Boletim técnico: RCE em PAN-OS, ataques com Teams, adulteracao de tokenizador e abuso de cadeia de suprimentos

A semana reuniu exploração limitada de CVE-2026-0300, exposição por APIs sem autorização forte, campanhas com PowerShell, Python, ClickFix, ModeloRAT, crpx0 e novas técnicas contra modelos de IA e ambientes Langflow.

ComponentePAN-OS User-ID Authentication Portal, APIs de plataforma de treinamento, Microsoft Teams, Hugging Face tokenizer.json, Langflow, SMB, pacotes npm e cargas Python/PowerShell.
VetorPacotes de rede especialmente construidos, phishing, arquivos LNK/RAR/ZIP, comandos ClickFix executados por usuário, mensagens externas no Teams, repositorios de modelos alterados e exploração RCE sem autenticação.
ImpactoExecução de código como root, acesso remoto persistente, roubo de credenciais, exfiltracao, bloqueio de arquivos compartilhados, proxy C2, adulteracao de saida de IA e risco de comprometimento de cadeia de suprimentos.
PrioridadeAplicar correções disponiveis, restringir superficies expostas, revisar autorização entre locatarios, bloquear acesso externo desnecessario no Teams, auditar modelos e investigar execucoes PowerShell/Python fora do padrao.
VersõesO bug de baixa severidade em cURL deve ser publicado junto da versão 8.21.0; a extensao regulatoria para atualizações de roteadores nos EUA vai ate pelo menos 2029-01-01.
ArtefatosCVE-2026-0300, CVE-2023-36036, CVE-2026-33017, sysupdate.jpeg, EarthWorm, ReverseSocks5, PySoxy, ModeloRAT, crpx0, tokenizer.json, CreateFileW, dwShareMode = 0x00000000.
Resumo técnico

A semana concentrou incidentes e técnicas que exploram uma combinacao de falhas de memória, controles de autorização fracos, engenharia social e uso indevido de ferramentas legitimas. O caso de maior urgência operacional envolve CVE-2026-0300, um estouro de buffer crítico no servico User-ID Authentication Portal do PAN-OS, explorado de forma limitada antes da primeira rodada de correções. A condição permite que um atacante não autenticado envie pacotes especialmente construidos e obtenha execução arbitraria de código com privilégio de root, o que coloca appliances expostos em uma categoria de risco imediato para comprometimento de borda.

O conjunto de eventos tambem mostra aumento de cadeias que dependem menos de malware exotico e mais de abuso de canais confiaveis. Mensagens externas no Microsoft Teams, arquivos LNK dentro de RAR, atalhos em ZIP, comandos ClickFix executados por usuários, payloads Python hospedados em servicos legitimos e proxies baseados em ferramentas de código aberto aparecem como pontos recorrentes. Para defesa, a leitura técnica central e que controles de identidade, telemetria de execução, politica de egress, revisao de autorização e validação de artefatos de cadeia de suprimentos precisam ser tratados como uma unica superficie.

PAN-OS

CVE-2026-0300 afeta o User-ID Authentication Portal do PAN-OS e foi descrita como uma vulnerabilidade crítica de estouro de buffer. A exploração ocorre antes de autenticação, por pacotes manipulados, e o resultado confirmado e execução de código como root. Esse tipo de falha em perimetro e especialmente sensivel porque o equipamento normalmente tem visibilidade privilegiada de rede, politicas de acesso e rotas internas, alem de frequentemente estar exposto a tráfego não confiavel.

A exploração limitada observada desde o mes anterior incluiu entrega de payloads como EarthWorm e ReverseSocks5, ambos coerentes com objetivos de tunelamento, proxy ou acesso remoto. A resposta deve priorizar inventario de versões PAN-OS, aplicação imediata das correções disponiveis, reducao da exposição do portal, revisao de logs de conexao e busca por processos ou conexoes anormais originados no appliance. Em ambientes onde a janela de exposição existiu, a mitigação não deve se limitar ao patch: e necessário validar integridade do dispositivo, rotas, contas administrativas, configurações exportadas e destinos de saida.

