Incidentes envolveram código-fonte do BIG-IP, exploração de CVE-2025-61882 pelo Cl0p, vazamentos em Qantas, MANGO, Sotheby e Michigan City, além de correções críticas para Windows, Azure Entra ID, WSUS e Kestrel.
| Componente | F5 BIG-IP, Oracle E-Business Suite, Microsoft Windows, Windows Server Update Service, Azure Entra ID, ASP.NET Core Kestrel, Salesforce integrado a terceiros e ambientes corporativos afetados por ransomware. |
| Vetor | Exploração de CVE-2025-61882 em servidores Oracle E-Business Suite, exposição de instâncias BIG-IP, falhas de elevação de privilégio e execução remota de código, comprometimento de fornecedores, engenharia social e request smuggling HTTP. |
| Impacto | Exfiltração de código-fonte, informações sobre vulnerabilidades não divulgadas, roubo de dados pessoais, dados comerciais, informações de funcionários, indisponibilidade operacional, elevação para SYSTEM, bypass de Secure Boot e execução remota de código. |
| Prioridade | Aplicar correções dos fornecedores, reduzir exposição externa de BIG-IP e serviços administrativos, investigar acessos anômalos, revisar integrações SaaS e executar rotação de credenciais quando houver indício de acesso indevido. |
| Versões | Windows 11 24H2 recebeu correção no OS Build 26100.4202 (KB5058499); falhas também afetaram versões de ASP.NET Core e Visual Studio, sem lista completa de versões no material disponível. |
| Artefatos | CVE-2025-61882, CVE-2025-59230, CVE-2025-24990, CVE-2025-47827, CVE-2025-59287, CVE-2025-59246, CVE-2025-55315, KB5058499, BIG-IP, F5OS, BIG-IQ, APM, Kestrel, EMF+ e GDI. |
| IoCs | Foram citados os nomes UNC5291, Brickstorm, Zipline, Spawnant, Cl0p, Play, Obscura e Scattered LAPSUS$ Hunters; não foram fornecidos hashes, domínios, endereços IP ou caminhos de arquivo. |
A semana concentrou incidentes em três frentes técnicas: exploração de vulnerabilidades de alto impacto, comprometimento de fornecedores e vazamentos com interrupção operacional. O caso com maior implicação para engenharia de produto envolve a F5, que divulgou acesso persistente a ambientes críticos de desenvolvimento e exfiltração de arquivos contendo partes do código-fonte do BIG-IP, informações sobre vulnerabilidades ainda não divulgadas e dados que afetaram uma pequena parcela de clientes. Esse tipo de incidente amplia o risco porque o material roubado pode apoiar análise reversa, desenvolvimento de exploits, descoberta de caminhos internos de autenticação e mapeamento de mecanismos de defesa antes que clientes consigam aplicar correções ou revisar exposição.
A exploração de CVE-2025-61882 em servidores Oracle E-Business Suite foi associada ao grupo Cl0p e levou a dois incidentes relevantes divulgados na mesma semana. Harvard University informou roubo de informações sensíveis de uma pequena unidade administrativa, enquanto a Envoy Air confirmou furto de volume limitado de dados comerciais e de negócio. Em paralelo, Microsoft, ASP.NET Core Kestrel e componentes de baixo nível do Windows receberam correções para falhas que incluem elevação de privilégio, bypass de Secure Boot, execução remota de código, request smuggling HTTP e negação de serviço em componente do núcleo gráfico do Windows.
O comprometimento da F5 teve como ponto central o acesso duradouro a ambientes de desenvolvimento de produto. A exfiltração de partes do código-fonte do BIG-IP e de informações sobre vulnerabilidades não divulgadas cria uma superfície de risco diferente de um vazamento de dados tradicional: o atacante passa a ter material para estudar a lógica interna do produto, pontos de validação, manipulação de sessão, fluxos de autenticação, integração com APIs e possíveis diferenças entre versões corrigidas e versões ainda implantadas em clientes. Mesmo sem detalhes públicos de payload ou CVE específica para esse incidente, a combinação de código-fonte, dados de vulnerabilidade e ampla exposição de appliances exige resposta orientada a ativos.
