A semana reuniu exploração em Fortinet, falha crítica no GNU InetUtils telnetd, abuso de extensões de navegador, campanhas contra desenvolvedores e novos riscos em identidade, nuvem e cadeia de suprimentos.
| Componente | Firewalls Fortinet com FortiCloud SSO habilitado, GNU InetUtils telnetd, extensões de Chrome e Edge, repositórios abertos em VS Code, OpenKM e contas de publicadores no Snap Store |
| Vetor | Mensagens SAML criadas para contornar SSO, sessão Telnet sem credenciais válidas, extensão maliciosa com falso fluxo de correção, tarefas automáticas em tasks.json, transferência de domínio expirado e atualização maliciosa de pacote |
| Impacto | Bypass de autenticação administrativa, acesso não autorizado ao sistema, instalação de RAT, roubo de chaves de API, execução remota de código em máquinas de desenvolvedores e comprometimento de servidores ou pacotes confiáveis |
| Prioridade | Restringir administração de borda, desativar FortiCloud SSO quando exposto, corrigir ou retirar Telnet vulnerável, auditar extensões, bloquear execução automática não confiável em IDEs e revisar contas de publicação vinculadas a domínios expirados |
| Artefatos | CVE-2025-59718, CVE-2025-59719, CVE-2026-24061, tasks.json, runOptions, folderOpen, H-Chat Assistant, PasteReady, NexShield, ModeloRAT, VoidLink e Zeppelin |
A semana concentrou incidentes em três frentes que exigem tratamento operacional diferente: falhas em produtos expostos na borda, abuso de ferramentas usadas diariamente por usuários e desenvolvedores, e cadeias de entrega nas quais contas, extensões ou pacotes confiáveis passam a distribuir comportamento malicioso. O caso mais urgente envolve firewalls Fortinet com FortiCloud SSO habilitado, nos quais uma correção incompleta para CVE-2025-59718 e CVE-2025-59719 ainda permitiu exploração contra equipamentos que estavam atualizados na versão mais recente disponível no momento do ataque.
A recapitulação também trouxe uma falha crítica no daemon Telnet do GNU InetUtils, rastreada como CVE-2026-24061, presente de 1.9.3 até 2.7 e introduzida em uma alteração de código de março de 2015. O impacto descrito é acesso sem credenciais válidas, com possibilidade de obter uma sessão privilegiada por meio de manipulação do fluxo de autenticação. Como existe prova pública de conceito, ambientes que ainda mantêm Telnet ativo devem tratar a exposição como risco imediato, especialmente quando o serviço está acessível fora de segmentos estritamente controlados.
A atividade contra Fortinet mostra que atualização isolada não encerra o risco quando a falha original foi corrigida de forma incompleta. A condição técnica relevante é o uso do FortiCloud SSO em dispositivos afetados. O vetor envolve mensagens SAML criadas para contornar o login SSO sem autenticação, atingindo a camada administrativa de equipamentos de borda. A gravidade não vem apenas do CVE, mas da posição do ativo: firewalls, VPNs e proxies concentram controle de tráfego, políticas administrativas e, em muitos ambientes, rotas para segmentos internos.
A resposta defensiva deve começar pela superfície administrativa. O acesso de administração em dispositivos de borda precisa ficar limitado a origens confiáveis, com exposição pública removida sempre que possível. Na ausência de correção completa, a medida específica descrita é desativar logins FortiCloud SSO por meio da configuração admin-forticloud-sso-login. Em paralelo, equipes devem revisar eventos de autenticação administrativa, alterações de configuração, criação de contas, mudança de políticas e conexões vindas de origens que não pertencem ao fluxo normal de operação.
- FortiCloud SSO habilitado é a condição citada para o bypass
CVE-2025-59718eCVE-2025-59719aparecem vinculadas à correção incompleta- Equipamentos totalmente atualizados também foram atingidos antes da correção final
CVE-2026-24061 afeta o telnetd do GNU InetUtils em todas as versões de 1.9.3 até 2.7, inclusive. A falha permite estabelecer uma sessão Telnet sem credenciais válidas, o que transforma um serviço legado em caminho direto de acesso não autorizado. O contexto descreve a exploração como simples e associada ao modo como o binário de login pode ser chamado para pular a autenticação interativa; detalhes operacionais reproduzíveis devem ser omitidos em procedimentos internos de comunicação, mas o efeito defensivo é claro: presença de Telnet exposto passa a ser prioridade máxima.
