剣 KENSAI
← Back to archive
🛡️ KENSAI INTELIGÊNCIA DE AMEAÇAS

Pesquisa diária de segurança

22/03/2026 · Sábado 21 de março → Domingo 22 de março · Gerado automaticamente às 04:00 CET

⚡ Resumo — O que importa hoje

  • Ataque à cadeia de suprimentos do Trivy evolui — novo worm autopropagante «CanisterWorm» atinge 47 pacotes npm usando C2 baseado em blockchain
  • Patch de emergência da Oracle — CVE-2026-21992 (CVSS 9.8) permite RCE não autenticada no Identity Manager
  • FBI alerta sobre phishing russo no Signal/WhatsApp — milhares de contas já comprometidas
  • DoJ desativa botnets DDoS recordes — 3M+ dispositivos, ataques de 31,4 Tbps interrompidos
  • Prazo CISA HOJE — vulnerabilidade de severidade máxima do Cisco FMC CVE-2026-20131 deve ser corrigida até 22 de março
  • RCE do Langflow explorada em 20 horas — CVE-2026-33017 (CVSS 9.3) ativamente visada
  • Violação da Navia atinge 2,7M de pessoas — dados pessoais e de planos de saúde roubados
🔗 Ataques à cadeia de suprimentos

Scanner Trivy comprometido — CanisterWorm se propaga para 47 pacotes npm

cadeia de suprimentos crítico

O scanner de vulnerabilidades Trivy da Aqua Security foi comprometido pela segunda vez em um mês. O grupo de ameaças TeamPCP sequestrou 75 tags de GitHub Action em aquasecurity/trivy-action e aquasecurity/setup-trivy, injetando malware de roubo de credenciais em pipelines CI/CD. Um ataque subsequente implantou o CanisterWorm, um worm autopropagante que infectou 47 pacotes npm em @EmilGroup, @opengov e outros escopos. O worm utiliza canisters de blockchain Internet Computer Protocol (ICP) como resolvedores C2 dead-drop — o primeiro caso documentado dessa técnica — tornando a derrubada extremamente difícil. Persistência via serviços systemd disfarçados como ferramentas PostgreSQL.

Fontes: The Hacker News · BleepingComputer

Magento PolyShell — Upload não autenticado e RCE via API REST

crítico

A Sansec descobriu uma falha crítica na API REST do Magento que permite a atacantes não autenticados carregar executáveis arbitrários disfarçados de imagens, obtendo execução remota de código e tomada de contas. Apelidado de PolyShell, o ataque explora o tratamento de arquivos de imagem. Nenhuma exploração pública observada ainda, mas milhares de sites Magento já estão sob uma campanha separada de defacement iniciada em 27 de fevereiro.

Fontes: The Hacker News · SecurityWeek

🚨 CVEs críticos e patches

CVE-2026-21992 — RCE não autenticada no Oracle Identity Manager

crítico CVSS 9.8

A Oracle emitiu um patch de emergência fora de ciclo para uma vulnerabilidade crítica de execução remota de código não autenticada no Identity Manager e Web Services Manager. Nenhuma autenticação necessária para exploração. A Oracle recomendou correção imediata.

Fonte: The Hacker News

CVE-2026-20131 — Cisco Secure Firewall Management Center (Severidade máxima)

crítico CVSS 10.0

A CISA ordenou que todas as agências federais corrijam esta vulnerabilidade de severidade máxima no Cisco FMC até hoje, 22 de março. Os detalhes indicam que poderia permitir comprometimento completo do sistema. Adicionada ao catálogo de vulnerabilidades exploradas conhecidas da CISA.

Fonte: BleepingComputer

CVE-2026-33017 — RCE não autenticada no Langflow (Explorada em 20 horas)

crítico CVSS 9.3

Falha crítica de autenticação ausente e injeção de código no Langflow (popular construtor de workflows de IA). Atores de ameaças armaram a vulnerabilidade em 20 horas após a divulgação pública via o endpoint POST /api/v1. Destaca a janela cada vez menor para implantação de patches.

