剣 KENSAI
← Back to archive
KENSAI Intelligence

Boletim de Segurança

2026-03-20 · Quinta-feira → Sexta-feira · 04:00 CET
3
Vazamentos de dados
6
CVEs críticos
3
Zero-Days
4
Rodadas de investimento

⚡ TL;DR — O que importa hoje

  • Kit de exploração iOS DarkSword — segundo kit iOS de cadeia completa em um mês, 3 zero-days, grupo de espionagem russo UNC6353 visando a Ucrânia. iOS 18.4–18.7 afetados.
  • Hacktivistas Handala apagaram 80.000 dispositivos Stryker via Microsoft Intune — FBI apreendeu seu site de vazamentos. CISA publicou orientações de fortificação do Intune.
  • PolyShell RCE em todos os Magento/Adobe Commerce v2 — execução de código sem autenticação via upload de arquivos poliglotas. Nenhum patch de produção disponível.
  • Zero-day do Cisco FMC explorado pelo ransomware Interlock desde janeiro — Amazon encontrou ligações com a Rússia.
  • Vazamento da Navia impacta 2,7 M de pessoas — dados sensíveis de benefícios expostos.
  • APT28 (Rússia) explorando falha de sanitização CSS do Zimbra contra o governo ucraniano.
  • 9 vulnerabilidades críticas de IP KVM em 4 fabricantes — acesso root sem autenticação a nível de BIOS.
🔓

Vazamentos de dados

Navia Benefit Solutions — 2,7 milhões de registros expostos

A administradora de benefícios Navia divulgou um vazamento afetando quase 2,7 milhões de pessoas. Os atacantes acessaram informações pessoais sensíveis, incluindo dados de benefícios, números de seguro social e registros financeiros. A empresa está fornecendo serviços de monitoramento de crédito às pessoas afetadas.

CRÍTICO 2,7 M AFETADOS fonte →

Aura Security — 900.000 registros via phishing

Ironia do destino: a empresa de proteção de identidade Aura divulgou um vazamento impactando 900.000 registros. Um funcionário foi vítima de um ataque direcionado de phishing por telefone (vishing), dando aos atacantes acesso a uma ferramenta de marketing contendo dados de clientes.

ALTO 900K REGISTROS fonte →

Vazamento de dados Marquis — 672.000 confirmados

Revisado para baixo de uma estimativa inicial de 1,6 milhão, o vazamento da Marquis agora confirma 672.000 indivíduos afetados. Os tipos de dados e o vetor de ataque permanecem sob investigação.

ALTO 672K AFETADOS fonte →
⚠️

Vulnerabilidades críticas

Kit de exploração iOS DarkSword — 6 falhas, 3 Zero-Days

Google Threat Intelligence, iVerify e Lookout divulgaram conjuntamente "DarkSword" — um kit de exploração iOS de cadeia completa visando iOS 18.4–18.7. Explora 6 vulnerabilidades incluindo 3 zero-days (CVE-2026-20700, CVE-2025-43529, CVE-2025-14174). Utilizado pelo grupo russo UNC6353, fornecedores de vigilância comercial e atores patrocinados por estados contra Ucrânia, Arábia Saudita, Turquia e Malásia. Abordagem "hit-and-run" que exfiltra dados em segundos. Segundo kit de exploração iOS após Coruna descoberto em um mês.

3 ZERO-DAYS UNC6353 / RÚSSIA iOS 18.4–18.7 fonte →

PolyShell — RCE sem autenticação em todos os Magento/Adobe Commerce v2

A Sansec descobriu "PolyShell", uma vulnerabilidade no tratamento de upload de arquivos da API REST do Magento. Os atacantes fazem upload de arquivos poliglotas (válidos como imagem e como script) para obter execução remota de código sem autenticação ou tomada de conta via XSS armazenado. Afeta todas as instalações em produção de Magento Open Source e Adobe Commerce v2. Patch disponível apenas na versão alpha 2.4.9 — sem correção de produção ainda. O método de exploração já está circulando.

CRÍTICO — SEM PATCH TODO MAGENTO V2 fonte →

Ubiquiti UniFi — Tomada de conta de severidade máxima

A Ubiquiti corrigiu duas vulnerabilidades na aplicação UniFi Network, incluindo uma falha de severidade máxima permitindo tomada de conta. Administradores devem atualizar imediatamente.

