Esta publicação tem como objetivo divulgar o documento desenvolvido pela equipe de Threat Intelligence da Service IT Security que foi desenvolvido e fundamentado utilizando as documentações oficiais do NIST (National Institute Of Standards and Technology), MITRE e CVE.org, que são conhecidas mundialmente na área de cibersegurança, como modelo e padronização de melhores práticas de segurança, pesquisa de metodologias de ataques e defesa cibernética, e pesquisa e catalogação de novas vulnerabilidades em sistemas operacionais e aplicações.
Vulnerabilidades e Ameaças Descobertas:
1. LockBit 5.0: Nova variante de ransomware aponta para ataques multiplataforma
Descrição: Nova versão do LockBit mira Windows, Linux e VMware ESXi com técnicas avançadas.
Exploração: Usa ofuscação, DLL reflection e variantes adaptadas para Linux e ESXi.
Impacto: Criptografia de sistemas corporativos e máquinas virtuais, ampliando o alcance do ataque.
Mitigação: Reforçar segurança de endpoints, atualizar sistemas e manter backups testados.
2. Nova vulnerabilidade Zero-Day em dispositivos Cisco IOS e IOS XE
Descrição: Falha crítica (CVE-2025-20352) em SNMP permite RCE e DoS.
Exploração: Estouro de buffer em SNMP explorado via pacotes maliciosos com credenciais válidas.
Impacto: Execução remota de código ou negação de serviço em dispositivos Cisco.
Mitigação: Atualizar para IOS XE 17.15.4a+, monitorar SNMP e desabilitar OIDs vulneráveis.
3. Domain Fronting: Ataques se escondem na infraestrutura do Google
Descrição: Técnica usa serviços como Google Meet/YouTube para mascarar C2.
Exploração: Manipulação de cabeçalhos SNI e Host para desviar tráfego HTTPS via Google.
Impacto: Comunicação maliciosa oculta em tráfego legítimo, dificultando detecção.
Mitigação: Validar cabeçalhos, implementar inspeção TLS e monitorar padrões de tráfego anômalo.
4. Ataques a sites WordPress: Backdoors disfarçados garantem acesso administrativo persistente
Descrição: Backdoors como plugins falsos recriam acessos administrativos ocultos.
Exploração: “DebugMaster Pro” cria admin secreto e “wp-user.php” restaura contas mesmo após exclusão.
Impacto: Controle persistente de sites, permitindo injeção de código e roubo de dados.
Mitigação: Auditar diretórios, monitorar integridade de arquivos e revisar contas administrativas.
5. Vulnerabilidade Crítica no ksmbd do Kernel Linux
Descrição: Falha (CVE-2025-38561) no ksmbd permite execução remota de código com privilégios de kernel.
Exploração: Corrupção de memória durante sessão SMB2 permite desvio de execução.
Impacto: Controle total do sistema por invasores autenticados em servidores SMB expostos.
Mitigação: Atualizar kernel, reiniciar hosts e segmentar rede para limitar acesso SMB.
Para obter mais detalhes e verificar a versão completa do documento desta publicação, acesse-o clicando aqui.
