A atualização envolve falhas exploradas em Cisco Catalyst SD-WAN Manager, PaperCut NG/MF, JetBrains TeamCity, Kentico Xperience, Quest KACE SMA e Zimbra Collaboration Suite, com impacto que inclui bypass de autenticação, acesso a dados sensíveis, gravação de arquivos e elevação de privilégios.
| Componente | Catálogo KEV da CISA com oito vulnerabilidades em PaperCut NG/MF, JetBrains TeamCity, Kentico Xperience, Quest KACE SMA, Synacor Zimbra Collaboration Suite e Cisco Catalyst SD-WAN Manager. |
| Vetor | Exploração ativa de falhas de autenticação imprópria, travessia de caminho, XSS, uso incorreto de APIs privilegiadas, armazenamento recuperável de senhas e exposição de informação sensível. |
| Impacto | Os efeitos confirmados variam por produto e incluem bypass de autenticação, ações administrativas limitadas, upload arbitrário de dados, personificação de usuários, execução de JavaScript em sessão, sobrescrita de arquivos, privilégios de usuário vmanage, privilégios de usuário DCA e visualização de informação sensível. |
| Prioridade | Agências FCEB receberam prazo até 23 de abril de 2026 para corrigir as três falhas do Cisco Catalyst SD-WAN Manager e até 4 de maio de 2026 para as demais; operadores devem priorizar ativos expostos e versões não corrigidas. |
| Versões e produtos | O conjunto inclui CVE-2023-27351, CVE-2024-27199, CVE-2025-2749, CVE-2025-32975, CVE-2025-48700, CVE-2026-20122, CVE-2026-20128 e CVE-2026-20133. |
| Atividade observada | A exploração de CVE-2023-27351 foi atribuída a Lace Tempest em abril de 2023 em ataques associados às famílias Cl0p e LockBit; CVE-2025-32975 foi observado contra sistemas SMA sem correção; vulnerabilidades em ZCS foram usadas contra entidades ucranianas. |
A CISA adicionou oito vulnerabilidades exploradas ao catálogo Known Exploited Vulnerabilities, ampliando a lista de falhas que exigem correção obrigatória em agências federais civis dos Estados Unidos. A atualização concentra produtos usados em administração de impressão, integração e entrega de software, gestão de conteúdo, gerenciamento de endpoints, colaboração por e-mail e controle de redes SD-WAN. O ponto comum entre os casos é a existência de evidência de exploração ativa, mas os impactos técnicos não são equivalentes: algumas falhas permitem bypass de autenticação, outras dependem de usuário autenticado, acesso local ou sessão de usuário, e algumas resultam principalmente em exposição de informação ou elevação de privilégio dentro do próprio sistema afetado.
As três vulnerabilidades do Cisco Catalyst SD-WAN Manager receberam prazo de correção até 23 de abril de 2026 para agências FCEB. As demais receberam prazo até 4 de maio de 2026. Para ambientes corporativos fora desse escopo regulatório, esses prazos servem como referência operacional para priorização de risco, especialmente quando os produtos estão expostos à internet, acessíveis por parceiros, integrados a diretórios corporativos ou executando funções administrativas críticas. A presença no KEV não descreve automaticamente todos os detalhes da campanha, mas indica que a falha deixou de ser apenas um risco teórico e passou a fazer parte de atividade observada em ambiente real.
No PaperCut NG/MF, CVE-2023-27351 é descrita como uma vulnerabilidade de autenticação imprópria associada à classe SecurityRequestFilter, capaz de permitir bypass de autenticação em instalações afetadas. O impacto técnico indicado é a possibilidade de contornar controles de acesso previstos pelo produto. A exploração dessa falha foi atribuída a Lace Tempest em abril de 2023, em ataques relacionados à entrega das famílias de ransomware Cl0p e LockBit. Esse histórico aumenta a prioridade de validação porque o produto costuma ficar próximo de fluxos de autenticação, estáções de trabalho, servidores de impressão e identidades de usuários finais.
