Esta publicação tem como objetivo divulgar o documento desenvolvido pela equipe de Threat Intelligence da Service IT Security que foi desenvolvido e fundamentado utilizando as documentações oficiais do NIST (National Institute Of Standards and Technology), MITRE e CVE.org, que são conhecidas mundialmente na área de cibersegurança, como modelo e padronização de melhores práticas de segurança, pesquisa de metodologias de ataques e defesa cibernética, e pesquisa e catalogação de novas vulnerabilidades em sistemas operacionais e aplicações.
Vulnerabilidades e Ameaças Descobertas:
1. CVE-2025-61757 – Execução Remota de Código no Oracle Identity Manager
Descrição: Zero-day crítico no Oracle Identity Manager (CVSS 9.8) permite execução remota sem autenticação.
Exploração: Requisições POST ao endpoint /groovyscriptstatus permitem bypass de filtros, manipulação de APIs e movimento lateral.
Impacto: Controle total do Identity Manager e possível comprometimento de toda a infraestrutura IAM.
Mitigação: Aplicar patches da Oracle, monitorar logs e bloquear IOCs associados.
2. Matrix Push C2 – Phishing via notificações de navegador
Descrição: Nova plataforma MaaS usa notificações push do navegador para enviar alertas falsos e conduzir vítimas ao phishing.
Exploração: Notificações disfarçadas levam a páginas de phishing com templates e redirecionamentos maliciosos.
Impacto: Roubo de credenciais e ampliação de campanhas de phishing altamente automatizadas.
Mitigação: Bloquear sites maliciosos, treinar usuários e monitorar tráfego para URLs suspeitas.
3. WSUS – Hackers chineses instalam ShadowPad via RCE (CVE-2025-59287)
Descrição: Vulnerabilidade crítica no WSUS é explorada para distribuir o backdoor ShadowPad.
Exploração: Ataque usa PowerCat + sideloading de DLL para persistência e comunicação C2 via HTTP/HTTPS.
Impacto: Comprometimento de sistemas Windows com controle total por backdoor avançado.
Mitigação: Aplicar patch imediato, monitorar PowerShell/certutil, SIEM e restringir acesso ao WSUS.
4. Grafana Enterprise – Impersonificação via SCIM (CVE-2025-41115)
Descrição: Falha crítica (CVSS 10) permite criação de usuários que substituem IDs internos, levando à impersonificação.
Exploração: SCIM mal configurado permite provisionamento de usuários com externalId numérico que sobrescreve contas reais.
Impacto: Acesso administrativo e comprometimento completo do ambiente Grafana.
Mitigação: Atualizar para versões corrigidas e revisar flags enableSCIM/user_sync_enabled.
Descrição: Varreduras massivas ao endpoint /global-protect/login.esp sugerem preparação para exploração de vulnerabilidades.
Exploração: IPs maliciosos realizam tentativas de login e escaneamento em larga escala em múltiplos países.
Impacto: Possível comprometimento de acesso VPN corporativo e futura exploração de 0-days.
Mitigação: Bloquear IPs suspeitos, aplicar patches e monitorar logs de autenticação.
6. CVE-2025-61882 – Ataque massivo ao Oracle E-Business Suite (0-day)
Descrição: A 0-day no Oracle EBS permitiu ataques do grupo Clop, afetando cerca de 100 organizações.
Exploração: Cadeia de 5 estágios envolve SSRF + XSLT RCE + execução fileless e payloads multi-estágio.
Impacto: Roubo massivo de dados de empresas e instituições acadêmicas e jornalísticas.
Mitigação: Aplicar patch emergencial, monitorar IOCs e reforçar zero trust e testes de intrusão.
7. CVE-2025-13223 – Zero-Day no Google Chrome (V8)
Descrição: Erro de confusão de tipo no V8 permite execução remota via sites maliciosos.
Exploração: Corrupção de heap em versões < 131.0.6778.72 permite RCE ao acessar páginas específicas.
Impacto: Comprometimento de dispositivos e risco ampliado para phishing e ataques supply chain.
Mitigação: Atualizar Chrome, rastrear IoCs, reiniciar ambientes e instruir usuários.
8. Azure Bastion – Escalada de privilégios (CVE-2025-49752)
Descrição: Falha crítica permite bypass de autenticação e acesso administrativo remoto.
Exploração: Tratamento errado de tokens permite replicação de credenciais e obtenção de privilégios administrativos.
Impacto: Comprometimento total de máquinas virtuais através do Bastion.
Mitigação: Aplicar patch, auditar logs e reforçar segmentação de rede e monitoramento contínuo.
9. HackOnChat – Phishing global no WhatsApp
Descrição: Campanha global usa portais falsos do WhatsApp Web para roubar contas e dados.
Exploração: Links falsos sequestram sessões via WhatsApp Web, permitindo que atacantes se passem pela vítima.
Impacto: Fraudes financeiras, roubo de dados, propagação automática para contatos e expansão regional.
Mitigação: Educar usuários, ativar 2FA, filtrar links suspeitos e monitorar acessos.
Para obter mais detalhes e verificar a versão completa do documento desta publicação, acesse-o clicando aqui.
