🚨 Falha crítica Mitel e vulnerabilidade zero-day no SharePoint: os alertas de segurança de hoje

🚨 Falha crítica na Mitel MiVoice MX‑ONE ameaça redes corporativas

Na última quarta-feira (24), especialistas em segurança da SecurityWeek alertaram sobre uma falha crítica Mitel no sistema de comunicação corporativa MiVoice MX‑ONE. A vulnerabilidade, identificada como CVE‑2025‑34219, permite que um invasor ignore totalmente os mecanismos de autenticação e ganhe acesso irrestrito ao sistema.

A falha crítica Mitel afeta diretamente empresas que utilizam esse sistema PBX (Private Branch Exchange) para comunicações VoIP. Segundo a Mitel, o bug está presente em versões específicas do software MX‑ONE configuradas com componentes web. O problema decorre de um bypass na autenticação que permite a execução de comandos remotos sem credenciais válidas.

📎 Detalhes técnicos e riscos envolvidos

• Classificada com severidade crítica (CVSS 9.8), a falha crítica Mitel permite controle total do sistema.
• O ataque não requer interação do usuário, facilitando a exploração automatizada.
• Permite interceptação de chamadas, escuta clandestina e controle das funções VoIP internas.

Essa falha crítica Mitel foi identificada inicialmente por uma equipe de resposta rápida da própria empresa, após relatos de comportamento anômalo em redes corporativas. Felizmente, não há registros públicos de exploração em larga escala até o momento, mas analistas destacam que o vetor de ataque é trivial para invasores experientes.

Para mitigar o risco da falha crítica Mitel, a empresa publicou um boletim técnico e já disponibilizou uma atualização de emergência. Empresas que usam o MiVoice MX‑ONE devem aplicar imediatamente o patch de correção e realizar auditorias internas em seus sistemas de comunicação.

📎 Medidas recomendadas

• Atualizar imediatamente o MiVoice MX‑ONE para a versão mais recente disponível no portal oficial.
• Verificar logs de acesso em busca de comportamentos anormais ou execuções não autorizadas.
• Reforçar o perímetro de segurança das redes VoIP com soluções de firewall e segmentação de rede.

A Dark Reading destacou que esta falha crítica Mitel é uma das mais perigosas do ano em ambientes de telecomunicação empresarial, com potencial para espionagem industrial e sabotagem de serviços essenciais. Grandes corporações que utilizam MiVoice em setores como finanças, saúde e logística devem agir com urgência para evitar comprometimentos.

Fonte: SecurityWeek – Mitel Vulnerability

🧠 Koske: o malware para Linux que usa inteligência artificial

Um novo tipo de ameaça tem chamado a atenção dos especialistas em cibersegurança: o malware Koske. Identificado pela primeira vez por analistas da SecurityWeek, o Koske ataca sistemas Linux e se destaca por sua capacidade de adaptação. O diferencial mais preocupante? Ele é impulsionado por algoritmos de inteligência artificial.

O Koske representa uma nova geração de malwares: não apenas se infiltra em servidores, como também aprende e ajusta seu comportamento com base no ambiente invadido. Essa capacidade de autoajuste o torna altamente evasivo e resistente a medidas de detecção tradicionais.

📎 Como o Koske funciona?

• Inicia como um shell script inofensivo, se apresentando como ferramenta de monitoramento.
• Assim que executado, baixa um payload que analisa o sistema e identifica processos vulneráveis.
• Emprega IA para escolher a técnica de persistência e movimentação lateral mais adequada ao ambiente.

Esse malware utiliza redes neurais pré-treinadas para evitar honeypots e sandboxing, burlando inclusive soluções de EDR (Endpoint Detection and Response). A ameaça ataca principalmente servidores expostos ao público, especialmente aqueles que rodam versões desatualizadas de Ubuntu, CentOS e Debian.

Especialistas em segurança do CrowdStrike apontam que essa ameaça pode ser o início de uma nova onda de malwares autônomos, mais eficazes e baratos para grupos criminosos. Além disso, acredita-se que o código do Koske esteja sendo comercializado em fóruns da dark web, o que amplia seu risco.