No JetBrains TeamCity, CVE-2024-27199 envolve travessia relativa de caminho e pode permitir que um invasor execute ações administrativas limitadas. O contexto também menciona que outra falha de TeamCity, CVE-2024-27198, já havia entrado no KEV em março de 2024, mas não há confirmação de que as duas vulnerabilidades estejam sendo exploradas em conjunto ou pelo mesmo ator. Em plataformas de CI/CD, mesmo ações administrativas limitadas podem ter impacto relevante se alcançarem configurações de projeto, credenciais de integração, artefatos de build, runners, variáveis ou conexões com repositórios, mas qualquer consequência específica deve ser verificada na telemetria do ambiente afetado.
No Kentico Xperience, CVE-2025-2749 é uma travessia de caminho que permite a um usuário autenticado do Staging Sync Server fazer upload de dados arbitrários para locais relativos no caminho. A exigência de autenticação muda o modelo de risco: a exploração depende de credencial, sessão ou acesso funcional ao componente envolvido. Ainda assim, o efeito de gravar dados em locais controlados por caminho relativo pode afetar integridade de conteúdo, arquivos de aplicação ou fluxos de sincronização, conforme a configuração do servidor e os privilégios efetivos do processo.
No Quest KACE Systems Management Appliance, CVE-2025-32975 recebeu pontuação CVSS 10.0 e é descrita como autenticação imprópria que pode permitir a personificação de usuários legítimos sem credenciais válidas. A atividade foi observada contra sistemas SMA sem correção, com atores ainda não identificados e objetivo final não determinado. Como appliances de gerenciamento frequentemente concentram inventário, tarefas administrativas e interação com endpoints, uma falha que permite personificação deve ser tratada como risco direto à confiança do plano de administração.
No Synacor Zimbra Collaboration Suite, CVE-2025-48700 é uma vulnerabilidade de XSS que pode permitir execução de JavaScript arbitrário dentro da sessão do usuário, resultando em acesso não autorizado a informações sensíveis. O contexto também descreve exploração de duas falhas em ZCS, incluindo CVE-2025-48700 e CVE-2025-66376, em ataques contra entidades ucranianas desde setembro de 2025, com execução de código sem interação do usuário quando consideradas em conjunto. Após comprometimento, foram acessados conteúdos de caixas de correio, correspondências reunidas em arquivo TGZ, códigos de backup de autenticação multifator, senhas de aplicação e catálogo global de endereços. CVE-2025-66376 já havia sido adicionada ao KEV em março de 2026.
No Cisco Catalyst SD-WAN Manager, as três falhas afetam caminhos diferentes. CVE-2026-20122 envolve uso incorreto de APIs privilegiadas e pode permitir upload e sobrescrita de arquivos arbitrários no sistema afetado, além de obtenção de privilégios do usuário vmanage. CVE-2026-20128 envolve senhas armazenadas em formato recuperável e pode permitir que um atacante local autenticado, com baixo privilégio, obtenha privilégios do usuário DCA ao acessar um arquivo de credenciais no sistema de arquivos. CVE-2026-20133 expõe informação sensível a ator não autorizado e pode permitir que atacantes remotos visualizem dados sensíveis em sistemas afetados. A Cisco reconheceu exploração de CVE-2026-20122 e CVE-2026-20128 em março de 2026, enquanto a atualização do aviso para refletir abuso em campo de CVE-2026-20133 ainda não havia ocorrido no material analisado.
A superfície afetada reúne produtos que normalmente operam com permissões elevadas, interfaces administrativas ou dados sensíveis. Servidores PaperCut podem estar integrados a autenticação corporativa e filas de impressão. TeamCity atua em pipelines de build, credenciais de integração e automações de entrega. Kentico Xperience pode sustentar publicação de conteúdo e sincronização entre ambientes. KACE SMA opera como appliance de gerenciamento de sistemas. Zimbra concentra e-mail, catálogo de endereços, senhas de aplicação e fluxos de autenticação multifator. Cisco Catalyst SD-WAN Manager controla funções de administração de rede, com impacto potencial sobre arquivos, privilégios locais e dados sensíveis do plano de gerenciamento.