  • Revisar acessos ao User-ID Authentication Portal vindos de redes não confiaveis.
  • Procurar artefatos e conexoes associados a EarthWorm e ReverseSocks5.
  • Tratar appliances expostos antes da correção como candidatos a investigacao de comprometimento.
APIs da Schemata

A plataforma Schemata, usada para treinamento virtual com IA em contexto militar e de defesa, apresentou exposição por endpoints de API sem verificacoes de autorização significativas. Um usuário comum, com baixo privilégio, conseguia acessar informações alem do proprio escopo de locatario, incluindo listas de usuários, registros de organizacao, dados de cursos, metadados de treinamento e links diretos para documentos armazenados em instancias Amazon Web Services.

O ponto técnico relevante e a quebra de isolamento entre locatarios. Mesmo sem evidencia pública de exploração por terceiros, a falha representa risco material porque o controle de acesso deveria ser aplicado no servidor para cada objeto consultado, não apenas por interface ou por suposicao de que um usuário acessaria somente o proprio ambiente. A resposta defensiva exige revisao de autorização por objeto, logs de requisições historicas, análise de acessos a links diretos em armazenamento cloud e invalidacao de URLs ou credenciais que possam ter sido expostas.

  • Auditar APIs que retornam objetos por identificadores previsiveis ou sem verificacao de locatario.
  • Validar logs de acesso a objetos hospedados em AWS vinculados a documentos de treinamento.
  • Revisar permissões de contas de baixo privilégio e testes automatizados de controle horizontal.
ScreenConnect via JPEG

Uma campanha em multiplos estagios usou um payload PowerShell disfarçado como arquivo de imagem JPEG para entregar uma instancia trojanizada do ConnectWise ScreenConnect. O arquivo sysupdate.jpeg foi associado a iscas de phishing, anexos maliciosos, compartilhamento enganoso de arquivos ou falsas atualizações. A técnica tenta explorar confianca visual e validacoes superficiais de extensao, ao mesmo tempo em que usa software de acesso remoto reconhecido em ambientes corporativos.

O risco operacional está na mistura de execução de script e ferramenta legitima de administracao remota. Depois que o usuário executa o artefato, a cadeia pode instalar acesso remoto persistente com menor chance de ser bloqueada por controles que permitem ScreenConnect para suporte técnico. A defesa deve correlacionar criacao de processos PowerShell com arquivos de extensao incomum, conexoes subsequentes para infraestrutura de RMM, instalações fora do padrao corporativo e certificados, caminhos ou nomes de instancia que não correspondam ao inventario aprovado.

  • Bloquear execução de scripts a partir de diretorios de download e anexos de email.
  • Inventariar instancias autorizadas de ScreenConnect e alertar para novas instalações.
  • Correlacionar sysupdate.jpeg com chamadas PowerShell, criacao de servicos e conexoes externas.
HumanitarianBait

A campanha descrita como HumanitarianBait usa tema de ajuda humanitaria para atingir individuos ou entidades de lingua russa. A entrega ocorre por email de phishing contendo um arquivo LNK dentro de um RAR, apresentado como formulario de solicitacao. Ao ser executado, o fluxo exibe um documento isca enquanto implanta silenciosamente um implante Python ofuscado e sem PE tradicional, reduzindo a dependencia de binarios convencionais em disco.

O payload e recuperado a partir de GitHub Releases, o que permite que o tráfego se confunda com uso legitimo de infraestrutura de desenvolvimento. As capacidades citadas incluem coleta de credenciais, registro de teclas, captura de area de transferencia, screenshots, exfiltracao de dados sensiveis e acesso remoto encoberto. A investigacao deve buscar arquivos RAR com LNK, execucoes de interpretador Python não autorizadas, conexoes para GitHub Releases logo após abertura de documentos e atividades de captura de tela ou clipboard fora de ferramentas aprovadas.

