O briefing de segurança de hoje acompanha três sinais concretos: a correção SSO do Webex da Cisco que ainda exige ação do cliente, o botnet PowMix da Talos contra trabalhadores checos com comportamento C2 discreto e a lógica de sabotagem OT do ZionSiphon sobre controlos de cloro e pressão no setor da água.
Top line: O padrão desta manhã é abuso de confiança em três camadas ao mesmo tempo: identidade, cadeias de entrega para a força de trabalho e lógica de controlo industrial. As equipas de defesa não devem tratar isto como filas separadas.
A Cisco corrigiu a CVE-2026-20184 no Webex Services, uma falha de validação de certificado na integração SSO com o Control Hub que poderia permitir a um atacante não autenticado fazer-se passar por qualquer utilizador. A correção do lado do serviço não chega: as organizações que usam SSO também precisam de carregar um novo certificado SAML para o seu fornecedor de identidade para evitar interrupções e fechar realmente a falha.
A Cisco Talos revelou o PowMix, um botnet até agora não documentado, ativo pelo menos desde dezembro de 2025 e direcionado para a força de trabalho na República Checa. O malware usa intervalos aleatórios de beaconing, esconde dados de heartbeat cifrados em caminhos URL que parecem tráfego REST API e pode atualizar dinamicamente o domínio C2. A Talos também observou sobreposições táticas com a atividade ZipLine e infraestruturas apoiadas em Heroku.
Os investigadores dizem que a amostra atual do ZionSiphon está quebrada por um erro de validação, mas a intenção é óbvia e perigosa. O malware procura intervalos de IP israelitas e software de tratamento de água e depois tenta alterar dose de cloro, estado de válvulas, estado de bombas e pressão de osmose inversa. Também inclui propagação via USB, algo relevante em ambientes industriais ainda dependentes de suportes amovíveis.
Bottom line: A principal lição de hoje é simples: os atacantes não querem saber se a fraqueza está na identidade, no fluxo de trabalho do utilizador ou no controlo de processos físicos. Se transporta confiança, é um alvo.
A KENSAI ajuda equipas a verificar caminhos de identidade expostos, cadeias de ataque guiadas por phishing e risco operacional real antes de a confiança virar compromisso.
Iniciar scan grátis →Mantenha-se atento.
🗡️ KENSAI Security Team