Também foi registrada a existência de mais de 266.000 instâncias F5 BIG-IP expostas na internet depois da divulgação do ataque. Correções recém-lançadas cobrem 44 vulnerabilidades em BIG-IP, F5OS, BIG-IQ e APM. A atividade observada foi vinculada ao UNC5291, associado à China, e a malwares como Brickstorm, Zipline e Spawnant. Os impactos técnicos descritos incluem roubo de credenciais e chaves de API, movimentação lateral, persistência e exfiltração. Operadores devem tratar interfaces administrativas expostas, integrações privilegiadas e contas de serviço ligadas a appliances como ativos de alta prioridade para revisão.
- Inventariar instâncias BIG-IP, F5OS, BIG-IQ e APM acessíveis pela internet ou por redes de parceiros.
- Verificar versão, hotfix aplicado, módulos habilitados e exposição de interfaces administrativas.
- Revisar logs de autenticação, criação de sessão, alteração de configuração, exportação de arquivo e uso incomum de APIs.
- Rotacionar credenciais e chaves de API associadas a integrações com F5 quando houver evidência de acesso indevido.
A vulnerabilidade zero day CVE-2025-61882 em servidores Oracle E-Business Suite foi explorada pelo Cl0p e aparece como vetor central em incidentes com roubo de informações. O ponto operacional mais importante é que E-Business Suite costuma concentrar processos administrativos, financeiros, recursos humanos, compras e integrações com sistemas internos. Quando um servidor desse tipo é explorado, a consequência não se limita ao host vulnerável: tokens de integração, contas técnicas, dados transacionais, anexos e rotinas agendadas podem ser usados para aprofundar acesso ou extrair informações de outras camadas.
Os casos divulgados envolveram Harvard University, com dados sensíveis retirados de uma pequena unidade administrativa, e Envoy Air, com furto de volume limitado de dados comerciais e de negócio. O material disponível não traz payload, endpoint explorado, cadeia completa de execução ou indicadores técnicos, portanto a resposta defensiva deve partir de inventário de servidores Oracle E-Business Suite, verificação de exposição externa, revisão de logs de aplicação e comparação de atividades administrativas contra o comportamento esperado. Ambientes com E-Business Suite acessível por VPN, proxy reverso ou portal corporativo também devem ser avaliados, porque a exploração pode ocorrer por caminhos expostos indiretamente.
- Localizar todos os servidores Oracle E-Business Suite e confirmar o estado de atualização relacionado a
CVE-2025-61882. - Revisar acessos administrativos, chamadas incomuns, erros de aplicação e transferências de arquivos próximas ao período de exploração.
- Validar contas técnicas usadas por integrações e revogar segredos que possam ter sido lidos em servidores comprometidos.
A Qantas sofreu vazamento com aproximadamente 5 milhões de detalhes pessoais de clientes após acesso indevido a uma plataforma de terceiro integrada ao Salesforce. O ataque foi atribuído ao Scattered LAPSUS$ Hunters. O padrão técnico relevante é o uso de integrações SaaS como caminho de coleta de dados: mesmo quando o sistema principal permanece funcional, tokens OAuth, permissões excessivas, conectores de marketing, plataformas de atendimento e sincronizações com CRM podem expor grandes bases de registros pessoais. A defesa precisa medir escopo de permissão por aplicação conectada, não apenas por usuário humano.
A MANGO informou exposição de dados de clientes após comprometimento de um fornecedor de marketing, sem inclusão de dados financeiros no material divulgado. A Sotheby sofreu roubo de informações sensíveis de funcionários, incluindo nomes completos, números de Social Security e detalhes de contas financeiras. Dairy Farmers of America teve dados pessoais de 4.546 funcionários e membros cooperados expostos, interrupção em plantas de manufatura e ataque conduzido por campanha sofisticada de engenharia social, reivindicado pelo Play. Michigan City, em Indiana, confirmou ransomware com interrupção de serviços online e telefônicos, roubo de 450 GB de dados municipais, vazamento público após negativa de pagamento e impacto em mais de 30.000 residentes; o Obscura assumiu responsabilidade.
- Revisar permissões de aplicativos conectados ao Salesforce e a plataformas de marketing.
- Auditar campanhas recentes de engenharia social, solicitações de redefinição de credencial e mudanças em MFA.
- Coletar evidências de exfiltração em gateways, proxies, EDR, CASB e logs de armazenamento externo.
- Priorizar continuidade operacional em telefonia, atendimento público, manufatura e serviços administrativos essenciais.