Fonte: The Hacker News

CISA adiciona Apple, Craft CMS, Laravel Livewire ao catálogo KEV

exploração ativa

Cinco vulnerabilidades adicionais foram adicionadas ao catálogo KEV da CISA com prazo de correção até 3 de abril de 2026. Inclui CVE-2025-31277 (Apple, CVSS 8.8) mais falhas no Craft CMS e Laravel Livewire. Todas confirmadas sob exploração ativa.

Fonte: The Hacker News

CVE-2025-32975 — Exploração do Quest KACE no setor educacional

crítico

Vulnerabilidade crítica no appliance de gerenciamento de sistemas Quest KACE potencialmente explorada contra alvos do setor educacional. Organizações que usam Quest KACE devem corrigir imediatamente.

Fonte: SecurityWeek

🎯 Estados-nação e espionagem

FBI/CISA: Inteligência russa ataca Signal e WhatsApp em escala

estado-nação alto impacto

O FBI e a CISA emitiram um aviso conjunto alertando que os serviços de inteligência russos estão executando campanhas massivas de phishing contra usuários de Signal e WhatsApp. Os alvos incluem funcionários atuais e antigos do governo dos EUA, pessoal militar, figuras políticas e jornalistas. Milhares de contas já comprometidas. Após obter acesso, os atores visualizam mensagens, roubam contatos, se passam pelas vítimas e encadeiam mais phishing a partir de identidades confiáveis. O diretor do FBI Kash Patel confirmou a campanha no X.

Fontes: The Hacker News · BleepingComputer

EUA confirmam ligação do Handala ao governo iraniano

estado-nação

O governo dos EUA apreendeu vários domínios usados pelo Handala, confirmando sua ligação com o governo iraniano. O grupo conduziu operações psicológicas habilitadas por ciberataques. Os domínios foram desativados em um esforço coordenado.

Fonte: SecurityWeek

3 homens acusados de contrabando de hardware de IA para a China

controles de exportação

Três indivíduos foram acusados de violar as leis de controle de exportação dos EUA ao conspirar para desviar grandes quantidades de servidores de IA de alto desempenho montados nos Estados Unidos para a China.

Fonte: SecurityWeek

🤖 Botnets e DDoS

DoJ desativa botnets IoT de 3M de dispositivos — DDoS recorde de 31,4 Tbps

crítico

O Departamento de Justiça dos EUA, juntamente com autoridades canadenses e alemãs, desmantelou a infraestrutura C2 dos botnets AISURU, Kimwolf, JackSkid e Mossad — que controlavam coletivamente mais de 3 milhões de dispositivos IoT infectados (DVRs, smart TVs, set-top boxes). Esses botnets lançaram ataques DDoS recordes atingindo 31,4 Tbps. Uma ampla coalizão do setor privado auxiliou (Akamai, AWS, Cloudflare, Google, Oracle, PayPal e mais). Os suspeitos incluem um canadense de 23 anos e um alemão de 15 anos. Nenhuma prisão anunciada.

Fonte: The Hacker News

💀 Violações de dados

Violação de dados da Navia — 2,7 milhões de afetados

grande escala

Entre o final de dezembro de 2025 e meados de janeiro de 2026, hackers roubaram informações pessoais e de planos de saúde do ambiente da Navia, impactando 2,7 milhões de indivíduos. Dados de saúde e benefícios comprometidos.

Fonte: SecurityWeek

Milhares de sites Magento atingidos por campanha de defacement em andamento

ataques web

Uma campanha massiva de defacement iniciada em 27 de fevereiro atingiu milhares de sites de e-commerce baseados em Magento, visando marcas globais e até serviços governamentais. Combinada com a nova vulnerabilidade PolyShell, os operadores de Magento enfrentam um cenário de ameaças sério.

Fonte: SecurityWeek

🎣 Phishing e engenharia social

Alertas do Microsoft Azure Monitor abusados para callback phishing

phishing

Atacantes estão abusando dos alertas do Microsoft Azure Monitor para enviar e-mails de callback phishing se passando pela equipe de segurança da Microsoft. Os e-mails alertam sobre cobranças não autorizadas, atraindo as vítimas a ligar para números de telefone controlados pelos atacantes.

