Logs

Procurar por requisições com padrão de Path Traversal direcionadas ao binário CGI:

/api/v2.0/cmd/system/admin%3F/../../../../../cgi-bin/fwbcgi

Além disso, monitorar requisições contendo o header CGIINFO com conteúdo Base64, principalmente oriundas de IPs externos ou não autorizados.

CGIINFO: <string_base64_suspeita>

IPs com múltiplas tentativas de POST para esses caminhos devem ser tratados como suspeitos, com correlação adicional em outros logs.

6.2 Sistema / Configurações

Nos próprios dispositivos FortiWeb, verificar:

  • Criação de novas contas de administrador, principalmente a partir de outubro de 2025;
  • Contas com perfil de acesso prof_admin ou super_admin não reconhecidas pela equipe de segurança;
  • Configurações de trust host definidas como 0.0.0.0/0 ou ::/0 em contas administrativas;
  • Alterações não autorizadas em políticas, perfis, certificados e regras de inspeção.

7. Procedimentos de Resposta a Incidente

Em caso de suspeita de exploração da CVE-2025-64446, recomenda-se o seguinte fluxo para equipes de Blue Team / CERT / CSIRT:

  1. Isolar o dispositivo: restringir acesso administrativo externo, mantendo apenas o mínimo necessário para análise e operação.
  2. Coletar logs: exportar logs de sistema, eventos, auditoria e administração para um servidor seguro de análise.
  3. Revisar contas de usuário: identificar contas administrativas novas ou modificadas, sobretudo com perfis elevados.
  4. Analisar headers CGIINFO: quando possível, decodificar strings Base64 para determinar tentativas de impersonação de administradores.
  5. Aplicar atualização de firmware para as versões corrigidas recomendadas pela Fortinet.
  6. Revalidar configuração: revisar políticas, objetos, perfis e parâmetros de segurança para identificar alterações maliciosas.
  7. Verificar persistência: buscar scripts, agendamentos, acessos remotos ou configurações suspeitas que indiquem backdoors.
  8. Monitorar pós-correção: manter monitoramento reforçado por pelo menos 72 horas após a atualização e a revisão de segurança.

8. Conclusão

A CVE-2025-64446 representa uma vulnerabilidade de alta criticidade em dispositivos FortiWeb, com exploração ativa e baixo nível de complexidade técnica para o atacante. Dispositivos expostos à Internet, principalmente em ambientes de alta criticidade, estão sob risco significativo.

A atualização para versões corrigidas deve ser tratada como prioridade máxima em planos de resposta a incidentes e gestão de vulnerabilidades, especialmente em:

  • Provedores de serviços de Internet (ISPs e provedores regionais);
  • Órgãos públicos e infraestruturas críticas;
  • Instituições financeiras e meios de pagamento;
  • Ambientes acadêmicos com grande exposição de aplicações web;
  • Empresas que utilizam o FortiWeb para proteger aplicações sensíveis.

Equipes de segurança devem tratar essa vulnerabilidade como um incidente de severidade máxima, combinando correção, caça a ameaças (threat hunting) e monitoramento contínuo.

Referências

Vol. 1 No. 20251113-1013 (2025)

Cadeia de suprimentos monitorada?

João Fuzinelli | joao@cylo.com.br | 13/11/2025

Peguei um caso em que duas pessoas da equipe financeira receberam um e-mail que se passava pelo CEO da empresa. A mensagem autorizava um pagamento de R$ 28.900,00 pelos serviços prestados. A equipe rapidamente identificou que se tratava de uma fraude e reportou o incidente para a área de cibersegurança. Ainda bem!

O atacante criou uma conta @outlook.com utilizando o nome do CEO, tentando conferir legitimidade ao envio (ex.: abc.xyz@outlook.com).

Além disso, ele alterou o campo Display Name da mensagem para o nome completo do executivo e criou uma assinatura com o logo da empresa.

No corpo do e-mail, o fraudador enviava uma chave Pix para a realização do pagamento, sendo essa chave o próprio CNPJ da empresa recebedora.