📎 Medidas imediatas de proteção

• Atualizar imediatamente os sistemas Linux, especialmente kernels e bibliotecas de rede.
• Reforçar políticas de controle de acesso e autenticação multifator.
• Implementar soluções de EDR com detecção baseada em comportamento, como SentinelOne e CrowdStrike Falcon.

Essa nova forma de ataque representa uma mudança significativa no ecossistema das ameaças cibernéticas. A utilização de IA no desenvolvimento de malwares como o Koske pode redefinir a forma como empresas precisam proteger seus ativos digitais nos próximos anos.

Fonte: SecurityWeek – Malware Koske para Linux com IA

✈️ Executivos da aviação são alvos de sofisticado ataque de phishing

Investigadores revelaram uma campanha de phishing altamente direcionada contra executivos da indústria da aviação. O ataque, descoberto por Brian Krebs do KrebsOnSecurity, resultou no desvio de milhões de dólares por meio de faturas falsas enviadas a clientes das companhias aéreas.

Os criminosos utilizaram técnicas avançadas de engenharia social para se infiltrar em sistemas de e-mail corporativos e, a partir disso, monitoraram conversas comerciais legítimas. Assim, no momento certo, inseriram mensagens fraudulentas com instruções de pagamento para contas bancárias controladas por golpistas.

📎 Etapas do golpe

• Inicialmente, os atacantes conseguiram acesso a e-mails executivos, geralmente via spear phishing.
• Depois, acompanharam interações com clientes por semanas, às vezes meses.
• Finalmente, intervieram nas conversas em andamento com falsos dados bancários.

Esse tipo de golpe é conhecido como Business Email Compromise (BEC) e é extremamente difícil de detectar, pois os e-mails fraudulentos fazem parte de threads legítimas. Além disso, as vítimas só percebem o golpe quando os pagamentos somem ou o fornecedor cobra novamente.

Um caso citado no relatório envolveu uma empresa de leasing aéreo com sede nos EUA. O CEO teve seu e-mail invadido e os atacantes conseguiram fraudar mais de US$ 3 milhões em uma única transação, destinada a um cliente europeu.

📎 Como prevenir ataques de BEC

• Implantar autenticação multifator rigorosa em todas as contas de e-mail corporativo.
• Treinar funcionários, especialmente do setor financeiro, para revisar sempre os dados bancários recebidos.
• Utilizar assinaturas digitais e políticas de verificação verbal antes de autorizar pagamentos elevados.

Além disso, é recomendável implementar ferramentas de monitoramento de comportamento, como o Proofpoint e o Mimecast, que detectam variações sutis no uso de linguagem e padrões de e-mails.

Ataques de phishing corporativo continuam a ser uma das maiores ameaças à segurança empresarial global. Setores com alto fluxo financeiro e contratos internacionais, como aviação, são alvos preferenciais dos grupos criminosos mais sofisticados.

Fonte: KrebsOnSecurity – Phishing em Executivos de Aviação

🌐 Centenas de IPs maliciosos em ataques automatizados a servidores Tomcat

Nos últimos dias, especialistas em cibersegurança identificaram uma onda coordenada de tentativas de login automatizadas em servidores Apache Tomcat. De acordo com relatório divulgado pela The Hacker News, foram mapeados 188 IPs únicos considerados maliciosos, responsáveis por ataques contínuos principalmente nos Estados Unidos, Reino Unido e Alemanha.

Essas tentativas se concentram em ataques de força bruta direcionados à interface de administração do Tomcat, buscando explorar servidores expostos sem autenticação robusta. Embora não se trate de uma nova vulnerabilidade, a escala e automação dos ataques indicam uma possível campanha alimentada por botnets e ferramentas de escaneamento em massa.

📎 Como os ataques funcionam

• Os IPs utilizam scripts automatizados para identificar instâncias do Tomcat acessíveis pela internet.
• Depois, tentam milhares de combinações de login padrão como admin:admin ou tomcat:tomcat.
• Servidores com credenciais fracas ou sem autenticação são imediatamente explorados para injeção de código malicioso.

