← Voltar ao blog
Security Briefing4 min de leitura2026-04-17

Briefing de segurança, 17 de abril de 2026: ação no Cisco Webex, botnet PowMix e sabotagem OT do ZionSiphon

O briefing de segurança de hoje acompanha três sinais concretos: a correção SSO do Webex da Cisco que ainda exige ação do cliente, o botnet PowMix da Talos contra trabalhadores checos com comportamento C2 discreto e a lógica de sabotagem OT do ZionSiphon sobre controlos de cloro e pressão no setor da água.


Top line: O padrão desta manhã é abuso de confiança em três camadas ao mesmo tempo: identidade, cadeias de entrega para a força de trabalho e lógica de controlo industrial. As equipas de defesa não devem tratar isto como filas separadas.


1. A Cisco corrigiu o Webex, mas os clientes ainda têm trabalho

A Cisco corrigiu a CVE-2026-20184 no Webex Services, uma falha de validação de certificado na integração SSO com o Control Hub que poderia permitir a um atacante não autenticado fazer-se passar por qualquer utilizador. A correção do lado do serviço não chega: as organizações que usam SSO também precisam de carregar um novo certificado SAML para o seu fornecedor de identidade para evitar interrupções e fechar realmente a falha.


2. O PowMix mostra como o phishing se mistura cada vez melhor com o tráfego legítimo

A Cisco Talos revelou o PowMix, um botnet até agora não documentado, ativo pelo menos desde dezembro de 2025 e direcionado para a força de trabalho na República Checa. O malware usa intervalos aleatórios de beaconing, esconde dados de heartbeat cifrados em caminhos URL que parecem tráfego REST API e pode atualizar dinamicamente o domínio C2. A Talos também observou sobreposições táticas com a atividade ZipLine e infraestruturas apoiadas em Heroku.


3. O ZionSiphon é um aviso sério para operadores de água e dessalinização

Os investigadores dizem que a amostra atual do ZionSiphon está quebrada por um erro de validação, mas a intenção é óbvia e perigosa. O malware procura intervalos de IP israelitas e software de tratamento de água e depois tenta alterar dose de cloro, estado de válvulas, estado de bombas e pressão de osmose inversa. Também inclui propagação via USB, algo relevante em ambientes industriais ainda dependentes de suportes amovíveis.


O que as equipas de segurança devem fazer hoje

  1. Concluir a rotação do certificado Cisco Webex SSO e verificá-la, não apenas o estado do patch do fornecedor.
  2. Alinhar equipas de e-mail, identidade e endpoint sobre iscos PowMix e execução via PowerShell.
  3. Para operadores OT, testar se alterações não autorizadas ao cloro ou à pressão seriam detetadas suficientemente depressa.
  4. Dar à liderança uma atualização simples que una confiança na colaboração, phishing da força de trabalho e sabotagem industrial num só risco.

Bottom line: A principal lição de hoje é simples: os atacantes não querem saber se a fraqueza está na identidade, no fluxo de trabalho do utilizador ou no controlo de processos físicos. Se transporta confiança, é um alvo.

Feche as falhas de confiança antes de virarem pontes para incidentes

A KENSAI ajuda equipas a verificar caminhos de identidade expostos, cadeias de ataque guiadas por phishing e risco operacional real antes de a confiança virar compromisso.

Iniciar scan grátis →

Mantenha-se atento.

🗡️ KENSAI Security Team