CVSS 10.0 CORRIGIDO fonte →

ScreenConnect — Exposição crítica de chaves de máquina

A ConnectWise corrigiu uma vulnerabilidade crítica do ScreenConnect que expunha chaves de máquina, potencialmente permitindo acesso remoto não autorizado. A versão mais recente adiciona armazenamento criptografado e gestão para proteção de chaves.

CRÍTICO CORRIGIDO fonte →

SharePoint RCE (CVE-2026-20963) — Exploração ativa

A CISA adicionou o Microsoft SharePoint CVE-2026-20963 ao seu catálogo de vulnerabilidades conhecidas exploradas. A falha RCE, corrigida no Patch Tuesday de janeiro, está agora confirmada como ativamente explorada.

ATIVAMENTE EXPLORADO PATCH DISPONÍVEL fonte →

9 falhas críticas de IP KVM — Acesso root sem autenticação

A Eclypsium descobriu 9 vulnerabilidades em 4 produtos IP KVM (GL-iNet Comet RM-1, Angeet/Yeeso ES3, Sipeed NanoKVM, JetKVM). Ausência de validação de assinatura de firmware, sem proteção contra força bruta, controles de acesso quebrados, interfaces de depuração expostas. Atacantes podem obter acesso root a nível de BIOS/UEFI — contornando toda a segurança a nível de SO.

CRÍTICO 4 FABRICANTES fonte →
💀

Ransomware e ataques maiores

Hacktivistas Handala apagam 80.000 dispositivos Stryker via Microsoft Intune

O grupo hacktivista Handala conduziu um ataque destrutivo devastador contra a gigante de tecnologia médica Stryker, apagando aproximadamente 80.000 dispositivos ao utilizar o Microsoft Intune. O FBI apreendeu dois sites de vazamento de dados operados pelo Handala. A CISA subsequentemente emitiu orientações urgentes para todas as organizações americanas fortalecerem suas implantações de Microsoft Intune.

DESTRUTIVO 80K DISPOSITIVOS APAGADOS APREENSÃO FBI fonte →

Zero-day do Cisco FMC explorado pelo ransomware Interlock

A Amazon descobriu que uma vulnerabilidade do Cisco Firewall Management Center (FMC) tem sido explorada como zero-day desde o final de janeiro pelo grupo de ransomware Interlock. Evidências apontam para ligações com a Rússia. A recente série de vulnerabilidades da Cisco mostra um padrão preocupante de falhas em firewalls e SD-WAN ativamente exploradas.

ZERO-DAY INTERLOCK LIGAÇÃO COM A RÚSSIA fonte →

Bitrefill atribui ataque ao grupo norte-coreano Lazarus/Bluenoroff

A plataforma de cartões presente cripto Bitrefill revelou que seu ciberataque no início de março foi provavelmente conduzido pelo grupo norte-coreano Bluenoroff (subgrupo do Lazarus). Continua o padrão da RPDC de visar plataformas cripto e fintech para geração de receita.

LAZARUS / BLUENOROFF CRYPTO fonte →

Ataque interno na Carolina do Norte — Resgate de US$ 2,5 M

Um trabalhador de tecnologia da Carolina do Norte foi considerado culpado por conduzir um ataque interno contra uma empresa de tecnologia de Washington, obtendo um pagamento de resgate de US$ 2,5 milhões. Destaca o risco persistente de ameaças internas.

AMEAÇA INTERNA RESGATE DE US$ 2,5 M fonte →
🎯

Atividade patrocinada por estados e APT

APT28 (Rússia/GRU) explorando Zimbra contra a Ucrânia

O APT28, vinculado à inteligência militar russa, está explorando ativamente uma vulnerabilidade do Zimbra Collaboration Suite em ataques contra entidades governamentais ucranianas. A falha envolve sanitização CSS insuficiente em e-mails HTML, permitindo execução de scripts inline quando as mensagens são abertas no navegador.

APT28 / FANCY BEAR UCRÂNIA fonte →

Acumulação de infraestrutura cibernética iraniana revelada

Análises revelam seis meses de construção de infraestrutura cibernética ligada ao Irã, incluindo empresas de fachada sediadas nos EUA, projetadas para garantir a resiliência de operações globais de hacking e resistir a potenciais ataques cinéticos. As autoridades federais estão em alerta máximo para ciberataques iranianos após o incidente Stryker.

