2026-w06 - RunkIntel

# CTI Weekly - 2026-W06 > Período: 2026-02-02 a 2026-02-08 · Edição #6 · Atualizado em 2026-03-30 > Fontes primárias: CISA KEV, BleepingComputer, The Hacker News, SecurityWeek, Security Affairs, Fortinet, Shadowserver, Rapid7, Krebs on Security, NVD. | Período | Nível LATAM | CVEs Críticos | Campanhas Ativas | Fontes | |:-------:|:-----------:|:-------------:|:----------------:|:------:| | **02-08 fev** | 🟧 **Médio-Alto** | **8+** | **3+** | **14+** | > [!danger]- Destaques da Semana > | P | Destaque | > |---|---------| > | 🟥 P1 | **[[cve-2025-40551\|CVE-2025-40551]]** (SolarWinds WHD, CVSS 9.8) - KEV 03/02, RCE pré-auth, **prazo federal 06/02** | > | 🟥 P1 | **[[cve-2025-64328\|CVE-2025-64328]]** (Sangoma FreePBX) - KEV 03/02, 900+ instâncias comprometidas, web shells EncystPHP | > | 🟥 P1 | **[[cve-2026-20805\|CVE-2026-20805]]** (Windows DWM EoP) - exploração ativa, escalação para SYSTEM | > | 🟧 P2 | **Patch Tuesday fev/2026** - 6 zero-days ativos, 58 falhas, preview crítico para 10/02 | > | 🟧 P2 | **FreePBX INJ3CTOR3** - campanha de fraude VoIP com 900+ sistemas, presença no Brasil | > | 🟧 P2 | **Prazos KEV janeiro** - 4 CVEs com prazo 12/02 ([[cve-2025-54313\|CVE-2025-54313]], [[cve-2025-34026\|CVE-2025-34026]], [[cve-2025-68645\|CVE-2025-68645]], [[cve-2025-31125\|CVE-2025-31125]]) | ```mermaid pie title Distribuição por Categoria - W06/2026 "Vulnerabilidades Críticas" : 8 "Ransomware/Crime" : 3 "Supply Chain" : 2 "Ameaças LATAM/Brasil" : 3 "Preparação Patch Tuesday" : 1 ``` --- ## Sumário Executivo A semana W06/2026 foi dominada pela adição de quatro vulnerabilidades ao catálogo **CISA KEV** em 03 de fevereiro, com destaque para o [[cve-2025-40551|CVE-2025-40551]] (CVSS 9.8) no **[[solarwinds-web-help-desk|SolarWinds Web Help Desk]]** — uma falha de deserialização não autenticada que permite execução remota de código com privilégios do serviço. Com PoC público disponível e prazo federal de remediação em apenas 3 dias (06/02), a urgência foi máxima para agências governamentais e empresas que utilizam a plataforma de ITSM. Paralelamente, a campanha de exploração do [[cve-2025-64328|CVE-2025-64328]] no **[[sangoma-freepbx|Sangoma FreePBX]]** atingiu mais de 900 instâncias comprometidas globalmente — incluindo sistemas no Brasil — com implantação de web shells **EncystPHP** pelo grupo **INJ3CTOR3**, especializado em fraude VoIP. No campo de vulnerabilidades Windows, o [[cve-2026-20805|CVE-2026-20805]] no Desktop Window Manager (DWM) confirmou exploração ativa para escalação de privilégios a SYSTEM, enquanto a comunidade se preparava para o **Patch Tuesday de fevereiro** da [[_microsoft|Microsoft]], agendado para 10/02 — que traria correções para **6 zero-days ativamente explorados** e 58 falhas, incluindo [[cve-2026-21510|CVE-2026-21510]] (bypass Windows Shell), [[cve-2026-21513|CVE-2026-21513]] (bypass MSHTML) e [[cve-2026-21519|CVE-2026-21519]] (EoP no DWM). O volume de zero-days no preview sinalizava uma superfície de ataque Windows significativamente