O ciclo de atualização da Microsoft corrigiu 175 vulnerabilidades, incluindo três zero days exploradas ativamente: CVE-2025-59230, CVE-2025-24990 e CVE-2025-47827. Os efeitos confirmados incluem obtenção de privilégios SYSTEM ou bypass de Secure Boot em Windows e IGEL OS, conforme a falha envolvida. Duas vulnerabilidades críticas com severidade 9.8 também foram corrigidas: CVE-2025-59287, com execução remota de código via desserialização no Windows Server Update Service, e CVE-2025-59246, com elevação de privilégio no Azure Entra ID. WSUS é especialmente sensível porque participa da distribuição de atualizações; comprometimento nessa camada pode afetar a confiança operacional de estáções e servidores.
Outra falha crítica, CVE-2025-55315, recebeu pontuação CVSS 9.9 e afeta o servidor web Kestrel do ASP.NET Core por request smuggling HTTP. A exploração bem-sucedida permite inserir requisições maliciosas dentro de tráfego aparentemente legítimo, com potencial para contornar controles de segurança, sequestrar credenciais de usuários, adulterar arquivos ou causar negação de serviço. O risco aumenta em arquiteturas com proxy reverso, balanceador ou gateway que interpreta limites de requisição de forma diferente do Kestrel. A correção deve ser acompanhada de validação de cabeçalhos, normalização de tráfego HTTP e testes de regressão em rotas autenticadas.
- Aplicar as atualizações da Microsoft relacionadas a outubro, priorizando ativos expostos e servidores WSUS.
- Validar correções de
CVE-2025-55315em aplicações ASP.NET Core e ambientes Visual Studio afetados. - Monitorar eventos de elevação de privilégio, alterações de boot, falhas de validação HTTP e comportamento anômalo em WSUS.
- Revisar configurações de proxy reverso para evitar divergência de parsing HTTP entre camadas.
Uma vulnerabilidade no componente de núcleo do Windows baseado em Rust, dentro da função relacionada ao Graphics Device Interface, foi reproduzida a partir de fuzzing com amostras EMF+ mutadas contendo dados de caminho malformados. A condição de exploração parte de espaço de usuário de baixa integridade no Windows 11 24H2 e resulta em negação de serviço de severidade moderada. Embora o impacto descrito não inclua execução de código ou elevação de privilégio, falhas acionáveis por arquivos gráficos ou fluxos de renderização podem afetar estabilidade de endpoint, processamento automatizado de documentos e aplicações que manipulam imagens ou metarquivos.
A correção foi entregue no OS Build 26100.4202, por meio de KB5058499, com reestruturação da função afetada e aumento de verificações internas. Para defesa, a prioridade é confirmar implantação do build corrigido, reduzir processamento automático de conteúdo não confiável onde possível e monitorar travamentos recorrentes de processos gráficos ou aplicações que consomem EMF+. Em ambientes de alta exposição, como help desks, processamento de anexos e estáções usadas para triagem documental, crashes repetidos associados a arquivos de imagem devem ser tratados como possível tentativa de exploração.
- Confirmar presença do OS Build 26100.4202 ou atualização equivalente em Windows 11 24H2.
- Investigar travamentos de processos gráficos após abertura ou pré-visualização de arquivos EMF+.
- Controlar origem de anexos e arquivos gráficos processados automaticamente por estáções e serviços internos.
As campanhas de phishing observadas no terceiro trimestre de 2025 tiveram Microsoft como marca mais falsificada, respondendo por 40% das tentativas de spoofing de marca. Google apareceu com 9% e Apple com 6%. O setor de tecnologia liderou a atividade, enquanto PayPal e DHL retornaram ao grupo das dez marcas mais usadas, indicando foco em serviços financeiros e logística. O padrão técnico descrito envolve páginas fraudulentas de login com aparência convincente, uso de identidade visual legítima e gatilhos emocionais para induzir envio de credenciais e dados pessoais sensíveis.
A defesa deve combinar controles de identidade, telemetria de navegador, filtros de domínio e treinamento orientado a fluxo real de autenticação. A marca falsificada não define sozinha o risco; o elemento crítico é a captura de credenciais reutilizáveis, tokens de sessão, códigos MFA ou dados pessoais usados em fraude posterior. Organizações que utilizam Microsoft 365, Google Workspace, Apple ID corporativo, PayPal ou serviços de logística em processos internos devem monitorar domínios recém-criados, redirecionamentos, páginas clonadas, solicitações de login fora do padrão e tentativas de acesso logo após submissões suspeitas.
- Monitorar domínios semelhantes a marcas usadas pela organização e páginas com formulários de credenciais.