A mitigação prática é remover Telnet de superfícies acessíveis, substituir por mecanismos de administração modernos e aplicar correções quando disponíveis. Em redes industriais, appliances antigos ou ambientes de laboratório, onde Telnet ainda aparece por compatibilidade, a contenção deve incluir segmentação rígida, listas de origem permitida, monitoramento de sessões e revisão de contas privilegiadas. A existência de PoC pública aumenta a probabilidade de varredura oportunista e exploração rápida em ativos esquecidos.
- Produto afetado: GNU InetUtils
telnetd - Versões afetadas: 1.9.3 até 2.7, inclusive
- Impacto confirmado: sessão Telnet sem autenticação válida
VoidLink, malware Linux voltado a servidores em nuvem baseados em Linux, foi descrito como quase inteiramente gerado com auxílio de IA. O elemento técnico que sustentou essa avaliação foi a exposição acidental de um plano de desenvolvimento associado ao projeto, além do uso de pontos de verificação para validar se o modelo seguia as instruções e se o código funcionava. O risco defensivo não é apenas a autoria automatizada, mas a aceleração de ciclos de desenvolvimento malicioso e a redução de traços humanos normalmente usados em atribuição.
No navegador, a campanha CrashFix abusou de uma extensão falsa para Chrome e Edge chamada NexShield. O fluxo observado começa com a instalação da extensão, passa por travamento intencional do navegador e, após a reinicialização, apresenta uma falsa correção ao usuário. O objetivo final descrito é entregar um RAT em Python chamado ModeloRAT. Em vez de alertas genéricos, a cadeia usa a experiência de falha real do navegador para aumentar a credibilidade da fraude, aproximando ClickFix de um evento técnico que o usuário acabou de presenciar.
- VoidLink mira servidores Linux em nuvem
- NexShield foi usado para induzir falsa correção após travamento do navegador
- ModeloRAT é o payload remoto citado na campanha CrashFix
A campanha Contagious Interview continuou explorando o fluxo de recrutamento técnico contra desenvolvedores e profissionais de TI. O vetor começa com repositórios maliciosos hospedados em GitHub, GitLab ou Bitbucket, apresentados como exercício de contratação, revisão de código ou tarefa técnica. O ponto crítico é a configuração runOptions com valor folderOpen, que faz uma tarefa ser executada automaticamente quando a pasta é aberta no VS Code. A execução de comandos maliciosos em tasks.json inicia a cadeia que leva à instalação de malware e a uma nova backdoor com execução remota de código.
A recapitulação também descreve abuso de contas de publicadores no Snap Store. O método envolve registrar domínios expirados associados a contas legítimas, usar essa posse para acionar redefinições de senha e, depois, publicar atualizações maliciosas em aplicações que já possuíam reputação. Esse padrão muda a avaliação de confiança: histórico positivo de um pacote não basta quando o controle administrativo da conta depende de domínios que podem expirar. Foram citados os pacotes ligados a storewise.tech e vagueentertainment.com, com atores possivelmente localizados na Croácia.
tasks.jsoncom execução emfolderOpendeve ser tratado como sinal de alto risco em repositórios recebidos de terceiros- Domínios expirados vinculados a contas de publicação podem permitir tomada de controle por redefinição de senha
- Atualizações de pacotes confiáveis precisam ser avaliadas por mudança de mantenedor, domínio e comportamento, não apenas por reputação histórica
Extensões de navegador apareceram em múltiplos incidentes. A H-Chat Assistant, identificada pelo ID dcbcnpnaccfjoikaofjgcipcfbmfkpmj, tinha mais de 10 mil usuários e foi encontrada roubando chaves de API da OpenAI. O fluxo descrito pede que o usuário insira a chave para usar um chatbot e exfiltra a credencial quando o usuário apaga uma conversa ou faz logout. Pelo menos 459 chaves únicas teriam sido enviadas para um canal Telegram controlado pelo atacante. O impacto é acesso não autorizado a instâncias OpenAI associadas às chaves comprometidas.
A PasteReady representa outro risco de extensão: mudança de propriedade seguida de atualização maliciosa. A extensão foi colocada à venda em 7 de maio de 2025, teve transferência de propriedade em 27 de dezembro de 2025, recebeu a versão 3.4 com malware em 30 de dezembro de 2025 e foi removida da Chrome Web Store por malware em 14 de janeiro de 2026. Em identidade, ataques de vishing passaram a usar painéis de phishing personalizados para interceptar credenciais e controlar em tempo real o fluxo de autenticação no navegador da vítima, mirando provedores como Google, Microsoft Entra e Okta.
