Redação YTI&W-News
Este é o Boletim de Inteligência do Yassutaro Security. Uma curadoria executiva das ameaças e incidentes mais críticos registrados nas últimas horas.
🌐 Vulnerabilidades de Rede: O Problema Crescente
Resumo da Ameaça
A reportagem da VulnCheck revela que, em 2025, mais de 40.000 vulnerabilidades foram publicadas, mas apenas 1% delas, cerca de 422, foram exploradas em ataques. Isso sugere que os atacantes estão se concentrando em um pequeno conjunto de vulnerabilidades, o que é um problema para os defensores que precisam priorizar suas ações.
Impacto e Mitigação
A crescente quantidade de vulnerabilidades é um desafio para os defensores, que precisam encontrar uma forma de priorizar suas ações e se concentrar em riscos verificados. A VulnCheck sugere que os defensores devem se concentrar em vulnerabilidades que já foram exploradas e que têm um grande impacto. Além disso, é fundamental que os fabricantes de tecnologia sejam mais transparentes sobre as vulnerabilidades em suas produtos e forneçam atualizações de segurança mais rápidas.
A reportagem também destaca que as tecnologias de rede são um alvo preferencial para os atacantes, especialmente as dispositivos de rede de bordo. Isso é devido ao fato de que esses dispositivos são frequentemente utilizados em posições privilegiadas e têm acesso a redes corporativas.
Para mitigar esse problema, os defensores precisam assumir que há um novo zero-day em qualquer dispositivo de rede de bordo a qualquer momento e que as atualizações de segurança serão revertidas para o desenvolvimento de exploits em curto prazo. Além disso, é fundamental que os fabricantes de tecnologia sejam mais transparentes sobre as vulnerabilidades em suas produtos e forneçam atualizações de segurança mais rápidas.
Fonte de Referência: cyberscoop.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🤖 CVE-2025-59536: Vulnerabilidades em Claude Code da Anthropic
Resumo da Ameaça
A Anthropic divulgou múltiplas vulnerabilidades de segurança em seu assistente de codificação Claude Code, que pode resultar em execução de código remoto e roubo de credenciais de API. As vulnerabilidades explotam diferentes mecanismos de configuração, incluindo Hooks, servidores de Protocolo de Contexto de Modelo (MCP) e variáveis de ambiente, executando comandos de shell arbitrários e exfiltrando chaves de API da Anthropic quando os usuários clonam e abrem repositórios não confiáveis.
Impacto e Mitigação
As vulnerabilidades identificadas podem ser divididas em três categorias amplas:
– CVE-2025-59536 (CVSS score: 8.7) – Uma vulnerabilidade de injeção de código que permite a execução de comandos de shell arbitrários automaticamente ao inicializar o Claude Code em um diretório não confiável.
– CVE-2026-21852 (CVSS score: 5.3) – Uma vulnerabilidade de divulgação de informações em Claude Code que permite a um repositório malicioso exfiltrar dados, incluindo chaves de API da Anthropic.
– CVE-2025-59536 (CVSS score: 8.7) – Uma vulnerabilidade de injeção de código que permite a execução de comandos de shell arbitários automaticamente ao inicializar o Claude Code em um diretório não confiável.
As vulnerabilidades foram corrigidas nas seguintes versões:
– CVE-2025-59536: Versão 1.0.111 em outubro de 2025
– CVE-2026-21852: Versão 2.0.65 em janeiro de 2026
É importante notar que as vulnerabilidades podem ser exploradas simplesmente abrindo um repositório cuidadosamente criado, o que pode resultar na exfiltração de chaves de API ativas, redirecionamento de tráfego autenticado para infraestrutura externa e captura de credenciais. Isso pode permitir que o atacante se infiltre mais profundamente na infraestrutura de IA do vítima.
Fonte de Referência: thehackernews.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🌐 Web: Vulnerabilidade GRIDTIDE da UNC2814
Resumo da Ameaça
A UNC2814, um grupo de ciberespionagem suspeitamente ligado à China, foi desmantelado após uma investigação conduzida pela Google em colaboração com parceiros da indústria. O grupo foi responsável por invadir pelo menos 53 organizações em 42 países, com suspeitas de infecções adicionais em mais de 20 outros países.
Impacto e Mitigação
O grupo utilizou uma backdoor chamada GRIDTIDE, que abusa da API do Google Sheets para disfarçar o tráfego de comando e controle (C2) e facilitar a transferência de dados brutos e comandos de shell. A vulnerabilidade foi utilizada para obter acesso inicial, que foi obtido explorando e comprometendo servidores web e sistemas de borda.
Para garantir a persistência, o grupo criou um serviço para o malware no /etc/systemd/system/xapt.service, e uma nova instância do malware foi spawnada a partir de /usr/sbin/xapt. Além disso, o grupo utilizou o SoftEther VPN Bridge para estabelecer uma conexão criptografada para um endereço IP externo.
A Google desmantelou a infraestrutura do grupo, desabilitou todos os conhecidos UNC2814 e cortou o acesso a contas e chamadas da API do Google Sheets utilizadas pelo ator para fins de comando e controle (C2).
