← Voltar ao blog
Briefing de segurança5 min read2026-05-03

Briefing de segurança, 3 de maio de 2026: ransomware em cPanel, ConsentFix v3, Copy Fail e resposta a incidente da Instructure

O padrão feio desta manhã é o colapso de confiança em escala: painéis de hospedagem, fluxos OAuth, suposições de memória no Linux e plataformas educacionais mostram como infraestrutura “normal” vira caminho de ataque.


Linha principal: Quatro histórias importam agora: servidores cPanel estão sendo atingidos rápido o bastante para a CISA impor um prazo federal, ConsentFix v3 industrializa o roubo de tokens do Azure, Copy Fail coloca uma enorme base Linux a um passo local de root, e a Instructure ainda tenta limitar o impacto de um novo incidente.


1. cPanel foi de bug crítico a problema ativo de ransomware quase imediatamente

CVE-2026-41940 não é mais algo para “corrigir depois”. Atacantes estão explorando em massa o bypass de autenticação do cPanel e WHM, e o BleepingComputer relata que isso já está sendo usado para implantar o ransomware Linux Sorry. O The Record diz que a CISA ordenou correção até 3 de maio para agências federais, o que mostra o tamanho da urgência.


2. ConsentFix v3 torna o roubo OAuth no Azure mais escalável e convincente

ConsentFix já era perigoso porque abusava de um fluxo legítimo de autorização da Microsoft em vez de roubar senhas. A versão 3 adiciona automação: validação do tenant, perfilamento de vítimas, infraestrutura de phishing, troca de tokens em tempo real via Pipedream e acesso pós-compromisso mais rápido a recursos Microsoft. MFA sozinho não salva aqui.


3. Copy Fail é o tipo de bug Linux que destrói silenciosamente fronteiras de confiança na nuvem

Copy Fail, rastreado como CVE-2026-31431, afeta distribuições Linux importantes desde 2017 e pode dar root a um usuário de baixo privilégio. Pior: também pode permitir escape de contêiner em hosts afetados. A Theori encontrou a falha com análise assistida por IA, a CERT-EU pediu patch rápido e o alcance de plataforma é amplo o bastante para colocar isso no topo da lista de qualquer time sério de infraestrutura.


4. O incidente da Instructure lembra que plataformas educacionais continuam sendo alvos valiosos

A Instructure divulgou um novo incidente de cibersegurança e disse que ainda investiga o impacto com apoio forense externo. Manutenção no Canvas Data 2 e no Canvas Beta, somada a alertas sobre ferramentas dependentes de chaves de API, já torna o assunto operacionalmente relevante antes mesmo dos fatos completos. Essas plataformas guardam grandes volumes de dados de alunos e funcionários; ambiguidade aqui é risco.


O que as equipes de segurança devem fazer hoje

  1. Corrigir cPanel e WHM agora e depois investigar comprometimento em vez de parar em checagens de versão.
  2. Expandir a detecção para abuso OAuth no Azure, especialmente emissão de tokens e fluxos de consentimento suspeitos.
  3. Empurrar Copy Fail para o topo da fila de patching de Linux e hosts de contêiner.
  4. Revisar a exposição operacional à Instructure e se preparar para impactos posteriores em API, dados e confiança.

Fontes


Resumo final: Hoje não é sobre um único zero-day chamativo. É sobre infraestrutura rotineira provando que atalhos de confiança não sobrevivem ao contato com atacantes motivados.

Encontre as quebras de confiança antes que atacantes as encadeiem

A KENSAI ajuda equipes a identificar caminhos administrativos expostos, fluxos de identidade arriscados e fragilidades de infraestrutura antes que virem ransomware, roubo de tokens ou comprometimento total do host.

Iniciar varredura gratuita →

Mantenha-se afiado.

🗡️ Equipe de Segurança KENSAI