  • Alertar para LNK extraido de arquivos compactados recebidos por email.
  • Monitorar Python iniciado por processos de shell, arquivadores ou clientes de email.
  • Inspecionar downloads de GitHub Releases em estacoes que não realizam desenvolvimento.
GhostLock em SMB

GhostLock demonstra abuso de comportamento documentado de compartilhamento de arquivos em SMB. Um usuário de dominio com acesso de leitura a um compartilhamento pode chamar CreateFileW com dwShareMode = 0x00000000 e manter arquivos em estado de bloqueio exclusivo por tempo indefinido. Outros clientes passam a receber STATUS_SHARING_VIOLATION (0xC0000043) ao tentar acessar os mesmos objetos, causando indisponibilidade para fluxos de ERP, filas de trabalho e compartilhamentos operacionais.

A técnica não depende de criptografia, não exige privilégio elevado e não produz os sinais classicos de ransomware que modifica extensoes ou escreve notas de resgate. A contenção precisa focar sessoes SMB, identificacao de handles abertos por tempo anormal, encerramento de conexoes do usuário responsavel e segmentacao de permissões em compartilhamentos críticos. Como o comportamento preserva uma propriedade de integridade do sistema de arquivos, o controle preventivo deve combinar minimo privilégio, quotas operacionais, alertas de bloqueio prolongado e planos de continuidade para dependencias SMB.

  • Monitorar handles SMB exclusivos mantidos por usuários comuns por periodo incomum.
  • Criar alertas para volume elevado de STATUS_SHARING_VIOLATION em compartilhamentos críticos.
  • Revisar grupos de leitura ampla em pastas usadas por sistemas de negocio.
cURL e Mythos

A verificacao do cURL pelo modelo Anthropic Mythos apontou cinco vulnerabilidades confirmadas inicialmente, mas apenas uma foi reconhecida como bug real de baixa severidade; as demais foram falsos positivos. A divulgação técnica completa foi reservada para a proxima versão 8.21.0, planejada para o fim de junho, com emissao de CVE de baixa gravidade para a falha validada.

O caso e relevante para AppSec porque mostra tanto o valor quanto o limite de analisadores baseados em IA. A ferramenta pode acelerar descoberta de padroes suspeitos em código, mas o resultado ainda exige reproducao, revisao por mantenedores, análise de explorabilidade e classificacao de impacto. Equipes que incorporam IA em revisao de código devem tratar achados como hipoteses técnicas, integrar o fluxo a testes e evitar abertura de incidentes sem validação objetiva.

  • Acompanhar a publicação do cURL 8.21.0 para detalhes do CVE de baixa severidade.
  • Registrar falsos positivos de analisadores de IA para calibrar regras e prompts internos.
  • Exigir prova de impacto antes de classificar achados automatizados como vulnerabilidades exploraveis.
crpx0

A campanha com crpx0 usa a promessa de contas gratuitas do OnlyFans para induzir download de um arquivo ZIP. Dentro do pacote ha um atalho malicioso que executa comandos ocultos; em seguida, um carregador VBScript prepara o ambiente e instala componentes necessarios para execução de código Python. A cadeia foi observada contra Windows e macOS, o que amplia a superficie para usuários finais fora de um unico ecossistema.

Depois que o script Python está ativo, a maquina passa a se comunicar com servidor remoto para receber comandos, atualizar o malware ou implantar payloads adicionais. As capacidades incluem perfilamento do sistema, sequestro de area de transferencia para roubo de criptomoedas, coleta de seed phrases e implantacao de ransomware. A resposta deve combinar bloqueio de atalhos vindos de arquivos compactados, restricao de VBScript, telemetria de Python em endpoints de usuário comum e revisao de transacoes ou enderecos copiados em ambientes com ativos digitais.

  • Detectar .lnk executado a partir de ZIP baixado pelo navegador.
  • Alertar para wscript ou cscript iniciando instaladores, Python ou shells.
  • Investigar alteracoes de clipboard envolvendo enderecos de criptomoedas e seed phrases.
ClickFix com PySoxy

Uma campanha ClickFix via site comprometido evoluiu de execução pontual pelo usuário para pos-exploração modular. Um comando executado manualmente pelo alvo levou a persistencia, reconhecimento de dominio, canal inicial de C2 baseado em PowerShell e um segundo caminho de comando e controle por PySoxy, um proxy SOCKS5 em Python de código aberto. O uso de uma ferramenta pública dificulta classificacao imediata como malware quando não ha contexto de execução.