Entre os IPs mais ativos estão endereços oriundos de datacenters comprometidos e proxies residenciais, dificultando o bloqueio tradicional por geolocalização. A maioria das requisições é feita com cabeçalhos HTTP manipulados para simular tráfego legítimo, o que engana sistemas de detecção simples.

Esse padrão reforça a necessidade de proteger interfaces administrativas com firewalls de aplicação (WAFs), autenticação multifator e bloqueio por IP. Ferramentas como Cloudflare, Sucuri e Imperva são essenciais nesse tipo de mitigação.

📎 Ações recomendadas para servidores Tomcat

• Desabilitar a interface de administração remotamente exposta, se não for essencial.
• Trocar imediatamente credenciais padrão e aplicar políticas de senhas fortes.
• Monitorar acessos por IP e implementar alertas para tentativas repetidas de login.

Embora o Apache Tomcat seja amplamente utilizado em aplicações Java corporativas, muitos administradores deixam interfaces sensíveis sem proteção adequada. O alerta serve como lembrete da importância da segurança por configuração, mesmo quando não há vulnerabilidades diretamente exploradas.

Fonte: The Hacker News – Ataques a Servidores Tomcat

🛡️ SharePoint sob ataque: zero-day crítica em exploração ativa

A Microsoft emitiu um alerta urgente nesta quinta-feira (25) sobre uma vulnerabilidade zero-day crítica no SharePoint Server, identificada como CVE‑2025‑53770 e com pontuação CVSS 9.8. A falha já está sendo explorada ativamente em ambientes corporativos e, até o momento, não há correção oficial disponível.

De acordo com a SecurityWeek, a vulnerabilidade apelidada de "ToolShell" permite que atacantes não autenticados executem comandos arbitrários no servidor afetado, comprometendo sistemas inteiros com apenas uma requisição. A falha afeta principalmente ambientes on-premises que utilizam o SharePoint 2019 e versões anteriores.

📎 Detalhes técnicos e impacto

• O ataque ocorre via interface web pública, explorando um manipulador malicioso de payloads via PowerShell.
• Após a execução do exploit, o invasor ganha persistência total no servidor.
• Organizações financeiras, educacionais e agências públicas já estão entre as vítimas identificadas.

Pesquisadores da Microsoft Security Response Center (MSRC) observaram que a cadeia de ataque se inicia com uma simples requisição GET contendo um payload ofuscado. Isso permite que grupos criminosos com baixo nível técnico consigam reproduzir o ataque com base em exemplos públicos de ferramentas PowerShell.

A ausência de um patch até o momento obriga empresas a tomarem medidas de mitigação emergenciais, como o bloqueio de portas, o isolamento de servidores SharePoint expostos e o monitoramento contínuo de logs com uso de ferramentas como o Rapid7 InsightIDR.

📎 Recomendações da Microsoft

• Implementar regras de detecção manual conforme descritas no comunicado do MSRC.
• Isolar temporariamente os servidores afetados da internet pública.
• Preparar planos de resposta imediata para troca de credenciais e restauração de sistemas.

Esta falha marca uma das vulnerabilidades mais graves do ano para ambientes Microsoft, segundo analistas da Unit 42. A expectativa é de que a Microsoft libere o patch em caráter emergencial nas próximas 48 horas, mas até lá, a exposição é considerada crítica.

Fonte: SecurityWeek – SharePoint Zero-Day

💡 Nós indicamos...

Previna-se e evite boa parte dos problemas:
💉 Kaspersky Antivirus
🔒 Proton VPN
🗂 Proton Drive
📫 Proton Mail
📟 OneKey

👉 Fique por dentro de Tudo!

💬 Converse com a gente!

Tem sugestões de pautas? Críticas? Sugestões? Comente abaixo! Sua opinião é essencial para continuarmos produzindo conteúdos relevantes e úteis para a comunidade de TI!