Pacific News #291: A Dormência

Pacific News #291: A Dormência

Assunto do momento: Duas falhas dormiam no Linux há mais de 15 anos; e uma delas pode derrubar servidores inteiros na nuvem 

O que aconteceu? Duas vulnerabilidades de alta severidade foram descobertas no Linux esta semana, ambas do tipo use-after-free e permitindo elevação de privilégios para root. O Google pagou um total de US$ 342 mil pelas descobertas via programa kernelCTF. 

Por que isso importa? As falhas ficaram ocultas no kernel por 15 e 16 anos respectivamente, afetando praticamente todas as distribuições Linux em uso. Uma delas permite que uma máquina virtual comprometa o host físico inteiro, uma ameaça direta a ambientes de nuvem com múltiplos clientes no mesmo servidor.

Januscape: Conhecido como  CVE-2026-5335, esta falha reside no KVM, sistema de virtualização do kernel Linux, e permite que uma VM convidada escape do seu isolamento e execute código com privilégios root no host, derrubando todas as outras VMs da máquina ou assumindo controle total do servidor. 

Cenário geral: um atacante que alugou uma única instância em um provedor de nuvem pode comprometer o servidor físico inteiro com o Januscape, afetando todos os outros clientes hospedados na mesma máquina. 

GhostLock: Já a CVE-2026-43499 foi encontrada por pesquisadores da Nebula Security com auxílio de IA, afetando o mecanismo de herança de prioridade do futex, um componente antigo do kernel datado de 2011. Permite que usuários com privilégios limitados escalem para root via ponteiro corrompido. 

Saiba mais: Ambas as vulnerabilidades já foram corrigidas no kernel Linux. Usuários devem verificar se os patches já chegaram à sua distribuição específica. A prova de conceito do Januscape foi publicada pelo pesquisador Hyunwoo Kim, mas o exploit completo de escape de VM não será divulgado "num futuro próximo". O GhostLock foi identificado via Vega, scanner de vulnerabilidades assistido por IA da Nebula Security, trazendo mais um indício do papel crescente de ferramentas de IA na descoberta de falhas críticas em código legado.


Accenture sofre vazamento de dados

O que aconteceu? A gigante de serviços profissionais confirmou uma violação de dados após um atacante se vangloriar num fórum online de ter roubado 35 gigabytes de dados, incluindo chaves de acesso e tokens do Azure, arquivos de configuração, chaves RSA e SSH, e código-fonte interno da empresa.

Por que isso importa? Segundo Ross Filipek, CISO da Corsica Technologies, o incidente gera preocupação porque os dados supostamente roubados poderiam servir de base para ataques futuros, aproveitando vulnerabilidades de código, credenciais e informações de infraestrutura que agentes de ameaças podem extrair.

Saiba mais: “A Accenture é um alvo conhecido devido à sua posição no ecossistema empresarial. Grandes empresas de consultoria e serviços frequentemente atuam próximas aos sistemas que sustentam a operação de grandes companhias, abrangendo desde ambientes em nuvem e ferramentas de identidade até bases de código e projetos de transformação”, disse Filipek.


Papo Rápido

@Ataques

Pacotes maliciosos no npm e PyPI entregaram malware de roubo de informações a desenvolvedores e usuários das aplicações de pagamento Paysafe, Skrill e Neteller. O agente malicioso publicou, pelo menos, 17 pacotes maliciosos simultaneamente com o objetivo de exfiltrar o maior número possível de credenciais e tokens de acesso.  (BleepingComputer)

A Noma Labs descobriu uma vulnerabilidade crítica de prompt injection nos novos Agentic Workflows do GitHub batizada de GitLost. A falha permitiu que um invasor não autenticado extraísse silenciosamente dados de repositórios privados ao publicar uma Issue do GitHub especialmente elaborada em um repositório público pertencente à mesma organização dos repositórios privados. (Noma)

@Patches

A Microsoft corrigiu a vulnerabilidade no Windows Defender conhecida como RoguePlanet, um mês depois da falha ter o exploit publicado. Conhecida como CVE-2026-50656, o Rogue Planet é um problema de elevação de privilégios no Microsoft Malware Protection Engine (“mpengine.dll”) e foi corrigido na versão 1.1.26060.3008. (TheHackerNews)

A Palo Alto Networks publicou novos comunicados de segurança que cobrem 13 vulnerabilidades específicas em seus produtos, bem como mais de 500 falhas corrigidas recentemente pelo Google no Chromium, que a gigante da segurança cibernética usa em seu navegador Prisma (SecurityWeek).

@Mundo

O Banco de Dados Nacional de Vulnerabilidades da China (CNVDB) está fazendo um apelo aos desenvolvedores para que desinstalem as versões mais recentes do Claude Code, com o pretexto de que elas podem colher dados sensíveis de usuários sem consentimentos. O CNVDB está chamando esta possibilidade de “backdoor coded”. (TheRegister)

Segundo a Sygnia, empresa de segurança e resposta a incidentes, um atacante solitário utilizou IA para executar técnicas de ataque à nuvem com velocidade e abrangência muito superiores às típicas de operações de pequena escala, conseguindo comprometer um grande ambiente AWS em cerca de 72 horas. Isso resultou na extorsão financeira de uma “empresa global” não identificada (DarkReading).


Quer saber mais? Siga-nos nas redes sociais: LinkedinInstagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!

Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!

Escrito por: Thaís Hudari AbibMurilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa