← Voltar ao blog
Briefing de segurança4 min read2026-04-29

Briefing de segurança, 29 de abril de 2026: roubo de segredos no LiteLLM, escalada PhantomRPC no Windows e violação de fornecedor na Vimeo

O padrão de hoje é feio e consistente: middleware confiável, encanamento confiável do sistema operacional e fornecedores confiáveis estão sendo usados como pontos de ruptura de alta alavancagem.


Resumo: Três histórias importam nesta manhã: exploração ativa do LiteLLM mirando diretamente credenciais de provedores de modelos, um caminho sem correção de escalada de privilégio no Windows chamado PhantomRPC e a Vimeo confirmando que uma violação em terceiro expôs dados de clientes.


1. O LiteLLM saiu da divulgação para o roubo de segredos em cerca de 36 horas

Atacantes estão explorando o CVE-2026-42208, uma SQL injection pré-autenticação na verificação de chaves API do proxy do LiteLLM. A Sysdig observou consultas dirigidas a tabelas com credenciais de provedores, chaves API, segredos de ambiente e dados de configuração. Isso importa porque o LiteLLM fica na frente de múltiplos provedores de modelos; uma instância exposta pode virar pivô para OpenAI, Anthropic, Bedrock e qualquer outro serviço gerenciado pelo proxy.


2. O PhantomRPC mostra que as fronteiras de privilégio do Windows continuam confiando demais

A pesquisa PhantomRPC da Kaspersky descreve uma fraqueza arquitetural no Windows RPC: o runtime não valida se um servidor RPC é legítimo antes de clientes privilegiados falarem com ele. Um serviço comprometido pode levantar um endpoint falso, esperar uma chamada RPC privilegiada e impersonar o chamador até SYSTEM. A Microsoft teria classificado o problema como moderado e não planeja correção imediata, então defensores precisam de controles compensatórios em vez de esperar mágica de Patch Tuesday.


3. A Vimeo confirmou o raio real da violação da Anodot

A Vimeo informou que invasores acessaram bancos com endereços de e-mail, dados técnicos e metadados de vídeo após comprometerem a plataforma de analytics Anodot. A empresa diz que conteúdo de vídeo, credenciais válidas e dados de cartão não foram expostos, mas isso continua sendo um problema clássico de confiança em fornecedores: integrações analíticas costumam ficar perto o bastante da produção para transformar um incidente no fornecedor em uma violação real. O grupo ShinyHunters reivindica a intrusão e ameaça vazar os dados se não houver pagamento até 30 de abril.

O que fazer hoje

Priorize primeiro a infraestrutura de IA exposta, depois feche as suposições frágeis de privilégio no Windows e por fim reaudite o acesso de fornecedores que todos esqueceram, mas que na prática já é produção. A falha comum aqui não é uma única classe de bug. É confiança mal colocada no tecido conectivo.

Fontes

  • BleepingComputer sobre a exploração ativa do LiteLLM (CVE-2026-42208).
  • SecurityWeek sobre a pesquisa PhantomRPC da Kaspersky.
  • SecurityWeek e a divulgação da Vimeo sobre a violação ligada à Anodot.