A agência americana CISA Incluiu quatro falhas de segurança no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), o que equivale a um aviso urgente: existem provas de que atacantes já os estão aproveitando em ambientes reais. Estas vulnerabilidades afetam peças muito diferentes do ecossistema de software: desde ferramentas de desenvolvimento web até plataformas empresariais e pacotes da cadeia de fornecimento de JavaScript.
Quando CISA adiciona um erro ao KEV, recomenda que as organizações actuem imediatamente. Para as agências federais dos EUA. Os Estados Unidos sujeitos à Directiva BOD 22-01 a agência exige a aplicação de adesivos ou atenuações, ou a cessação de utilização dos produtos em causa, antes de 12 de Fevereiro de 2026; os restantes organismos devem tomar o mesmo limiar de urgência por precaução. Mais informações sobre a directiva estão disponíveis no site da CISA na sua secção sobre BOD 22-01: https://www.cisa.gov/binding-operational-directive-2201.
O primeiro caso relevante é uma falha de controle de acesso na ferramenta frontend Vite, registrada como CVE-2025-31125. Essa vulnerabilidade, divulgada inicialmente em março do ano passado, permite a um atacante acessar arquivos que deveriam ser proibidos quando uma instância de desenvolvimento fica exposta à rede pública. Na prática, o risco mais habitual ocorre quando servidores de desenvolvimento são publicados sem restrições adequadas; os adesivos estão disponíveis em versões concretas (por exemplo, 6.2.4, 6.1.3, 6.0.13, 5.4.16 e 4.5.11), pelo que é importante atualizar as instâncias afetadas ou assegurar-as para que não sejam acessíveis a partir da Internet.
O segundo caso chama a atenção pelo tipo de impacto: CVE-2025-34026 É uma vulnerabilidade crítica de omissão de autenticação na plataforma de orquestração SD-WAN de Versa Concerto. O problema deriva de uma configuração errada do 'proxy inverso' (Traefik) que deixa acessíveis endpoints administrativos internos - incluindo a interface Actuator - e com isso expõe os vestígios de memória (heap dumps) e registos de traços. Embora CISA identificou como afetadas as versões Concerto 12.1.2 a 12.2.0, é prudente rever outros ramos do produto. Pesquisadores externos (incluindo ProjectDiscovery) comunicaram as falhas ao fabricante e Versa publicou correcções; informações adicionais sobre os pesquisadores podem ser consultadas. ProjectDiscovery e em meios especializados como BleepingComputer, que cobriram o processo de relatório e a resposta do fornecedor.
O terceiro problema é parte de um padrão que repete um velho temor das organizações modernas: a compromissão da cadeia de abastecimento. A entrada CVE-2025-54313 está relacionada com o pacote eslint- config- prettier, utilizado para resolver conflitos entre ESLint e Prettier. Em julho do ano anterior, alguns pacotes populares da comunidade JavaScript foram sequestrados em npm e foram publicados versões maliciosas que incluíam um programa de instalação (install.js) capaz de executar um binário no Windows (node-gyp.dll) projetado para roubar tokens de autenticação de npm. As versões comprometidas identificadas incluem 8.10.1, 9.1.1, 10.1.6 e 10.1.7. A mensagem aqui é clara: qualquer dependência de terceiros que se instala automaticamente pode se tornar um vetor de roubo de credenciais ou execução de código.
Finalmente, CISA aponta a exploração de uma vulnerabilidade de inclusão local de arquivos na interface Webmail Classic de Zimbra Collaboration Suite, referenciada como CVE-2025-68645. A falha decorre de um manejo incorreto de parâmetros no servlet RestFilter; um atacante não autenticado pode invocar o endpoint /h/rest para carregar arquivos arbitrários a partir da pasta WebRoot, o que pode revelar dados sensíveis ou permitir outros passos de exploração. Afecta Zimbra 10.0 e 10.1, e como nos outros casos a recomendação imediata é aplicar as actualizações fornecidas pelo fabricante ou colocar mitigações até que o adesivo seja instalado.
Em todos os casos, a nota de CISA não fornece detalhes técnicos sobre o modo exato em que os atacantes estão explodindo as falhas nem indica se foram usados em campanhas de ransomware; esse status foi marcado como “desconhecido”. Isso não significa que o perigo seja remoto, mas a agência prefere não publicar informações operacionais que possam facilitar um abuso maior. Para as equipes de segurança, a prudência manda: assumir que existe risco real e agir rapidamente.
O que podem e devem fazer os responsáveis técnicos agora? O primeiro é aplicar as correcções oficiais ou mitigações recomendadas pelos fabricantes quanto possível. Em ambientes de desenvolvimento, convém verificar que servidores Vite não estão expostos ao público; as instâncias de desenvolvimento devem ser executadas em redes internas ou por trás de túneis seguros. No caso de plataformas orquestradoras e serviços expostos por proxies inversos, rever as regras de roteamento e assegurar que as rotas administrativas e endpoints internos (como Actuator) sejam inacessíveis a partir de redes não confiáveis; Traefik e outros proxies permitem definir regras de acesso e cabeçalhos que restringem tráfego não autorizado. Ante uma possível compromissão derivada de pacotes maliciosos de npm, é imprescindível rotar tokens de autenticação, limpar credenciais armazenadas em ambientes de build e CI/CD, reinstalar dependências de fontes confiáveis e considerar o uso de registries privados ou assinaturas de pacotes.
É igualmente conveniente incorporar medidas de prevenção a médio prazo: gerar e manter um SBOM (inventario de software), usar ferramentas de digitalização de composição de software que detectem versões comprometidas, empregar lockfiles e políticas que impeçam a elevação automática de dependências sem revisão, auditar configurações de proxies e firewalls, e limitar o acesso a interfaces administrativas a redes de gestão. A monitorização é fundamental: procurar indicadores como execuções inesperadas de node.exe, criação de horários incomuns de memória, solicitações para endpoints administrativos a partir de IPs externos ou tentativas de acesso a arquivos do WebRoot.
Para as organizações regidas pela Directiva BOD 22-01, o calendário é nulo: as correcções ou atenuações devem ser aplicadas antes da data-limite fixada pela CISA. Para o resto, a recomendação prática é não demorar: atualizar, revisar configurações e auditar tokens e segredos. Se houver dúvidas sobre a exposição real, desativar temporariamente serviços expostos enquanto a amplitude do risco pode evitar incidentes maiores.
Em suma, estas quatro entradas no KEV são um lembrete de que a segurança moderna é um trabalho multidimensional: um mesmo ecossistema reúne riscos no software de desenvolvimento, na infraestrutura de rede e na cadeia de abastecimento. Atuar rapidamente e com procedimentos claros reduz a janela de oportunidade dos atacantes e limita o dano potencial.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...