A Agência de Cibersegurança e Infra-estruturas dos EUA. EUA. ( CISA) adicionou recentemente quatro vulnerabilidades críticas ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (Known Exploited Vulnerabilities, KEV), o que confirma evidências de exploração ativa e obriga organizações públicas e privadas a priorizar sua correção. Entre as falhas há duas na plataforma de suporte remoto SimpleHelp (uma falta de autorização que permite criar chaves API com privilégios excessivos e uma vulnerabilidade de tipo "zip slip" que permite escrever arquivos arbitrários), uma no servidor Samsung MagicINFO 9 que facilita a escrita de arquivos com privilégios de sistema, e uma injeção de comandos em roteadors D-Link DIR-823X que, além disso, afeta dispositivos em fim de vida. Estes erros não são teóricos: foram documentados usos reais em cadeias de ataque que conduzem tanto a implantaçãos de ransomware quanto à incorporação de equipamentos a botnets como Mirai, cenários que aumentam a urgência da resposta.
A gravidade técnica e operacional dessas vulnerabilidades merece ênfase. O software de suporte remoto como o SimpleHelp é especialmente atrativo para atacantes porque, ao comprometer contas de técnicos ou API internas, pode-se atingir um efeito lateral rápido e escalar privilégios até controlar servidores e estações de trabalho. No caso da Samsung MagicINFO, a possibilidade de escrever arquivos como autoridade do sistema abre a porta tanto a execução remota como a persistência difícil de detectar em ambientes de sinalização digital ou quioscos. E os roteadores D-Link afetados, embora estejam em fim de vida, continuam sendo alvo ideal para Mirai e variantes que buscam converter equipamentos em parte de uma botnet, degradando disponibilidade ou servindo como plataforma para ataques posteriores.
As implicações práticas são claras: uma exploração precoce costuma ser a primeira etapa de uma cadeia de ataque maior — primeiro acesso, depois movimento lateral e finalmente extorsão ou recrutamento de dispositivos. Relatórios da indústria vinculam a exploração de alguma dessas falhas com campanhas atribuídas a grupos como DragonForce (ransomware) e com implantaçãos de Mirai em outras invasões, o que mostra como uma única exploração pode derramar consequências em múltiplas frentes de segurança e continuidade do negócio.
Para reduzir o risco imediato, a primeira ação é inventariar e priorizar. Identifique instâncias do SimpleHelp, MagicINFO e modelos DIR‐823X em sua rede, anote versões e datas de adesivo, e trate a falha com escore CVSS 9.9 como a prioridade máxima. A CISA exige que as agências federais apliquem atenuações ou descontinuam equipamentos afetados em certos prazos; esse critério deve servir também organizações privadas como referência de risco. Você pode consultar a lista oficial no catálogo da CISA para confirmar detalhes e prazos: https://www.cisa.gov/known-exploited-vulnerabilities-catalog. Para informação técnica de cada CVE, os prontuários da NVD oferecem referências e métricas que ajudam na priorização: por exemplo, veja a entrada de um dos erros críticos em NVD https://nvd.nist.gov/vuln/detail/CVE-2024-57726.
As medidas específicas que devem ser aplicadas imediatamente incluem adesivos ou atualizar versões seguras fornecidas pelos fabricantes; na ausência de adesivos, retirar ou isolar os dispositivos vulneráveis da rede de produção; desativar acessos remotos públicos e gerenciar a exposição através de VPNs e listas de permitidos (allowlists); rotação e revogação de chaves e credenciais - especialmente chaves APIs criadas por técnicos -; e segmentação de rede para limitar o alcance de um possível compromisso. Para dispositivos EOL como os DIR-823X, a recomendação prática e segura é Substituir por modelos suportados com firmware atualizado e políticas de segurança modernizadas.
Não é preciso subestimar o papel da detecção e da resposta. Implemente regras de monitoramento que alertem sobre a criação massiva ou inesperada de chaves APIs, cargas de arquivos ZIP subidas por administradores que não respondam a fluxos habituais e solicitações POST a rotas suspeitas como /goform/set_prohibiting em equipamentos D‐Link. Active registos detalhados, envie alertas para a sua equipe de resposta a incidentes e faça buscas de indicadores de compromisso históricos para detectar explorações anteriores. Contar com cópias de segurança fora de linha e testes de recuperação também é essencial para limitar o impacto de um eventual ransomware.
Finalmente, a gestão de terceiros e fornecedores merecem atenção: valide que os prestadores de serviços geridos e parceiros que usam ferramentas de suporte remoto estejam atualizados e que apliquem controlos rigorosos sobre contas técnicas e permissões. A segurança hoje exige não apenas adesivos, mas processos: revisões periódicas de configuração, hardening de serviços de suporte remoto, testes de intrusão focalizadas e exercícios de resposta que incluam cenários de ransomware e botnets. A janela de exploração já está aberta; a diferença entre um incidente contenível e uma crise depende do quão rápido e metodicamente actuam os equipamentos responsáveis.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...