Briefing diário de ameaças
Quarta-feira, 18–19 de março de 2026 · 14 notícias de 4 fontes
⚡ TL;DR — As 5 coisas que precisa de saber
- Kit de exploits iOS «DarkSword» — Atores estatais utilizam uma cadeia de 6 vulnerabilidades para vigilância total de iPhone
- Zero-day Cisco FMC (CVE-2026-20131, CVSS 10.0) — Ransomware Interlock a explorar ativamente desde janeiro
- RCE GNU telnetd (CVE-2026-32746, CVSS 9.8) — Execução de código root sem autenticação e sem patch
- Escalada root no Ubuntu (CVE-2026-3888) — Instalações padrão do 24.04+ vulneráveis via bug de temporização no systemd
- Sanções da UE contra empresas chinesas e iranianas que apoiam operações de hacking contra Estados-membros
🔓 Violações de dados e exposições
Aura confirma violação que expôs 900.000 contactos de marketing
A empresa de proteção de identidade Aura confirmou acesso não autorizado a quase 900.000 registos de clientes contendo nomes e endereços de e-mail. A ironia de uma empresa de proteção de identidade ser violada sublinha que nenhuma empresa está imune.
Marquis: gangue de ransomware roubou dados de 672.000 pessoas
O prestador texano de serviços financeiros Marquis divulgou que um gangue de ransomware roubou dados de mais de 670.000 pessoas num ataque em agosto de 2025 que também perturbou as operações de 74 bancos nos Estados Unidos.
UK Companies House expôs detalhes de milhões de empresas
A agência governamental britânica confirmou uma vulnerabilidade que poderia ter sido explorada para obter detalhes de empresas e alterar registos de milhões de empresas registadas.
Hackers iranianos usaram credenciais roubadas na violação da Stryker
O gigante de tecnologia médica Stryker está a restaurar os seus sistemas após o grupo de hacking Handala, ligado ao Irão, ter usado credenciais roubadas por malware para penetrar na sua rede.
🛡️ Vulnerabilidades críticas
Zero-day Cisco FMC — CVE-2026-20131 (CVSS 10.0)
A desserialização insegura de fluxos de bytes Java no Cisco Secure Firewall Management Center permite a atacantes remotos não autenticados obter acesso root. O gangue do ransomware Interlock tem explorado esta falha como zero-day desde finais de janeiro de 2026.
Impacto KENSAI: Qualquer organização que utilize o Cisco FMC deve aplicar o patch imediatamente. Esta é a classificação de severidade mais alta possível e está a ser ativamente armada.
RCE GNU Telnetd — CVE-2026-32746 (CVSS 9.8)
Escrita fora dos limites no tratamento LINEMODE Set do daemon telnet do GNU InetUtils permite execução remota de código sem autenticação com privilégios elevados. Atualmente sem patch — desative o telnetd se estiver em execução.
Impacto KENSAI: Infraestruturas legacy que ainda executam telnetd estão totalmente expostas. Mitigação imediata: desativar o serviço ou bloquear a porta 23 com firewall.
Escalada root no Ubuntu — CVE-2026-3888 (CVSS 7.8)
Um exploit de temporização entre snap-confine e systemd-tmpfiles permite a atacantes locais sem privilégios escalar para root completo no Ubuntu Desktop 24.04+. Requer uma janela de temporização de 10 a 30 dias mas resulta na comprometimento total do host.
Bypass Same-Origin do Apple WebKit — CVE-2026-20643
Um problema cross-origin na Navigation API do WebKit contorna a política same-origin no iOS, iPadOS e macOS. A Apple corrigiu-o através do seu novo mecanismo «Background Security Improvements» — a primeira vez que este sistema leve de entrega de patches foi utilizado.
Falha XSS do Zimbra — Ativamente explorada, CISA ordena correção
A CISA ordenou às agências federais dos EUA que corrijam uma vulnerabilidade XSS ativamente explorada no Zimbra Collaboration Suite. Os servidores de e-mail governamentais que utilizam ZCS estão em risco.
Falha de verificação de assinatura no ConnectWise ScreenConnect
A ConnectWise alertou para uma vulnerabilidade de verificação de assinatura criptográfica no ScreenConnect que poderia levar a acesso não autorizado e escalada de privilégios. Patch disponível agora.
9 falhas críticas em IP KVM — Acesso root sem autenticação
Nove vulnerabilidades em dispositivos GL-iNet, Angeet/Yeeso, Sipeed NanoKVM e JetKVM. Validação de firmware ausente, sem proteção contra força bruta, controles de acesso deficientes e interfaces de depuração expostas permitem tomada de controle total ao nível da BIOS.
Bypass #4 do View Once do WhatsApp — Meta não vai corrigir
Um investigador divulgou o quarto método para contornar a funcionalidade «Ver uma vez» do WhatsApp. A Meta confirmou que não vai corrigir porque requer uma aplicação cliente modificada.
💀 Ransomware e ataques ativos
Kit de exploits iOS «DarkSword» — Vigilância patrocinada por estados
Um novo kit de exploits que visa seis vulnerabilidades do iOS permite o comprometimento total do dispositivo para fins de vigilância. Utilizado por hackers patrocinados por estados e fornecedores de spyware comercial. Rouba dados de carteiras de criptomoedas e outras aplicações. Esta é uma cadeia de exploits completa — não um simples bug.