O impacto principal e a criacao de acesso proxy criptografado sem depender de RMM conhecido ou familias amplamente assinadas. Para defesa, o ponto de captura e a sequencia: navegador acessando site comprometido, usuário copiando ou executando comando, criacao de tarefa agendada, PowerShell com conexao externa, enumeracao de dominio e processo Python atuando como proxy. Contenção deve remover persistencia, cortar egress para destinos suspeitos, preservar historico de comandos e revisar credenciais usadas no host.

  • Monitorar criacao de tarefas agendadas após navegacao para paginas que instruem execução de comandos.
  • Detectar PySoxy ou proxies SOCKS5 iniciados em estacoes de trabalho.
  • Correlacionar PowerShell, reconhecimento de dominio e conexoes externas no mesmo intervalo.
Tokenizador em IA

A técnica de adulteracao de tokenizador mostra que a modificacao do arquivo tokenizer.json em modelos hospedados em repositorios Hugging Face pode alterar diretamente a saida do modelo sem mexer nos pesos, sem entrada adversarial e sem conhecimento da arquitetura interna. Como esse arquivo acompanha o modelo e e carregado automaticamente durante a inicializacao de inferencia, ele vira uma superficie de ataque de cadeia de suprimentos para sistemas de IA.

O efeito pode atingir respostas conversacionais, argumentos de chamadas de ferramentas e qualquer texto gerado. Em um sistema com agentes ou ferramentas conectadas, a adulteracao pode inserir chamadas furtivas, alterar parametros ou induzir exfiltracao de dados sensiveis. O ataque foi descrito como aplicável a formatos Safetensors, ONNX e GGUF. Controles defensivos devem incluir fixacao de versão e hash de artefatos, revisao de tokenizer.json, assinatura de modelos, ambientes isolados para inferencia e validação de chamadas de ferramenta antes da execução.

  • Verificar hash e origem de tokenizer.json junto dos pesos do modelo.
  • Comparar alteracoes de tokenizador em pull requests ou atualizações de modelo.
  • Aplicar politica de aprovacao para tool calls geradas por modelos de origem externa.
Teams e ModeloRAT

A cadeia com Microsoft Teams usa mensagens de uma falsa conta de suporte de TI para iniciar interacao com a vitima. O abuso de acesso externo no Teams permite entregar um payload Python hospedado no Dropbox, identificado como ModeloRAT, que estabelece comando e controle, instala backdoors e inicia mapeamento do ambiente interno. O uso de uma plataforma colaborativa corporativa reduz a friccao social e pode passar por conversas esperadas de suporte.

Na etapa posterior, os operadores elevaram privilégios para SYSTEM usando CVE-2023-36036 e implantaram uma falsa tela de bloqueio do Windows para capturar a senha de dominio do usuário. A campanha tambem envolveu movimento lateral para um segundo host, uso de ferramenta legitima como DumpIt para coletar memória do sistema e provavel exfiltracao por servico anonimo de compartilhamento de arquivos. A atividade foi associada a um corretor de acesso inicial financeiramente motivado rastreado como KongTuke, mas a atribuição deve ser tratada como operacional e não como prova unica em ambiente local.

  • Restringir ou revisar acesso externo no Microsoft Teams.
  • Detectar downloads de payloads Python a partir de Dropbox iniciados por conversas recentes.
  • Alertar para falsa tela de bloqueio, uso de DumpIt e exploração de CVE-2023-36036.
Supply chain

O ator TeamPCP, relacionado anteriormente ao comprometimento de pacotes npm do TanStack, anunciou em forum uma competicao de ataques de cadeia de suprimentos com premio de 1000 dolares em Monero. O anúncio incluiu disponibilizacao do worm Shai-Hulud em uma CDN do forum e tambem em GitHub antes de remocao. As regras descritas exigiam uso do worm e prova de acesso a ambientes de alvo, com pontuacao baseada em downloads semanais ou mensais dos pacotes comprometidos.