Até aí tudo comum em um ataque de phishing…

Por curiosidade, busquei informações sobre a empresa fraudadora e, por meio do CNPJ, cheguei até o proprietário. A empresa estava localizada em Arapongas – PR.

Ao analisar o histórico profissional do dono da empresa, encontrei um dado relevante: em 2023, o fraudador havia trabalhado em uma empresa prestadora de serviços para a companhia que agora estava sendo alvo.

Como o ataque foi direcionado, com conhecimento dos e-mails e dos nomes específicos envolvidos no processo de pagamentos, é bem provável que o atacante tenha se apropriado de alguma base contendo dados dos clientes do seu emprego anterior e, agora, estivesse aplicando golpes.

Infelizmente, trata-se de mais um caso típico de falhas de controle em múltiplos processos. A superfície de risco só cresce quando a cadeia de suprimentos não é monitorada de ponta a ponta.

Vol. 1 No. 20251110-1004 (2025)

Novo Malware Bancário – “Herodotus”

João Paulo Gonsales | jgonsales@cylo.com.br | 10/11/2025

Recentemente tivemos uma rápida disseminação do malware “Sorvepotel”, e agora novamente, nos deparamos com a notícia que me deixou preocupado, noticia está sobre um novo malware bancário chamado “Herodotus” e que vem atacando muitos usuários Android.

O novo malware se utiliza como principal estratégica de propagação através de campanhas de phishing por SMS, onde usuários recebem links fraudulentos que levam a páginas maliciosas onde o malware é baixado e instalado no seu dispositivo mobile. Após instalado, o malware obtém permissões críticas do sistema e utilizando de táticas sofisticadas como sobreposição de tela para roubar credenciais e tornando as sessões legitimas, dificultando a ação dos antivírus tradicionais ou mesmo não detectando o comprometimento do dispositivo.

Precisamos ficar atentos e reforçar a vigilância no mundo digital e começar a nos precaver com medidas de segurança como, baixar aplicativos somente de lojas oficiais(apesar de não ser 100% a prova de falha, ainda é a opção mais segura), suspeitar de SMS com links e fontes desconhecidas, não validar informações pelo SMS, onde mensagens podem ser interceptadas e alteradas, utilizar se de aplicativos autenticadores como Google ou Microsoft Authenticator, não autorizar permissões críticas no seu dispositivos a aplicativos suspeitos .

Precisamos ficar constantemente atentos, pois a sofisticação dos atacantes está sempre um passo à frente. Segurança não é somente ferramental, mas sim um processo.

Mais informações nos links :

https://www[.]cybersecbrazil.com.br/post/novo-malware-para-android-imita-digita%C3%A7%C3%A3o-humana-para-evitar-detec%C3%A7%C3%A3o-e-roubar-dinheiro

https://www[.]cisoadvisor.com.br/novo-malware-bancario-ataca-usuarios-android/?utm_campaign=&utm_medium=email&utm_source=newsletter

Vol. 1 No. 20251021-998 (2025)

Ataque ao time service chinês. Já pensou no impacto?

João Fuzinelli | joao@cylo.com.br | 21/10/2025

Acompanhando algumas notícias recentemente a China acusou a NSA de ter realizado um ataque ao serviço de tempo (National Time Service Center) responsável por manter e transmitir o horário de Pequim

Assim como alguns problemas geopolíticos recentes do Brasil com o Estados Unidos, em que surgiu rumores da possibilidade de bloquearem o serviço de GPS, o Time Service poderia ter causado um grande caos para os chineses, parando serviços como comunicação de rede e até sistemas financeiros.

O mais interessante é que tudo começou por um ataque de triangulação de celulares e em seguida o roubo de credenciais.

E várias vezes já pegamos de problemas de autenticação relacionados ao Active Directory em que a causa raiz era os relógios dessincronizados.