A priorização não deve ser baseada apenas no CVSS. CVE-2026-20122, por exemplo, tem pontuação 5.4, mas recebeu prazo mais curto por estar entre as falhas Cisco adicionadas com evidência de exploração. CVE-2025-32975 tem pontuação 10.0 e envolve personificação sem credenciais válidas. CVE-2025-48700 tem pontuação 6.1, mas aparece em um contexto maior de exploração contra organizações ucranianas quando combinada com outra vulnerabilidade de ZCS já catalogada. O fator decisivo para resposta é a interseção entre exploração observada, exposição do ativo, função do sistema e capacidade de conter impacto sem interromper serviços críticos.
- Ativos PaperCut NG/MF expostos a usuários internos ou externos e ainda vulneráveis a
CVE-2023-27351. - Servidores JetBrains TeamCity on-premise com possibilidade de travessia relativa de caminho por
CVE-2024-27199. - Instâncias Kentico Xperience com Staging Sync Server e usuários autenticados capazes de acionar upload em caminhos relativos.
- Appliances Quest KACE SMA sem correção, especialmente quando acessíveis por redes amplas ou interfaces administrativas remotas.
- Servidores Zimbra Collaboration Suite com sessões de usuários sensíveis, caixas postais críticas, senhas de aplicação e códigos de backup de MFA.
- Cisco Catalyst SD-WAN Manager com exposição remota, usuários locais autenticados de baixo privilégio ou acesso ao sistema de arquivos onde credenciais recuperáveis possam estar presentes.
A investigação deve começar pelo inventário: identificar produtos instalados, versões, exposição de rede, método de autenticação, contas administrativas e integrações. Para PaperCut e KACE SMA, a telemetria de autenticação é central, porque o impacto descrito envolve bypass ou personificação. Sinais de interesse incluem logins incomuns, sessões criadas sem fluxo esperado, mudanças administrativas sem usuário coerente, uso de contas legítimas em horários anômalos e alterações logo após requisições incomuns à interface do produto.
Em TeamCity e Kentico, a análise deve privilegiar logs de aplicação, trilhas administrativas, acessos a caminhos inesperados, upload de arquivos fora dos diretórios previstos e mudanças em configurações de projeto, sincronização ou publicação. Em ambientes de CI/CD, também é importante revisar artefatos de build, variáveis sensíveis, tokens de integração, conexões com repositórios e histórico de ações administrativas limitadas, porque a falha de TeamCity descrita permite ações administrativas restritas, não necessariamente controle irrestrito.
Para Zimbra, a caça deve combinar logs de autenticação, acesso a mailbox, criação ou uso de senhas de aplicação, acesso a códigos de backup de MFA, exportações de caixa postal e geração de arquivos compactados de correspondência. O contexto descreve acesso a conteúdos de caixa de correio, correspondências em arquivo TGZ, códigos de backup de autenticação multifator, senhas de aplicação e catálogo global de endereços após comprometimento em ataques contra entidades ucranianas. Esse conjunto orienta a busca por leitura incomum de mensagens, exportações concentradas e uso de credenciais secundárias.
No Cisco Catalyst SD-WAN Manager, a telemetria deve focar em gravações e sobrescritas inesperadas de arquivos, alterações associadas ao usuário vmanage, acesso a arquivos de credenciais do usuário DCA por contas de baixo privilégio e consultas remotas que resultem em exposição de dados sensíveis. Como uma das falhas depende de atacante local autenticado, a investigação precisa correlacionar identidade local, privilégios efetivos e acesso ao sistema de arquivos, em vez de procurar apenas tráfego remoto.
- Criação de sessão, login ou ação administrativa sem cadeia de autenticação esperada em PaperCut NG/MF ou Quest KACE SMA.