Do ponto de vista defensivo, o risco não está apenas no código publicado, mas na transformacao de comprometimento de pacotes em incentivo operacional para atores de menor maturidade. Repositorios npm, tokens de publicação, lockfiles, caches de CI/CD, variaveis de ambiente e maquinas de mantenedores devem ser tratados como ativos de alto valor. A resposta preventiva inclui rotacao de tokens, exigencia de MFA resistente a phishing, revisao de scripts de instalação, validação de integridade em pipelines e alerta para novas versões de dependencias que introduzam scripts ou chamadas de rede inesperadas.

  • Auditar pacotes npm internos e externos com scripts de instalação ou pos-instalação.
  • Rotacionar tokens de publicação e segredos de CI/CD expostos a dependencias de build.
  • Monitorar alteracoes repentinas em pacotes de alto volume de download.
NATS-as-C2

Uma atividade de exploração de CVE-2026-33017, falha RCE não autenticada no Langflow, usou um servidor NATS como canal de comando e controle. Em vez de paineis HTTP tradicionais ou plataformas de chat, o operador utilizou NATS, um sistema de mensageria de alto desempenho, para coordenar a comunicacao. Durante cerca de trinta minutos de atividade interativa, o endereco 159.89.205.184, hospedado na DigitalOcean, baixou um worker Python e um binário Go.

A técnica amplia o conjunto de protocolos que precisam ser considerados em egress filtering e hunting. Ambientes Langflow expostos devem ser corrigidos, isolados e revisados para downloads de executaveis após exploração. Em rede, conexoes NATS inesperadas a partir de workloads que não usam mensageria devem gerar investigacao, especialmente quando combinadas com criacao de processos Python ou binarios Go recem-baixados. A contenção deve preservar artefatos, bloquear o destino, validar chaves e credenciais manipuladas pelo Langflow e reconstruir instancias quando houver indicio de execução remota.

  • Aplicar correção ou isolar instancias Langflow afetadas por CVE-2026-33017.
  • Investigar conexoes para 159.89.205.184 e tráfego NATS fora de sistemas autorizados.
  • Procurar workers Python e binarios Go baixados após exploração de servicos expostos.
Medidas de mitigação

A ordem de resposta deve separar exposição crítica, comprometimento provavel e melhoria estrutural. Primeiro, corrigir PAN-OS e Langflow expostos, reduzir acesso publico desnecessario e revisar sinais de exploração anterior. Depois, investigar endpoints com execução recente de PowerShell, Python, VBScript, LNK, tarefas agendadas e ferramentas de acesso remoto fora do inventario. Em paralelo, revisar permissões de APIs multi-tenant, configurações de Microsoft Teams, politica de downloads de repositorios de modelos e controles de publicação em registros de pacotes.

A validação precisa ser baseada em telemetria concreta: processo pai e filho, linha de comando, criacao de persistencia, conexoes de saida, objetos cloud acessados, eventos de autenticação e alteracoes em dependencias. Onde houver indicio de roubo de credenciais, a rotacao deve cobrir senhas de dominio, tokens de CI/CD, chaves de API, credenciais cloud e segredos consumidos por modelos ou agentes. Backups e continuidade tambem devem ser testados contra cenarios sem criptografia, como bloqueio SMB exclusivo, porque indisponibilidade pode ocorrer sem os marcadores tradicionais de ransomware.

  • Priorizar patch de servicos exploraveis sem autenticação e appliances de borda.
  • Bloquear execução de scripts e atalhos de origem não confiavel em endpoints de usuário.
  • Auditar canais colaborativos externos, repositorios de modelos, dependencias npm e egress para protocolos incomuns.
  • Rotacionar segredos quando houver evidencia de acesso remoto, exfiltracao, memória coletada ou comprometimento de pipeline.
  • Criar detecções para CVE-2026-0300, CVE-2026-33017, ModeloRAT, PySoxy, crpx0, ReverseSocks5, EarthWorm e abuso de tokenizer.json.