Fonte: BleepingComputer

📱 Atualizações de plataformas e ferramentas

Google Android «Advanced Flow» — Espera de 24h para sideloading

Android

O Google anunciou um novo mecanismo de sideloading para Android: aplicativos de desenvolvedores não verificados agora requerem um período de espera obrigatório de 24 horas antes da instalação. Parte do mandato de verificação de desenvolvedores para reduzir a distribuição de malware e aplicativos fraudulentos.

Fonte: The Hacker News

Operação Alice — 373.000 sites da dark web desativados

forças da lei

Uma operação internacional de forças da lei desativou mais de 373.000 sites da dark web que ofereciam pacotes falsos de material ilegal.

Fonte: BleepingComputer

Reino Unido endurece requisitos de notificação de incidentes cibernéticos

regulamentação

O Reino Unido está endurecendo as obrigações de notificação de incidentes cibernéticos para organizações, juntando-se à tendência NIS2 da UE de requisitos mais rigorosos de divulgação de violações.

Fonte: SecurityWeek

💰 Financiamento da indústria de segurança

Oasis Security — US$ 120M para gestão de acesso agêntico

Expansão de P&D para gestão de acesso a frameworks de IA e escalabilidade go-to-market.

Cape — US$ 100M para segurança celular

MVNO focado em privacidade para consumidores, empresas e governos.

Eclypsium — US$ 25M para segurança da cadeia de suprimentos de dispositivos

Expansão das capacidades da plataforma de segurança de firmware e cadeia de suprimentos.

1stProtect — US$ 20M (saída do modo stealth) para segurança de endpoints

Monitoramento comportamental e verificação de intenção do usuário para interromper ataques em tempo real.

Allure Security — US$ 17M para proteção de marca online

Expansão da plataforma de proteção de marca digital.

📊 Padrões emergentes de ameaças

Tendências-chave desta semana

1. Ataques à cadeia de suprimentos se aceleram: Trivy/CanisterWorm mostra que atacantes encadeiam comprometimentos — uma violação leva a worms autopropagantes através de ecossistemas inteiros. C2 baseado em blockchain (canisters ICP) torna a derrubada quase impossível.

2. O tempo de exploração está colapsando: Langflow CVE-2026-33017 foi explorada em 20 horas após a divulgação. A janela de correção é efetivamente zero para serviços expostos à internet.

3. Crescente sofisticação do phishing habilitado por IA: A análise comportamental se torna essencial à medida que a IA gera phishing personalizado que contorna a detecção legada. Ataques AITM baseados em navegador e técnicas ClickFix impulsionam violações importantes.

4. Estados-nação visam aplicativos de mensagens: Serviços de inteligência russos executam campanhas em escala industrial contra mensageria criptografada (Signal, WhatsApp). Cadeias de confiança são exploradas — contas comprometidas são usadas para phishing de contatos.

5. A escala dos botnets IoT atinge níveis de infraestrutura: 31,4 Tbps de capacidade DDoS a partir de dispositivos de consumo comprometidos. Mesmo após as derrubadas, a população de dispositivos infectados persiste.

6. O endurecimento regulatório continua: O Reino Unido adota mandatos de notificação no estilo NIS2. A carga de conformidade aumenta para organizações da UE/UK.

🇪🇺 NIS2 e relevância do KENSAI

O que isso significa para os clientes do KENSAI

Monitoramento da cadeia de suprimentos: O comprometimento do Trivy/npm reforça por que o scan contínuo de dependências é importante. A análise SBOM e as verificações de dependências do KENSAI detectam exatamente esses padrões.

Urgência na gestão de patches: Com janelas de exploração de CVE reduzidas a horas (Langflow) e CISA exigindo patches no mesmo dia (Cisco), o scan automatizado de vulnerabilidades não é mais opcional — é sobrevivência.

Notificação NIS2: As regras de notificação endurecidas do Reino Unido espelham o Artigo 23 da NIS2. Organizações DACH enfrentam as mesmas obrigações. As capacidades de relatórios de conformidade do KENSAI atendem diretamente essa necessidade.

Segurança de mensagens: A campanha russa no Signal/WhatsApp é um alerta para qualquer organização que depende de mensageria de consumo para comunicações sensíveis.