- Julho 10, 2025
CVE-2024-4458
- Descrição: Vulnerabilidade de privilege escalation em drivers Windows Kernel (driver de terceiros muito utilizado em software de gestão de hardware).
- Impacto: Permite execução de código com privilégios SYSTEM.
- Exploração: Ativamente explorada em campanhas de ransomware (p.ex., variantes do BlackSuit 2.0).
- Vectores de exploração conhecidos:
- Drop de exploit binário em C:\Windows\Temp\.
- Execução via schtasks ou serviço malicioso.
- Mitigações sugeridas:
- Atualização imediata dos drivers vulneráveis.
- Ativar proteções Kernel Mode Code Signing.
- Monitorização de criação de tarefas agendadas suspeitas.
CVE-2025-1023
- Descrição: Execução remota de código (RCE) no Apache Struts 2 (vulnerabilidade similar à histórica Struts2 Jakarta).
- Impacto: Execução de comandos arbitrários no servidor web.
- Exploração:
- Ativamente usada por grupos APT (notavelmente APT41).
- Exploração via cabeçalhos HTTP manipulados (Content-Type malicioso).
- Exploit Público:
- Código Proof of Concept disponível em repositórios GitHub.
- Mitigações:
- Atualização imediata para Apache Struts >= 2.5.39.
- Regras WAF para bloqueio de Content-Type invulgar.
- Monitorização de execuções anómalas via logs do Tomcat.
CVE-2025-1974
- Descrição: Vulnerabilidade crítica no Cisco ASA (Adaptive Security Appliance) – bypass de autenticação.
- Impacto: Permite login administrativo sem credenciais válidas.
- Exploração:
- Observados scanners automatizados a procurar appliances vulneráveis em massa.
- Exploração associada a cibercrime financeiro.
- IoCs:
- IPs a tentar exploração:
- 185.220.101.45
- 91.214.124.77
- IPs a tentar exploração:
- Mitigações:
- Atualizar firmware Cisco ASA.
- Limitar gestão remota a IPs internos.
- Rever logs de autenticação falhada.
CVE-2024-9121
- Descrição: Zero-Day no Microsoft Exchange Server – Post-auth SSRF (Server-Side Request Forgery).
- Impacto: Permite a um atacante autenticado realizar requisições internas no servidor, podendo escalar privilégios e exfiltrar emails.
- Exploração:
- Ameaça ativa em ataques direcionados contra entidades governamentais e jurídicas.
- Observados scripts PowerShell para automatizar a exploração.
- Mitigações:
- Aplicação de patches de segurança lançados em Maio de 2025.
- Restrição de acessos de gestão via VPN.
- Ativação de logging detalhado no IIS.
CVE-2025-3056
- Descrição: Vulnerabilidade no VMware vCenter Server – execução remota de código via plugins maliciosos.
- Impacto: Total compromisso do hipervisor e das VMs associadas.
- Exploração:
- Confirmados casos de ransomware que utilizam esta vulnerabilidade após credenciais iniciais comprometidas.
- Exploit Público:
- Scripts de prova de conceito circulam em fóruns underground.
- Mitigações:
- Atualização crítica do vCenter.
- Desativação de plugins não utilizados.
- Revisão das contas administrativas.
CVE-2025-2109
-
- Descrição: Falha de segurança no Fortinet FortiOS SSL VPN – Heap Buffer Overflow.
- Impacto: Permite execução remota de código sem autenticação.
- Exploração:
- Confirmada exploração massiva em ataques de criptomineradores.
- IoCs:
- Domínios de C2 associados:
- fortigate-update[.]cc
- Domínios de C2 associados:
- Mitigações:
- Atualizar FortiOS de imediato.
- Monitorizar tráfego de SSL VPN.
- Bloquear endpoints não autorizados.
CVE-2024-6732
- Descrição: Vulnerabilidade no Google Chrome V8 JavaScript Engine – Use-After-Free.
- Impacto: Execução de código ao visitar uma página web maliciosa.
- Exploração:
- Zero-day observado em campanhas de watering hole.
- Mitigações:
- Atualização imediata do Chrome.
- Política de restrição de execução de scripts desconhecidos
Lista de IoCs (Indicadores de Comprometimento):
| Tipo | Valor |
|---|---|
|
IPs |
185.220.101.45 (scanner CVE-2025-1974 – Cisco ASA) |
|
Domínios |
fortigate-update[.]cc (C2 Fortinet VPN) |
|
Hashes |
dropstorage[.]cc (exfiltração dados) |
|
JA3 Fingerprint |
SHA256: d1e3cbb932aeea004f5b1… (script Exchange SSRF) |