IRÃ INFRAESTRUTURA fonte →

The Gentlemen RaaS — Operação focada em FortiGate

O Group-IB detalhou "The Gentlemen", uma operação nascente de Ransomware-as-a-Service com cerca de 20 membros que explora especificamente vulnerabilidades de firewalls FortiGate. Parte da tendência contínua de exploração de dispositivos de borda para acesso inicial.

RAAS FORTIGATE fonte →
🛠️

Ferramentas de segurança e indústria

Oasis Security — US$ 120 M para gestão de acesso agêntico

A Oasis Security levantou US$ 120 M para expandir sua plataforma de gestão de acesso agêntico. Foco em P&D, expansão de produtos de frameworks de IA e escalagem go-to-market. Sinaliza crescente interesse dos investidores em controles de segurança para agentes de IA.

US$ 120 M LEVANTADOS fonte →

Plataforma de privacidade Cloaked — Investimento de US$ 375 M

A plataforma de privacidade Cloaked levantou US$ 375 M para expandir ao mercado empresarial. Planeja introduzir agentes de IA que monitoram, gerenciam e aplicam preferências de privacidade e posturas de segurança em nome dos usuários.

US$ 375 M LEVANTADOS fonte →

1stProtect — Lançamento furtivo com US$ 20 M

A startup de segurança de endpoint 1stProtect saiu do modo furtivo com US$ 20 M. Sua plataforma monitora comportamento e verifica a intenção do usuário para deter ataques em tempo real — uma abordagem inovadora para proteção de endpoints.

US$ 20 M LEVANTADOS fonte →

Raven — US$ 20 M para detecção de anomalias em tempo de execução

A Raven saiu do modo furtivo com US$ 20 M. Sua plataforma observa aplicações em tempo de execução para detectar comportamento anômalo e prevenir ciberataques — visando a lacuna entre análise estática e exploração real.

US$ 20 M LEVANTADOS fonte →

Ceros — Camada de confiança IA para Claude Code

A Beyond Identity lançou o Ceros, uma "camada de confiança IA" que fornece visibilidade em tempo real, aplicação de políticas em tempo de execução e trilhas de auditoria criptográficas para operações de agentes Claude Code. Aborda o risco emergente de agentes de codificação IA operando com permissões completas de desenvolvedor fora dos controles de segurança existentes.

SEGURANÇA DE AGENTES IA fonte →
📊

Padrões de ameaças emergentes

Proliferação de exploits iOS

Dois kits de exploração iOS de cadeia completa (Coruna e DarkSword) descobertos em um mês, utilizados por uma mistura de atores estatais e fornecedores de vigilância comercial. Demonstra um mercado secundário florescente onde até grupos financeiramente motivados podem adquirir exploits móveis de nível estatal. A abordagem de exfiltração "hit-and-run" — segundos, não horas — torna a detecção forense extremamente difícil.

TENDÊNCIA: EXPLOITS MÓVEIS

Exploração de dispositivos de borda continua

FortiGate (The Gentlemen RaaS), Cisco FMC (ransomware Interlock), Ubiquiti UniFi, Zimbra, dispositivos IP KVM — o padrão é claro. Atacantes estão sistematicamente visando infraestrutura de borda de rede. A nova pesquisa de IP KVM mostra que até o acesso a nível de BIOS está em risco através de hardware barato e mal protegido. Organizações devem tratar cada dispositivo de borda como uma superfície de ataque crítica.

TENDÊNCIA: DISPOSITIVOS DE BORDA

Microsoft Intune como vetor de ataque

A utilização do Microsoft Intune pelo Handala para apagar 80.000 dispositivos Stryker é um alerta. Ferramentas de gestão de endpoints projetadas para proteger dispositivos podem ser transformadas em armas de destruição em massa quando comprometidas. A resposta da CISA sinaliza que este agora é um padrão de ataque reconhecido contra o qual as empresas devem se defender.

TENDÊNCIA: ARMAMENTIZAÇÃO MDM

Segurança de agentes IA emerge como categoria

Múltiplas startups (mais de US$ 535 M em financiamento somente esta semana) estão desenvolvendo produtos especificamente para segurança de agentes IA — gestão de acesso, monitoramento em tempo de execução, aplicação de privacidade. Ceros (para Claude Code), Oasis (acesso agêntico) e Cloaked (agentes de privacidade IA) sinalizam que proteger agentes IA está se tornando uma disciplina de segurança distinta. Relevante para o roadmap do KENSAI.

TENDÊNCIA: SEGURANÇA DE AGENTES IA