Fonte de Referência: thehackernews.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🌐 CVE-2026-20127: Vulnerabilidade de Autenticação Bypass em Cisco Catalyst SD-WAN
Resumo da Ameaça
A Cisco anunciou uma vulnerabilidade crítica de autenticação bypass em seu produto Catalyst SD-WAN, identificada como CVE-2026-20127. Essa vulnerabilidade foi ativamente explorada em ataques zero-day, permitindo que atacantes remotos comprometessem controladores e adicionassem peers maliciosos a redes alvo. A vulnerabilidade tem uma gravidade máxima de 10.0 e afeta o Cisco Catalyst SD-WAN Controller (anteriormente vSmart) e o Cisco Catalyst SD-WAN Manager (anteriormente vManage) em instalações on-prem e SD-WAN Cloud.
Impacto e Mitigação
Um atacante pode explorar essa vulnerabilidade enviando solicitações personalizadas para um sistema afetado. Isso pode permitir que o atacante se logue em um controlador Cisco Catalyst SD-WAN como um usuário interno de alta privilégio, não raiz. Com essa conta, o atacante pode acessar NETCONF, o que permitiria manipular a configuração de rede para o SD-WAN.
A Cisco recomenda atualizar o software para resolver a vulnerabilidade e não há trabalhos-arredores que possam mitigar completamente o problema. É fundamental que as organizações revisem logs de sistemas Catalyst SD-WAN Controller expostos à internet em busca de eventos de peering não autorizados e atividade de autenticação suspeita. Além disso, é recomendável auditar logs de autenticação e compará-los com as IPs de sistema configuradas no SD-WAN Manager. Se uma IP desconhecida se autenticou com sucesso, é provável que o dispositivo esteja comprometido.
Fonte de Referência: bleepingcomputer.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🌐 Vulnerabilidade em Repositórios de Next.js
Resumo da Ameaça
Uma campanha coordenada está alvoando desenvolvedores de software com lures relacionados a empregos, utilizando repositórios maliciosos que se passam por projetos Next.js legítimos e materiais de avaliação técnica, incluindo testes de codificação. O objetivo do atacante é executar código remoto (RCE) em máquinas de desenvolvedores, exfiltrar dados sensíveis e introduzir payloads adicionais em sistemas comprometidos.
Impacto e Mitigação
A Microsoft Defender equipe informou que o atacante criou projetos de aplicativos web falsos construídos com Next.js e os disfarçou como projetos de codificação para compartilhar com desenvolvedores durante entrevistas de emprego ou avaliações técnicas. Os pesquisadores identificaram inicialmente um repositório hospedado na Bitbucket, mas descobriram múltiplos repositórios que compartilhavam estrutura de código, lógica de carregamento e padrões de nomeação.
Ao clonar o repositório e abrir localmente, o desenvolvedor desencadeia JavaScript malicioso que executa automaticamente ao iniciar o aplicativo. O script baixa código malicioso adicional (uma backdoor JavaScript) do servidor do atacante e o executa diretamente na memória com o processo Node.js em execução, permitindo a execução de código remoto na máquina.
Para aumentar a taxa de infecção, os atacantes embutiram múltiplos desencadeadores de execução nos repositórios maliciosos. Esses desencadeadores incluem:
– VS Code trigger – Um arquivo .vscode/tasks.json configurado com runOn: “folderOpen” executa um script Node como logo que o projeto de pasta é aberto (e confiável).
– Dev server trigger – Ao desenvolvedor executar npm run dev, um ativo traidor (por exemplo, uma biblioteca JS modificada) decodifica uma URL escondida, baixa um carregador de um servidor remoto e o executa na memória.
– Backend startup trigger – Ao iniciar o servidor, um módulo de backend decodifica um endpoint base64 de .env, envia process.env para o atacante, recebe JavaScript em resposta e o executa usando new Function().
A infecção gera um payload JavaScript (Fase 1) que profila o host e se registra em um endpoint de comando e controle (C2), pollando o servidor em intervalos fixos.
A infecção então atualiza para um controlador de tarefa (Fase 2) que se conecta a um servidor C2 separado, verifica tarefas, executa JavaScript fornecido na memória e rastreia processos gerados. O payload também suporta enumeração de arquivos, navegação de diretórios e exfiltração de arquivos em estágios.
A Microsoft encontrou que a campanha envolveu múltiplos repositórios que compartilhavam convenções de nomeação, estrutura de carregamento e infraestrutura de estágio, indicando um esforço coordenado em vez de um ataque isolado.
Além da análise técnica, os pesquisadores não forneceram detalhes sobre o atacante ou o alcance da operação.
A gigante da tecnologia aconselha que os desenvolvedores devem tratar fluxos de trabalho padrão como superfícies de ataque de alto risco que realmente são e tomar medidas de precaução apropriadas.
As recomendações de mitigação incluem impor a confiança do espaço de trabalho VS Code/Modo Restrito, usar regras de redução de superfície de ataque (ASR) e monitorar inscrições de risco com a proteção Entra ID.
Fonte de Referência: bleepingcomputer.com.
Curadoria e Adaptação: Redação Yassutaro Security.
Redação YTI&W-News
Cobertura das últimas notícias do universo da Segurança da Informação e lançamentos de soluções em TI.
- SolarWinds e L3Harris Exécutas Zero-Days para Rússia 25 de Fevereiro, 2026
- Copilot e UAC-0050: Ameaças Cibernéticas Avançam 24 de Fevereiro, 2026
- LuciDoor e Claude Queries: Ameaças Cibernéticas Globais 24 de Fevereiro, 2026
- APT28 e Wormable XMRig: Ameaças Cibernéticas Globais 23 de Fevereiro, 2026
- AI-Powered Malware Threatens Global Security 23 de Fevereiro, 2026