- Acesso a caminhos relativos, uploads fora do padrão e alterações administrativas limitadas em TeamCity ou Kentico Xperience.
- Exportação de mailbox, geração de arquivo TGZ de correspondências, acesso a códigos de backup de MFA, senhas de aplicação ou catálogo global no Zimbra.
- Sobrescrita de arquivos, alteração envolvendo usuário
vmanage, leitura de arquivo de credenciais DCA ou visualização remota de informação sensível no Cisco Catalyst SD-WAN Manager. - Mudanças realizadas imediatamente antes ou depois de janelas de manutenção não planejadas, especialmente em sistemas presentes no KEV e acessíveis por redes administrativas amplas.
A resposta deve seguir a ordem de exposição e criticidade operacional. Primeiro, localizar todos os ativos correspondentes aos produtos citados e confirmar se as versões instaladas estão vulneráveis às oito CVEs listadas. Em seguida, aplicar as correções ou medidas de remediação disponibilizadas pelos fornecedores, respeitando a criticidade de Cisco Catalyst SD-WAN Manager até 23 de abril de 2026 para o conjunto Cisco e 4 de maio de 2026 para as demais falhas no escopo FCEB. Quando a correção imediata não for possível, o acesso administrativo deve ser restringido por rede, identidade e segmentação, com monitoramento reforçado até a atualização definitiva.
Depois da correção, a validação não deve se limitar à presença do patch. É necessário revisar logs anteriores à aplicação da atualização, procurar artefatos compatíveis com os impactos descritos e verificar se credenciais, senhas de aplicação, códigos de backup de MFA, tokens ou arquivos de configuração sensíveis foram acessados. Em Zimbra, a presença de dados de mailbox, catálogo global e credenciais auxiliares no impacto observado exige revisão de contas, revogação de senhas de aplicação suspeitas e reemissão de códigos de backup quando houver indício de acesso. Em KACE SMA, a possibilidade de personificação justifica revisar ações administrativas atribuídas a usuários legítimos durante a janela de risco.
Para TeamCity e outros sistemas de automação, a remediação deve incluir revisão de integrações, segredos de pipeline, chaves de repositório e permissões de projeto. Em Cisco Catalyst SD-WAN Manager, a contenção precisa considerar privilégios vmanage, acesso ao usuário DCA e arquivos que possam ter sido sobrescritos ou lidos. O objetivo defensivo é reduzir a permanência de credenciais recuperáveis, restaurar integridade de arquivos sensíveis e confirmar que a atualização eliminou a condição de exploração. Sistemas adicionados ao KEV devem permanecer em monitoramento elevado mesmo após a correção, porque a exploração observada indica que atores já conhecem caminhos práticos para acionar as falhas.
- Aplicar correções dos fornecedores para
CVE-2023-27351,CVE-2024-27199,CVE-2025-2749,CVE-2025-32975,CVE-2025-48700,CVE-2026-20122,CVE-2026-20128eCVE-2026-20133. - Priorizar Cisco Catalyst SD-WAN Manager pelo prazo de 23 de abril de 2026 e os demais produtos pelo prazo de 4 de maio de 2026 quando o ambiente seguir referência FCEB.
- Restringir interfaces administrativas a redes confiáveis, contas autorizadas e autenticação forte enquanto a correção é implantada.
- Revisar logs históricos em busca dos impactos técnicos descritos: bypass de autenticação, upload arbitrário, ações administrativas, exportação de mailbox, acesso a credenciais e visualização de informação sensível.
- Rotacionar credenciais e segredos potencialmente expostos, incluindo senhas de aplicação, códigos de backup de MFA, credenciais de CI/CD, contas administrativas e arquivos de credenciais do ambiente afetado.
- Validar integridade de arquivos, configurações e permissões após a atualização, com foco especial em TeamCity, Kentico, Zimbra, KACE SMA e Cisco Catalyst SD-WAN Manager.
0 Comentários