O padrão de hoje é feio, mas claro: appliances de borda, caixas de e-mail e fluxos de confiança do helpdesk estão sendo abusados de formas que sobrevivem a uma remediação superficial.
Resumo: Três histórias merecem atenção imediata nesta manhã: malware em firewall que sobrevive ao ciclo de patches, uma plataforma de e-mail com milhares de servidores expostos ainda vulneráveis e um grupo de extorsão guiado por vishing que transforma fluxos normais de suporte em caminhos de invasão.
A CISA e o NCSC do Reino Unido alertam que o backdoor Firestarter pode persistir em dispositivos Cisco Firepower e Secure Firewall mesmo após reinicializações, atualizações de firmware e patches de segurança. O malware, ligado a um ator de espionagem rastreado pela Cisco, se prende ao processo LINA, se reinstala quando é encerrado e pode ser acionado por tráfego WebVPN especialmente preparado. A orientação da Cisco é direta: versões corrigidas importam, mas o caminho de limpeza recomendado é o reimaging do equipamento.
A Shadowserver afirma que mais de 10.500 servidores Zimbra Collaboration Suite expostos na internet continuam vulneráveis ao CVE-2025-48700, uma falha XSS que a CISA já listou como explorada ativamente. O problema afeta várias linhas do ZCS e pode permitir que atacantes não autenticados executem JavaScript dentro da sessão de webmail da vítima quando um e-mail malicioso é aberto na Classic UI. Isso importa porque o Zimbra tem longo histórico como trampolim para roubo de e-mails e campanhas ligadas a Estados.
A BlackFile está sendo associada a uma onda de ataques de extorsão guiados por vishing contra varejo e hotelaria. Os atacantes se passam por suporte de TI, roubam credenciais e códigos de uso único por meio de páginas falsas de login e depois registram seus próprios dispositivos para contornar a MFA. A partir daí, saqueiam sistemas como Salesforce e SharePoint por APIs padrão, roubam arquivos sensíveis e aumentam a pressão com pedidos de resgate e até swatting.
Conclusão: O padrão de hoje é feio, mas claro: appliances de borda, caixas de e-mail e fluxos de confiança do helpdesk estão sendo abusados de formas que sobrevivem a uma remediação superficial.
A KENSAI ajuda equipes a revelar caminhos de ataque expostos em appliances de borda, sistemas de e-mail, fluxos de identidade e ferramentas em nuvem antes que atacantes transformem processos normais em infraestrutura de invasão.
Scan grátis →Fique afiado.
🗡️ Equipe de Segurança KENSAI