Reforço a atenção para um serviço negligenciado

Link da matéria:

hxxps[://]thehackernews[.]com/2025/10/mss-claims-nsa-used-42-cyber-tools-in[.]html?m=1

Vol. 1 No. 20251014-987 (2025)

Mais uma contagem regressiva

Anísio José Moreira Neto | anisio@cylo.com.br | 14/10/2025

É… Eu sobrevivi a frenética contagem regressiva até o timestamp “00-01-01 00:00:01”, virada do ano de 1999 para 2000, onde muitos acreditavam que todos os computadores iam bugar.

Agora os preparados, preocupados ou até “pessimistas” já podem acompanhar mais uma contagem regressiva, agora para um outro timestamp “2038-01-19 03:14:08 UTC”, neste momento em questão milhares de dispositivos, principalmente os OTs terão algum comportamento muito possivelmente problemático, já que o modelo de tempo conhecido como “Unix time” não irá mais caber em um inteiro de 32 bits.

Basicamente o Unix time conta os segundos desde um “timestamp específico”, zero horas de primeiro de janeiro de 1970, 1970-01-01T00:00:00, até o momento então quando um equipamento com este modelo de hora registra um evento ele insere a quantidade de segundos desde “timestamp específico”. Veja o exemplo no print abaixo, onde o ano, mês, dia, hora, minuto e segundo atual em Unix time é representado pelo inteiro “1760410507”.

Se você lida com equipamentos médicos, industriais, automação, etc. precisa começar a contatar os fabricantes, fazer testes e/ou buscar alternativas, mas principalmente acompanhar o projeto “Epochalypse”, https://epochalypse-project.org/, projeto que fiquei conhecendo pelo pessoal do Cert.Br, https://cert.br/, e agora relembrado pelo newsletter do SANS Institute, https://www.sans.org/.

Acompanhe, prepare-se e esteja pronto. O tempo não para, você, também não pode ficar parado! Só assim nossos empregos vão sobreviver a mais esta contagem regressiva!

Leia https://epochalypse-project.org/

Vol. 1 No. 20251003-973 (2025)

Ataques destinados ao Brasil via Whatsapp

Pedro Brandt Zanqueta | pedro@cylo.com.br | 03/10/2025

Estamos lidando massivamente com a resposta a incidente que vem ocorrendo nessa semana. O ataque inicia via Whatsapp, aplicativo muito utilizado no nosso país.

O objetivo é notificar a todos desse ataque, onde se inicia a partir de arquivo ZIP compartilhado pelo mensageiro, sugerindo o usuário baixar em sua estação e descompactar para execução dos arquivos relacionados e posteriormente iniciar sua exploração.

Sempre desconfie e análise com cautela das informações ao qual recebe e envia, duvide de arquivos, mensagens, promoções e qualquer outra categoria de mensagem.

Recomendações:

  • Controlar aplicações não corporativas no ambiente;
  • Implantar XDR no ambiente para análise comportamental;
  • Integração de feeds de inteligência;
  • Treinamentos no ambiente corporativo;
  • Divulgação de comunicados internos;

IOCs

sorvetenopote[.]com
expansiveuser[.]com
zapgrande[.]com
imobiliariaricardoparanhos[.]com
886136adfac9287ecb53f45d8b5ab42e98d2c8c058288e81795caa13dbf5faa8
94411cd5eb27b28b0b039ac07eef2ec0f4e0e0ebd83884bfcaf79665d73d0b6a
109[.]176[.]30[.]141
23[.]227[.]203[.]148

Exemplo da mensagem que o pessoal recebe:

Vol. 1 No. 20250905-919 (2025)

A Importância de Categorizar Vulnerabilidades

João Paulo Gonsales | jgonsales@cylo.com.br | 05/09/2025

Com o aumento do número de vulnerabilidades descobertas diariamente, conhecer e saber categoriza-las no ambiente que está sendo gerenciado pela equipe de segurança se torna uma medida importante para mitigar os riscos de segurança em um ambiente de T.I.   

A etapa da categorização das vulnerabilidades se torna fundamental para a equipe realizar a gestão do risco de forma eficiente e estruturar as ações de defesa do ambiente. Entendendo o que elas representam e seu potencial impacto, conseguimos elaborar um plano de ação mais eficiente e priorizar as ações de defesa. 

