.png)
há 2 meses
22
ANUNCIE AQUI
Uma campanha de ciberespionagem de alta sofisticação, rastreada sob o codinome Storm-1849 e ligada a atores chineses, tem emergido com destaque nas últimas semanas. A ação central deste grupo concentrou-se na exploração ativa de firewalls Cisco Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD) sem correções de segurança.
Leia também
CISA exige correção urgente em firewalls Cisco
Cisco alerta para atualização de software após exploração
Analistas de resposta a incidentes da Unit 42 da Palo Alto Networks confirmaram que varreduras e tentativas de exploração foram observadas durante todo o mês de outubro na América do Norte, Europa e Ásia. Os alvos primários são instituições governamentais, militares e grandes corporações, pois esses dispositivos operam nas redes de “borda” (edge) e centralizam serviços críticos como VPNs, prevenção de intrusão e filtragem, tornando-os de altíssimo valor. O alcance global foi extenso, com varreduras confirmadas contra 12 endereços IP ligados a agências federais dos EUA e outros 11 vinculados a entidades governamentais estaduais ou locais. Fora dos Estados Unidos, IPs públicos na Índia, Nigéria, Japão, Noruega, França, Reino Unido, Holanda, Espanha, Austrália, Polônia, Áustria, Emirados Árabes Unidos, Azerbaijão e Butão também foram visados.
O sucesso da campanha reside na exploração de duas vulnerabilidades críticas de dia zero que afetam o componente Servidor Web VPN. A primeira, CVE‑2025‑20333, classificada com CVSS 9.9, é um estouro de buffer que permite que um invasor remoto execute código arbitrário como usuário root, resultando no comprometimento completo do dispositivo. Essa falha é explorada mediante o envio de requisições HTTP(S) maliciosas por um atacante com credenciais de VPN válidas. Essa vulnerabilidade de execução de código é encadeada com a CVE‑2025‑20362, uma falha de autorização (CVSS 6.5) que permite acesso não autenticado a endpoints URL restritos, facilitando a cadeia de ataque.
A Cisco confirmou que os atores de ameaças têm utilizado mecanismos avançados de persistência que sobrevivem a reinicializações e upgrades, incluindo boot-kits que modificam o ROMMON dos dispositivos afetados. Em resposta imediata à gravidade da situação e à utilização ativa das vulnerabilidades, a Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA emitiu a Diretriz de Emergência (ED 25-03), ordenando que todas as agências civis federais identifiquem e mitiguem imediatamente qualquer possível comprometimento dos dispositivos Cisco.
Portuguese (BR) ·