← Voltar ao blog
Briefing de segurança5 min read2026-05-05

Briefing de segurança, 5 de maio de 2026: RCE do Weaver, Copy Fail, backdoor no PyTorch Lightning e phishing com Amazon SES

O padrão desta manhã é alavancagem do atacante por infraestrutura confiável: software de workflow, kernels Linux, dependências de desenvolvimento e e-mail cloud legítimo viraram caminhos rápidos de ataque assim que os times presumiram que o canal em si era seguro.


Resumo: Corrija rápido o Weaver E-cology e os kernels Linux, remova o lightning 2.6.3 em qualquer lugar onde tenha sido importado, rotacione segredos expostos e trate o abuso do Amazon SES como problema de identidade em nuvem, não só de filtragem de e-mail.


1. O Weaver E-cology mostra de novo que caminhos ocultos de debug viram caminhos reais de intrusão

A BleepingComputer relata que a CVE-2026-22679 no Weaver E-cology vem sendo explorada desde meados de março. A Vega descreve uma RCE sem autenticação por uma API de debug exposta que deixava parâmetros controlados pelo atacante alcançarem funções RPC de backend e comandos do sistema. A atividade observada incluiu reconhecimento, payloads em PowerShell e busca repetida de scripts sem arquivo.


2. O Copy Fail já saiu do paper e virou risco real de root

A CISA adicionou a CVE-2026-31431, chamada Copy Fail, ao catálogo KEV um dia após a divulgação pública. A falha fica na interface algif_aead e permite que usuários locais sem privilégio obtenham root gravando bytes controlados no page cache de qualquer arquivo legível. A Theori afirma que o mesmo exploit funcionou de forma confiável em Ubuntu, Amazon Linux, RHEL e SUSE.


3. O PyTorch Lightning 2.6.3 transformou uma dependência popular de IA em armadilha de segredos no import

Uma versão maliciosa do lightning 2.6.3 no PyPI baixava Bun automaticamente e executava uma carga JavaScript ofuscada no momento do import. Segundo o relato, a carga mirava dados de navegador, arquivos .env, chaves de API, credenciais de nuvem e também suportava execução arbitrária de comandos. Com mais de 11 milhões de downloads por mês, não é preciso grande escala para causar uma quebra séria de confiança.


4. O phishing com Amazon SES mostra como a confiança na nuvem neutraliza defesas baseadas em reputação

A Kaspersky observou aumento de phishing enviado por Amazon SES, muitas vezes viabilizado por chaves AWS IAM vazadas em repositórios públicos, arquivos .env, backups, imagens ou buckets S3 expostos. Como as mensagens saem da infraestrutura legítima do SES, podem passar por SPF, DKIM e DMARC e reduzir bastante a eficácia de bloqueios tradicionais.


O que as equipes de segurança devem fazer hoje

  1. Corrigir Weaver E-cology e kernels Linux vulneráveis antes de qualquer trabalho de higiene de prioridade menor.
  2. Verificar inventários de software e pipelines de CI em busca do lightning 2.6.3 e depois rotacionar cada segredo afetado.
  3. Revisar caminhos de exposição do AWS IAM e tratar o abuso do SES como falha de identidade e gestão de segredos.
  4. Alinhar os responders ao tema do dia: infraestrutura confiável também precisa ser verificada, seja endpoint de debug, kernel, pacote ou e-mail cloud.

Fontes


Resumo final: A falha comum de hoje é confiar demais em canais que parecem legítimos. A resposta é feia, mas correta: corrigir rápido, rotacionar segredos sem discussão e verificar cada plataforma confiável como se ela já estivesse no caminho do ataque.

Encontre primeiro os caminhos confiáveis que os atacantes vão abusar

A KENSAI ajuda equipes a mapear serviços expostos, caminhos fracos de identidade, dependências arriscadas e superfícies cloud antes que infraestrutura confiável vire combustível para incidentes.

Iniciar varredura grátis →

Fique atento.

🗡️ KENSAI Security Team