- Correlacionar submissões suspeitas com tentativas de login, mudanças de MFA e criação de regras de encaminhamento.
- Aplicar MFA resistente a phishing em contas privilegiadas e funções expostas a e-mail externo.
A investigação deve começar por ativos de maior consequência: appliances F5 expostos, servidores Oracle E-Business Suite, WSUS, aplicações ASP.NET Core atrás de proxies, integrações Salesforce, plataformas de marketing e sistemas municipais ou industriais com sinais de ransomware. O objetivo é identificar condição de exposição, versão vulnerável, exploração provável e movimentação posterior. Para F5, a telemetria relevante inclui login administrativo, alteração de configuração, criação de contas, exportação de arquivos, chamadas de API incomuns e conexões de saída para destinos não usuais. Para Oracle E-Business Suite, a análise deve cobrir logs de aplicação, autenticação, jobs, anexos e contas técnicas.
Em ransomware e vazamentos por terceiros, a linha de investigação precisa cruzar identidade, rede, endpoint e SaaS. Engenharia social deixa rastros em redefinições de credencial, alterações de MFA, aprovações fora do horário, novos dispositivos e concessões OAuth. Exfiltração tende a aparecer como compressão de dados, transferências volumosas, uso anormal de ferramentas administrativas ou saída para serviços externos. Em Kestrel e request smuggling, sinais úteis incluem discrepâncias entre logs do proxy e da aplicação, requisições com cabeçalhos ambíguos, erros 400/500 incomuns, sessões autenticadas executando ações inesperadas e divergência entre IP de borda e identidade aplicada na aplicação.
- Comparar logs de proxy reverso e aplicação para localizar requisições HTTP interpretadas de forma diferente.
- Buscar criação ou uso anômalo de contas administrativas em F5, Oracle, WSUS, Entra ID e plataformas SaaS.
- Verificar eventos de exfiltração: grandes volumes, compressão, conexões para armazenamento externo e transferências fora de janela operacional.
- Correlacionar alertas de EDR com mudanças de MFA, consentimento OAuth, redefinição de senha e acesso a dados sensíveis.
- Monitorar menções internas a Brickstorm, Zipline, Spawnant, Cl0p, Play, Obscura e Scattered LAPSUS$ Hunters apenas como pivôs de investigação, sem substituir IoCs técnicos.
A resposta deve seguir uma ordem pragmática: corrigir componentes com exploração ativa ou execução remota de código, reduzir exposição de interfaces administrativas, validar integridade de integrações e rotacionar segredos quando houver risco de leitura. Em F5, aplicar as correções para BIG-IP, F5OS, BIG-IQ e APM deve vir acompanhado de revisão de exposição externa e contas privilegiadas. Em Oracle E-Business Suite, a correção de CVE-2025-61882 deve ser combinada com análise de logs e validação de contas técnicas. Em Microsoft, priorizar CVE-2025-59287, CVE-2025-59246, CVE-2025-59230, CVE-2025-24990 e CVE-2025-47827 em ativos críticos reduz a janela de exploração ativa.
Para incidentes envolvendo terceiros, a contenção exige escopo contratual e técnico: suspender conectores suspeitos, revisar permissões, invalidar tokens, auditar exportações e exigir evidências de contenção do fornecedor. Em ambientes SaaS, a simples troca de senha não remove tokens OAuth já concedidos nem corrige excesso de privilégio. Para ransomware, restaurar serviço antes de entender o vetor aumenta risco de reinfecção; a prioridade é isolar sistemas afetados, preservar evidências, bloquear canais de exfiltração, reconstruir a partir de imagens confiáveis e validar backups offline. A comunicação com áreas jurídicas e de privacidade deve ser baseada em dados confirmados: categorias de informação, população afetada, período provável de acesso e sistemas envolvidos.
- Aplicar patches de F5, Oracle, Microsoft, ASP.NET Core e Visual Studio conforme inventário real de ativos.
- Remover exposição pública desnecessária de consoles administrativos, WSUS, E-Business Suite e appliances de borda.
- Revogar sessões, tokens OAuth e chaves de API associados a plataformas comprometidas ou com permissões excessivas.
- Executar rotação de credenciais para contas técnicas que possam ter sido acessadas por servidores vulneráveis ou fornecedores invadidos.
- Validar restauração de backups e segmentação antes de recolocar sistemas afetados por ransomware em produção.
0 Comentários