Levantamento da Redbelt Security aponta ataques à supply chain de software, falhas no kernel Linux, Ghost CMS e firewalls Palo Alto
A Redbelt Security, consultoria especializada em cibersegurança, identificou em maio um cenário de ameaças marcado pela exploração acelerada de falhas em sistemas amplamente utilizados no meio corporativo.
O levantamento mensal da consultoria aponta ataques à cadeia de suprimentos de software, vulnerabilidades críticas no kernel Linux, comprometimento em massa de sites em CMS populares e falhas em soluções de segurança de rede. O Brasil aparece entre os países atingidos por uma campanha coordenada de roubo de credenciais que operou em 26 países.
Em vários dos casos registrados, o intervalo entre a divulgação pública de uma vulnerabilidade e o início de sua exploração ativa foi inferior a 48 horas, padrão que se repete e que exige respostas cada vez mais ágeis das equipes de segurança.
Ataques coordenados à supply chain comprometem ferramentas usadas por milhões de desenvolvedores: O grupo criminoso TeamPCP conduziu, em maio, a campanha Mini Shai-Hulud, operação autorreplicante que comprometeu a extensão Nx Console para Visual Studio Code, com mais de 2,2 milhões de instalações, pacotes npm dos ecossistemas @antv e Laravel-Lang, fluxos de trabalho do GitHub Actions e repositórios internos da própria plataforma GitHub. A empresa confirmou que um dispositivo de funcionário foi comprometido por meio de uma extensão maliciosa, resultando na exfiltração de cerca de 3.800 repositórios internos.
Os tokens roubados em cada ambiente infectado são reutilizados para comprometer novos alvos, tornando a campanha autossustentável. Mais de 2.500 repositórios públicos foram identificados com marcadores da operação.
Série de falhas no kernel Linux permite acesso root em servidores e ambientes em nuvem: Três vulnerabilidades de escalonamento de privilégios foram identificadas no kernel Linux em sequência, todas explorando o mesmo mecanismo de corrupção do cache de páginas para obter controle total do sistema. O Copy Fail (CVE-2026-31431, CVSS 7.8) é explorável por meio de um script compacto de 732 bytes, sem depender de condições de corrida, com implementações em Python, Go e Rust já disponíveis publicamente.
O Dirty Frag (CVE-2026-43284 e CVE-2026-43500) expande o ataque para cobrir pontos não protegidos pela mitigação recomendada para a falha anterior. O DirtyDecrypt (CVE-2026-31635, CVSS 7.5) afeta distribuições como Fedora, Arch Linux e openSUSE. Em clusters Kubernetes, a exploração pode resultar em escape de contêineres. Exploração ativa foi confirmada pelas autoridades de cibersegurança dos Estados Unidos.
Ghost CMS explorado em mais de 700 sites; visitantes são redirecionados para páginas falsas: A CVE-2026-26980 (CVSS 9.4), vulnerabilidade de injeção SQL no Ghost CMS corrigida em fevereiro, passou a ser ativamente explorada em maio. A falha permite que qualquer pessoa, sem autenticação, obtenha a chave de administrador da plataforma e modifique em massa artigos publicados, inserindo código JavaScript malicioso.
Os sites comprometidos passam a funcionar como vetores de ataque contra seus próprios visitantes, redirecionando-os para páginas falsas de verificação CAPTCHA que induzem a execução de comandos capazes de instalar um backdoor persistente no sistema da vítima. Mais de 700 sites foram comprometidos ao longo do mês, incluindo universidades, plataformas de blockchain, veículos de mídia e empresas de tecnologia financeira.
Campanha de phishing com bypass de MFA atinge Brasil e outros 25 países: Entre 14 e 16 de abril de 2026, uma campanha de roubo de credenciais afetou mais de 35 mil usuários em 13 mil organizações distribuídas em 26 países, com o Brasil entre os atingidos.
Os atacantes utilizaram a técnica adversário no meio (AiTM), posicionando-se entre a vítima e o serviço legítimo para capturar, em tempo real, não apenas senhas, mas também os tokens de sessão gerados após a autenticação multifator.
Com esses tokens, o acesso à conta é obtido mesmo com MFA ativado. Os e-mails maliciosos simulavam comunicações corporativas sobre revisões de código de conduta e continham anexos PDF que levavam a páginas de login falsas.
Palo Alto Networks corrige buffer overflow crítico no PAN-OS explorado antes da disponibilização do patch: A CVE-2026-0300 (CVSS 9.3), divulgada no início de maio, é um estouro de buffer no Portal de Autenticação de Usuário do PAN-OS que permite execução de código arbitrário com privilégios root em firewalls das séries PA e VM, sem necessidade de autenticação.
A exploração foi registrada em ambientes reais antes de as correções estarem amplamente disponíveis, o cronograma de liberação dos patches se estendeu de 13 a 28 de maio. Versões afetadas incluem as linhas 10.2, 11.1, 11.2 e 12.1 do PAN-OS. A gravidade atinge pontuação máxima de 9.3 quando o portal está acessível pela internet ou por redes não confiáveis.
“O que chama atenção no levantamento é o padrão. Ataques autorreplicantes que usam os tokens roubados para comprometer o próximo alvo. Campanhas que contornam MFA capturando sessões em tempo real. Exploits disponíveis em repositórios públicos horas depois da divulgação. O atacante automatiza e a defesa, na maioria das organizações, ainda depende de alguém lembrar de aplicar o patch.“, afirma Ronaldo Corá, diretor de identidade e acesso da Redbelt Security.
Sobre a Redbelt Security
Fundada em 2009, a Redbelt Security é uma consultoria especializada em Segurança da Informação. A marca atua com Serviços Gerenciados de Segurança (MSS), Security Operations Center (SOC), Offensive Security, Threat Intelligence, Governança, Riscos & Compliance (GRC), e suporte especializado no gerenciamento de ambientes de TI e ações preventivas contra novas ameaças, contando com uma equipe altamente especializada e certificada.
Cibercriminosos usam técnica dos anos 60 para criar QR Codes falsos e invadir e-mails corporativos
Mais de 90% das empresas brasileiras preferem terceirizar ou adotar modelos híbridos de SOC
iFood confirma vazamento de dados de 1,2 milhão de usuários e ANPD pede explicações
O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.
Conheça a coluna Cibersegurança.
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