Para ajudar na categorização, podemos utilizar alguns indicadores padrões de mercado que vão nos ajudar a direcionar o esforço, por exemplo o CVSS e o EPSS. 

O CVSS (Common Vulnerability Scoring System), é um indicador padrão utilizado para medir a severidade de vulnerabilidades com um sistema de pontuação padronizado para avaliar e realizar a comparação da gravidade das vulnerabilidades de segurança, aplicando medidas quantitativa para medir o potencial de impacto da vulnerabilidade. 

O CVSS atribui pontuações numéricas com base em diferentes métricas, onde este cálculo ajuda a equipe de segurança a priorizar os seus esforços para a correlação de vulnerabilidades e apoiar para uma melhor tomada de decisão para correção ou mitigação das vulnerabilidades. 

Para realizar o seu cálculo, o CVSS, vamos exemplificar baseado na versão 3.X, utiliza algumas métricas como principais, como métricas de Base, Temporal e Ambiental. Cada métrica possui características diferentes e um peso no cálculo da pontuação da CVSS. 

  •  Métrica de Base são métricas onde são avaliados o potencial dano que a vulnerabilidade pode causar no ambiente, facilidade de exploração e a complexidade do atacante conseguir realizar o ataque bem sucedido. 
  • Métrica Temporal são métricas onde são avaliados a evolução da vulnerabilidade ao longo do tempo, podendo incluir algumas características que são considerados no calculo da sua pontuação, como a maturidade do exploit, facilidade da sua correção, confiabilidade da fonte da informação e a quantidade de evidencias disponíveis. 
  •  Métrica Ambiental são métricas relacionadas a importância do impacto real para a organização em particular, baseadas em controles de mitigação que podem existir no ambiente para reduzir ou aumentar o impacto da vulnerabilidade ser explorada no ambiente. 

      Fig. 1 – Exemplo – Calculadora CVSS V3.0 –   Common Vulnerability Scoring System Version 3.0 Calculator 

Diante do número elevado de CVSS dos ambientes e com as equipes de segurança enfrentando uma grande dificuldade para priorizar as correções. Um grupo de pesquisadores do FIRST (Forum of Incident Response and Security Teams – https://www.first.org/about/), pensando em resolver esse problema, desenvolveu o EPSS, um modelo para calcular informações sobre exploração das vulnerabilidades e apoiar no direcionamento melhor das ações de correção de vulnerabilidades pela equipe.

EPSS (Exploit Prediction Scoring System), fornece um “score” que é um indicador baseado em dados do CVSS para estimar a probabilidade de uma vulnerabilidade de software estar sendo explorada ativamente no ambiente, cujo seu objetivo, é auxiliar a equipe de segurança a priorizar os esforços de correção de vulnerabilidades com base no EPSS score. 

O EPSS fornece uma perspectiva mais dinâmica e contextual, permitindo que as equipes priorizem vulnerabilidades que estão ativamente sendo exploradas, mesmo que tenham um score no CVSS baixo. 

Correlacionando dados de CVSS + EPSS e aplicando inteligencia artificial, concluimos o valor do “Score EPSS”, um indicador mais robusto para a categorização de vulnerabilidades, onde podemos exemplificar conforme informações abaixo : 

  • CVSS alto + EPSS alto = prioridade máxima 
  • CVSS alto + EPSS baixo = monitoramento e mitigação planejada 
  • CVSS baixo + EPSS alto = atenção especial, pois pode indicar ataques em andamento 
  • CVSS baixo + EPSS baixo = menor prioridade

EPSS Score – https://www.first.org/epss/data_stats

Com essa informação, conseguimos que as equipe realizem uma gestão de risco mais inteligente, baseada não apenas em um unico indicador, mas também relacionando com a probabilidade real de ataque. 

Categorizar as vulnerabilidades com base em métricas como CVSS e EPSS é essencial para uma resposta proativa e eficiente às ameaças cibernéticas. Em vez de reagir a cada alerta, as organizações podem tomar decisões assertivas, proteger seus ativos mais críticos e manter a confiança de seus clientes e parceiros. 

Vol. 1 No. 20250822-852 (2025)

Dever de casa. TOP!

Anísio José Moreira Neto | anisio@cylo.com.br | 22/08/2025

Você já testou se sua empresa está realmente preparada para os desafios da Internet moderna?

O site TOP – Teste os Padrões é uma iniciativa do NIC.br que avalia se os serviços digitais — como sites, e-mails e conexões — estão em conformidade com os padrões técnicos mais modernos e seguros da Internet. Esses padrões incluem tecnologias como IPv6, DNSSEC, HTTPS, TLS, HSTS, DMARC, DKIM, SPF, STARTTLS, DANE, entre outros.

Por que isso importa para sua empresa?

  • Segurança: Adotar esses padrões reduz vulnerabilidades e protege contra ataques como phishing, spoofing e interceptação de dados.
  • Confiabilidade: Serviços que seguem os padrões modernos são mais estáveis e confiáveis, transmitindo mais confiança aos clientes e parceiros.
  • Reputação digital: Estar em conformidade com os testes do TOP é um sinal claro de compromisso com boas práticas de TI e segurança da informação.
  • Competitividade: Empresas que investem em infraestrutura moderna se destacam no mercado e estão mais preparadas para escalar seus serviços.

Hora de fazer o dever de casa

A ferramenta é gratuita e fácil de usar. Basta inserir o domínio do seu site ou serviço de e-mail e verificar os resultados. Se algo estiver fora do padrão, o TOP ainda indica o que pode ser feito para corrigir.

Aqui na CYLO, fizemos o dever de casa, somos TOP! Isso reforça nosso compromisso com a excelência e com a Cybersegurança.

Vol. 1 No. 20250815-763 (2025)

Chave privada em repositório Git

Matheus Augusto da Silva Santos | matheus@cylo.com.br | 15/08/2025

Recentemente, estava explorando o repositório GitHub de um framework que utilizo para desenvolvimento. Observando modificações recentes, me deparei com um commit que me deixou inicialmente muito confuso: uma chave privada, aparentemente utilizada para assinar o pacote de instalação do framework, havia sido adicionada aos arquivos do repositório.

Felizmente, após inspecionar a chave pública acompanhante, revelou-se que a chave foi credenciada para o domínio yourdomain.com. Comentando isso com um colega de trabalho, ele me instruiu que isso é, na verdade, algo relativamente comum: adicionar arquivos com uma chave de exemplo ao repositório para que a estrutura de arquivos fique completa. Adicionalmente, em alguns casos (como desenvolvimento de aplicações web), é possível utilizar esse certificado no ambiente de desenvolvimento local redirecionando o domínio de exemplo para o local host via alteração do arquivo hosts.

Digo que fiquei aliviado descobrindo que a adição da chave ao repositório foi, muito provavelmente, intencional e não impõe um risco de segurança ao projeto (é um dos meus frameworks favoritos). Reconheço que acidentes, especialmente quanto a adição de arquivos no Git que não deveriam ser adicionados, acontecem. Inúmeras vezes já ansiosamente executei git add .; git commit -m "..." no terminal, descobrindo somente depois que havia algum artefato de compilação, ou arquivo de cache (estou olhando para você, mypy), esquecido no diretório do projeto que agora havia sido imortalizado no repositório pela execução precoce do comando. Como diz o ditado, “once in git, always in git”.

Hoje em dia sou moderadamente mais cauteloso e ademais, grato pelas abençoadas almas que dispõem modelos de .gitignore na web. Porém, pessoalmente não julgo cautela como suficiente! Utilizo no meu desenvolvimento o pre-commit, uma ferramenta que realiza verificações automáticas antes de toda modificação de arquivos em um repositório Git. Incidentalmente, um dos plugins disponibilizados por padrão pela ferramenta possui um teste que previne o commit acidental de uma chave privada.

Referências

  • pre-commit. Disponível em: <https://pre-commit.com/>.
  • pre-commit/pre-commit-hooks. Disponível em: <https://github.com/pre-commit/pre-commit-hooks>.