- Chaves OpenAI inseridas em extensões de terceiros devem ser consideradas credenciais sensíveis
- Mudança de proprietário em extensão instalada é evento relevante para revisão de risco
- Vishing com controle de sessão exige análise de autenticação, MFA, dispositivo e origem, não apenas senha
O OpenKM teve múltiplas vulnerabilidades zero-day divulgadas, com impactos descritos como execução remota de código, execução SQL irrestrita e exposição de arquivos. O cenário exige um administrador autenticado para encadear as falhas, mas o resultado informado é comprometimento completo do servidor OpenKM, banco de dados de backend e documentos armazenados. Em ambientes que usam OpenKM para gestão documental, contas administrativas, trilhas de auditoria, conectores de banco e permissões sobre repositórios de documentos devem ser revisados.
No campo de ransomware, um cidadão russo declarou culpa por liderar o grupo Zeppelin, associado a pelo menos 50 vítimas em um período de quatro anos encerrado entre maio de 2018 e agosto de 2022. A semana também registrou condenações em um esquema de jackpotting de ATMs nos Estados Unidos, no qual os operadores removiam a carcaça de caixas eletrônicos antigos, conectavam um laptop e instalavam malware para burlar controles do equipamento e liberar dinheiro. Esses casos são úteis para defesa porque reforçam que malware operacional não se limita a endpoints corporativos convencionais.
- OpenKM: risco de RCE, SQL irrestrito e divulgação de arquivos quando há administrador autenticado
- Zeppelin: grupo de ransomware vinculado a pelo menos 50 vítimas no período citado
- ATMs antigos: ataque físico combinado com malware para superar controles do equipamento
A caça deve priorizar ativos expostos na borda, execução automática em estáções de desenvolvimento, extensões de navegador e sinais de credenciais usadas fora do padrão. Em Fortinet, eventos de SSO, alterações administrativas e acesso de origens incomuns são mais relevantes que simples inventário de versão, já que exploração foi observada em equipamentos atualizados. Em Telnet, qualquer exposição externa de telnetd vulnerável, tentativa de sessão sem fluxo normal de senha ou autenticação anômala deve ser tratada como evento crítico.
Em endpoints de desenvolvedores, a abertura de repositórios recebidos em processos seletivos, execução automática do VS Code, presença de tasks.json com tarefas inesperadas e instalação de pacotes npm com nomes incomuns devem compor a linha de investigação. Em navegador, equipes devem correlacionar instalação, atualização, mudança de proprietário e permissões de extensões com tráfego para serviços externos, especialmente quando a extensão processa prompts, chaves de API ou autenticação. Em identidade, vishing exige análise de sequência: ligação, acesso ao painel de phishing, tentativa de MFA, troca de dispositivo e comportamento do navegador.
- Eventos Fortinet de SSO, administração, criação de contas e mudança de política após tentativa de login
tasks.jsoncom tarefa automática em repositórios clonados para avaliação técnica- Extensões que acessam prompts, chaves de API, cookies, páginas de login ou enviam dados a servidores externos
- Redefinições de senha em contas de publicação vinculadas a domínios expirados
- Uso de chaves OpenAI a partir de origem, volume ou aplicação incompatível com o padrão esperado
A ordem de resposta deve começar pelos ativos com exposição externa e por componentes nos quais já há exploração, PoC pública ou caminho de execução automático. Para Fortinet, a ação concreta é restringir administração de dispositivos de borda e desativar FortiCloud SSO quando a configuração afetada estiver presente. Para GNU InetUtils, a recomendação operacional é retirar Telnet de exposição, corrigir versões vulneráveis e segmentar qualquer sistema que dependa temporariamente do serviço. Para OpenKM, a revisão deve se concentrar em contas administrativas, isolamento do servidor, logs de banco e acesso a documentos sensíveis.
Para navegadores e IDEs, a mitigação precisa combinar política técnica e processo. Extensões devem ser permitidas por lista aprovada, com revisão de propriedade, permissões e atualizações. Repositórios usados em entrevistas, auditorias e avaliações de fornecedores devem ser abertos em ambientes isolados, sem segredos locais e sem execução automática confiada por padrão. Chaves de API inseridas em extensões não aprovadas devem ser revogadas e recriadas, com busca por uso indevido. Em cadeia de suprimentos, contas de publicação precisam de domínios sob controle ativo, MFA forte, revisão de mantenedores e monitoramento de atualizações anômalas.
- Desativar
admin-forticloud-sso-loginquando o FortiCloud SSO exposto não puder ser considerado seguro - Remover Telnet exposto e corrigir GNU InetUtils afetado por
CVE-2026-24061 - Bloquear ou revisar tarefas automáticas do VS Code em repositórios de origem externa
- Revogar chaves OpenAI inseridas em extensões suspeitas e revisar uso posterior
- Auditar extensões instaladas, propriedade, permissões e versões distribuídas
- Revalidar domínios associados a contas de publicação e remover dependências de endereços expirados
0 Comentários