Impacto KENSAI: Organizações com alvos de alto valor (executivos, funcionários governamentais) devem garantir que todos os dispositivos iOS sejam atualizados imediatamente para a versão mais recente.
Rede de trabalhadores TI da DPRK sancionada pelo OFAC
O Tesouro dos EUA sancionou seis indivíduos e duas entidades envolvidas no esquema de trabalhadores remotos falsos da Coreia do Norte. Agentes da DPRK infiltram empresas sob identidades falsas para gerar receitas para programas de armamento.
UE sanciona empresas chinesas e iranianas por operações de hacking
A UE sancionou dois indivíduos chineses, duas empresas chinesas e uma empresa iraniana por apoiarem operações de hacking contra Estados-membros da UE. Significativo para o contexto de conformidade NIS2.
Impacto KENSAI: Organizações da UE ao abrigo da NIS2 devem atualizar os seus feeds de inteligência de ameaças. Estas sanções validam o modelo de ameaça estatal para o qual a NIS2 foi concebida.
Sistema de e-mail da Nordstrom sequestrado para fraudes crypto
Atacantes abusaram da infraestrutura legítima de e-mail da Nordstrom para enviar mensagens de fraude crypto a clientes, disfarçadas como promoção do Dia de São Patrício. Contornaram a autenticação de e-mail porque as mensagens vinham de endereços reais da Nordstrom.
🔧 Indústria e ferramentas
XBOW levanta $120M com avaliação superior a $1 mil milhões — Segurança ofensiva autónoma
A empresa de segurança ofensiva autónoma XBOW atingiu o estatuto de unicórnio com uma ronda de $120M. A sua plataforma de IA descobre e valida autonomamente vulnerabilidades de software — território de concorrência direta com os testes de penetração automatizados da KENSAI.
Impacto KENSAI: Valida o mercado de testes de segurança alimentados por IA. A avaliação da XBOW superior a $1 mil milhões comprova o apetite dos investidores. Diferenciador chave para a KENSAI: foco multilingue em conformidade NIS2 vs. abordagem pura de descoberta de vulnerabilidades da XBOW.
Startup cloud «Native» sai do modo stealth — $42M em financiamento
A startup de segurança cloud Native levantou $42M, com o ex-CISO da Google Cloud Phil Venables a juntar-se ao conselho de administração. Foco em segurança cloud-native.
Manifold levanta $8M para deteção e resposta com IA
Focada em proteger a IA autónoma em endpoints, a Manifold levantou $8M para investir no desenvolvimento de produtos de deteção de ameaças específicas de IA.
Gigantes tecnológicos investem $12,5M em segurança open source
Anthropic, AWS, Google, Microsoft e OpenAI financiam as iniciativas de segurança a longo prazo da Linux Foundation focadas na segurança de software de código aberto.
📡 Padrões de ameaças emergentes
Infraestrutura de IA sob ataque — Amazon Bedrock, LangSmith, SGLang
Novas investigações mostram que ambientes de execução de código de IA podem ser explorados via consultas DNS para exfiltração de dados. A sandbox do Amazon Bedrock AgentCore permite DNS de saída que os atacantes exploram para shells interativos. LangSmith e SGLang também estão afetados. A pilha de IA está a tornar-se uma superfície de ataque de primeira classe.
Impacto KENSAI: A segurança da IA já não é teórica — é uma superfície de ataque ativa. Isto valida o posicionamento da KENSAI em torno dos testes de segurança de IA. As empresas que implementam agentes de IA precisam de scanning de segurança.
67% dos CISO têm visibilidade limitada sobre o uso de IA
O relatório de referência 2026 da Pentera concluiu que 67% dos CISO têm visibilidade limitada sobre como a IA é utilizada nas suas organizações. Nenhum inquirido reportou visibilidade total. A adoção de IA ultrapassa os controlos de segurança — as ferramentas e competências que defendem os sistemas de IA são de uma era passada.
IA sombra em apps SaaS a permitir violações massivas
A IA sombra oculta dentro de aplicações SaaS está a criar caminhos de dados descontrolados. As funcionalidades de IA agêntica auto-ativadas nas ferramentas que os colaboradores já utilizam significam que as equipas de segurança têm zero visibilidade sobre que dados são processados e para onde vão.
Ataques baseados no navegador a contornar controlos de segurança
O relatório da Push Security destaca o phishing AITM, ClickFix, aplicações OAuth maliciosas e sequestro de sessão como os vetores de ataque por detrás das maiores violações atuais — todos a operar dentro do navegador onde as ferramentas de segurança tradicionais têm visibilidade limitada.
Magecart evolui: cargas úteis ocultas em dados EXIF de favicons dinâmicos
Uma nova técnica Magecart oculta cargas úteis maliciosas dentro dos dados EXIF de favicons de terceiros carregados dinamicamente. Como o código malicioso nunca toca o repositório, nenhum scanner de código estático — incluindo os alimentados por IA — o detetará. Apenas a monitorização em tempo real do lado do cliente pode capturá-lo.