KENSAI Inteligência de Segurança
Briefing diário de ameaças
Pesquisa de segurança automatizada — últimas 24 horas
2026-03-21 · Sexta-feira 20 de março → Sábado 21 de março
Vulnerabilidades críticas e exploits ativos
Falha crítica de autenticação ausente e injeção de código no Langflow (CVSS 9.3) está sendo ativamente explorada. Atacantes não autenticados podem obter execução remota de código via endpoints POST /api/v1. A exploração começou dentro de 20 horas da divulgação pública — aplique o patch imediatamente.
A Oracle lançou uma atualização de segurança fora do ciclo para uma vulnerabilidade RCE crítica não autenticada no Identity Manager e Web Services Manager. Esta publicação fora do ciclo trimestral regular de patches da Oracle indica a gravidade e o risco potencial de exploração.
A CISA ordenou a todas as agências federais que corrijam uma vulnerabilidade de gravidade máxima no Cisco Secure Firewall Management Center até domingo, 22 de março. A urgência do prazo de fim de semana sinaliza exploração ativa ou iminente.
O ConnectWise ScreenConnect corrigiu uma vulnerabilidade crítica que expunha chaves de máquina, permitindo potencialmente acesso não autorizado a sessões de gestão remota. A versão mais recente adiciona armazenamento criptografado e gestão de chaves.
A Sansec descobriu uma falha crítica na API REST do Magento que permite a atacantes não autenticados fazer upload de executáveis disfarçados (imagens escondendo código malicioso) para RCE e tomada de contas. Milhares de sites Magento já foram atingidos numa campanha de defacement em curso desde 27 de fevereiro.
Ataques à cadeia de fornecimento de software
O scanner Trivy da Aqua Security foi comprometido pela segunda vez num mês. Os atacantes sequestraram 75 tags nas GitHub Actions «aquasecurity/trivy-action» e «aquasecurity/setup-trivy» para roubar segredos CI/CD. Qualquer pipeline que utilize estas ações pode ter vazado credenciais.
O novo malware «Speagle» sequestra o software legítimo Cobra DocGuard, usando servidores comprometidos para exfiltrar dados enquanto mascara o tráfego como comunicação legítima da aplicação. Um ataque sofisticado adjacente à cadeia de fornecimento.
A análise revela que 54 programas eliminadores de EDR abusam de 35 drivers legitimamente assinados mas vulneráveis para desativar a segurança de endpoints antes de implantar ransomware. BYOVD (Bring Your Own Vulnerable Driver) é agora uma técnica padrão no manual de ransomware.
Violações de dados e ameaças internas
Hackers roubaram informações pessoais e de planos de saúde do ambiente da Navia entre final de dezembro de 2025 e meados de janeiro de 2026. 2,7 milhões de indivíduos afetados. As violações de dados no setor de saúde continuam a ser as mais impactantes em volume.
Um homem da Carolina do Norte foi considerado culpado de roubar dados corporativos e extorquir 2,5 M$ de uma empresa de tecnologia de Washington D.C. (Brightly Software) — enquanto ainda era contratado. A ameaça interna continua a ser um risco de primeiro nível.
Michael Smith declarou-se culpado de usar bots de IA para gerar mais de 10 M$ em royalties de streaming fraudulentas no Spotify, Apple Music, Amazon Music e YouTube Music. Fraude habilitada por IA em grande escala.
Forças da lei e geopolítica
Os EUA, Alemanha e Canadá desmantelaram a infraestrutura C2 dos botnets AISURU, KimWolf, JackSkid e Mossad (3 milhões de dispositivos IoT). Estes botnets alimentavam ataques DDoS recordes de 31,4 Tbps. Grande colaboração com o setor privado (Akamai, AWS, Cloudflare, Google, Oracle e outros).
As forças da lei internacionais encerraram 373.000 sites da dark web na «Operação Alice». Uma das maiores operações coordenadas de desmantelamento de infraestrutura ilícita até à data.
O FBI emitiu um alerta avisando que atores ligados à inteligência russa estão ativamente a executar campanhas de phishing contra utilizadores de Signal e WhatsApp. Milhares de contas de mensagens encriptadas já comprometidas. Os alvos incluem jornalistas, ativistas e funcionários governamentais.
Os Estados Unidos confirmaram que o grupo hacker Handala está ligado ao governo iraniano e apreenderam vários domínios usados em operações psicológicas cibernéticas.
Três indivíduos foram acusados de violar as leis de controlo de exportações dos EUA ao conspirar para desviar servidores de IA de alto desempenho montados nos Estados Unidos para a China. Parte da escalada da guerra fria tecnológica.
Ameaças emergentes e tendências
Cibercriminosos usam IA para gerar phishing personalizado, deepfakes e malware que contorna a deteção tradicional imitando atividade normal de utilizador. A análise comportamental surge como a contramedida necessária — a deteção baseada em assinaturas torna-se cada vez mais insuficiente.
A Apple insta à atualização do iOS contra kits de exploit web (Coruna, DarkSword) que visam dispositivos desatualizados. Estes kits desencadeiam cadeias de infeção através de conteúdo web malicioso que leva ao roubo de dados.
A Google introduziu um período de reflexão obrigatório de 24 horas para sideloading de aplicações de programadores não verificados no Android. Parte do mandato de verificação de programadores anunciado no ano passado. Equilibra abertura com redução de burlas/malware.
The Gentlemen — Nova operação RaaS emergente
O Group-IB detalhou «The Gentlemen», uma nova operação Ransomware-as-a-Service com ~20 membros que exploram vulnerabilidades FortiGate. Os grupos RaaS emergentes continuam a baixar a barreira de entrada para ataques de ransomware.
Indústria de segurança e financiamento
Ronda massiva focada em gestão de identidades e acessos para agentes de IA. Investimento em I&D, expansão do framework de IA e entrada no mercado. Sinal: o mercado vê a segurança de agentes de IA como uma categoria emergente crítica.
MVNO focado em privacidade para consumidores, empresas e governos. Aborda ameaças de vigilância e interceção celular.
Expansão das capacidades da plataforma para integridade da cadeia de fornecimento de firmware e hardware.
Monitoriza comportamento e verifica a intenção do utilizador para parar ataques em tempo real. Emergiu do modo furtivo.
Escalando a proteção digital de marca contra phishing, usurpação de identidade e abuso de marca.
Relevância KENSAI e conclusões
Para o posicionamento da KENSAI:
- Langflow CVE-2026-33017 — explorada em 20 horas. Esta é a proposta de valor central da KENSAI: a verificação contínua deteta estas vulnerabilidades antes dos atacantes. Oportunidade de conteúdo para um artigo sobre a «janela de 20 horas».
- Magento PolyShell — milhares de sites de comércio eletrónico afetados. As empresas da UE reguladas pela NIS2 que usam Magento são alvos perfeitos para o scanning DAST da KENSAI.
- 54 eliminadores de EDR com BYOVD — a segurança de endpoints sozinha não é suficiente. A abordagem multicamada da KENSAI (DAST + SAST + segredos + infraestrutura) é a resposta.
- 282 M$ em financiamento de segurança esta semana — o mercado está quente. A ronda de 120 M$ da Oasis para «gestão de acesso agêntico» valida a categoria de segurança IA que a KENSAI ocupa.
- Compromisso da cadeia de fornecimento do Trivy — a segurança de pipelines CI/CD é uma área subatendida. Potencial futuro módulo KENSAI.
- Phishing estatal russo no Signal — a conformidade NIS2 exige comunicações seguras. Ângulo de conteúdo para o mercado DACH.