exposta. No ecossistema de ransomware, fevereiro de 2026 registraria 680 vítimas em 54 grupos ativos (BreachSense). Na semana W06 especificamente, o grupo **Incransom** listou o escritório Hawk Law Group como vítima, e o grupo **0APT** — que emergiu na semana anterior reivindicando 71 vítimas — continuou operações de dupla extorsão com infraestrutura sofisticada na rede Tor. **Nível de ameaça geral para LATAM esta semana:** 🟧 Médio-Alto --- ## Vulnerabilidades Críticas da Semana | CVE | CVSS | Produto | Exploração | CISA KEV | Ação | |-----|------|---------|------------|----------|------| | [[cve-2025-40551\|CVE-2025-40551]] | 9.8 | SolarWinds Web Help Desk | ✅ Ativa - RCE pré-auth, PoC público | ✅ 03/02 · **Prazo 06/02** | **Patch para 2026.1** | | [[cve-2025-64328\|CVE-2025-64328]] | Alto | Sangoma FreePBX | ✅ Ativa - 900+ instâncias, web shells | ✅ 03/02 | **Patch + auditar web shells** | | [[cve-2019-19006\|CVE-2019-19006]] | 9.8 | Sangoma FreePBX | ✅ Ativa - auth bypass, INJ3CTOR3 | ✅ 03/02 | **Patch urgente** | | [[cve-2021-39935\|CVE-2021-39935]] | Alto | GitLab CE/EE | ✅ Ativa - SSRF, surge em scans | ✅ 03/02 | **Atualizar GitLab** | | [[cve-2026-20805\|CVE-2026-20805]] | 7.8 | Windows DWM | ✅ Ativa - EoP para SYSTEM | ✅ | **Patch Windows** | | [[cve-2025-54313\|CVE-2025-54313]] | Crítico | eslint-config-prettier | ✅ Supply chain npm | ✅ (prazo 12/02) | **Auditar npm** | | [[cve-2025-34026\|CVE-2025-34026]] | 9.2 | Versa Concerto | ✅ Auth bypass | ✅ (prazo 12/02) | **Patch urgente** | | [[cve-2025-68645\|CVE-2025-68645]] | Crítico | Zimbra | ✅ RFI ativa | ✅ (prazo 12/02) | **Verificar IOCs** | --- ### CVE em Destaque: [[cve-2025-40551|CVE-2025-40551]] - SolarWinds Web Help Desk RCE Pré-Autenticado O [[cve-2025-40551|CVE-2025-40551]] (CVSS 9.8) é uma vulnerabilidade crítica de **deserialização de dados não confiáveis** no componente AjaxProxy do **[[solarwinds-web-help-desk|SolarWinds Web Help Desk]]** — plataforma de ITSM amplamente utilizada em ambientes governamentais e corporativos. A exploração permite que um atacante **sem autenticação** envie requisições especialmente construídas para executar comandos arbitrários com os privilégios do serviço WHD. **Por que é urgente:** - **CVSS 9.8** — vetor de rede, sem autenticação, complexidade baixa - **PoC público** disponível — a Horizon3.ai publicou análise detalhada e exploit funcional - **CISA KEV** adicionado em 03/02/2026 — prazo federal de remediação em **06/02** (apenas 3 dias) - **Histórico SolarWinds** — a plataforma Web Help Desk acumulou múltiplas CVEs críticas em 2025-2026 ([[cve-2025-26399|CVE-2025-26399]], [[cve-2025-40552|CVE-2025-40552]], [[cve-2025-40553|CVE-2025-40553]], [[cve-2025-40554|CVE-2025-40554]]), sinalizando fragilidade arquitetural persistente **Impacto:** Um servidor WHD comprometido oferece acesso a tickets de suporte contendo credenciais, dados de configuração de infraestrutura e informações sensíveis de usuários. A plataforma é frequentemente integrada com Active Directory e outras ferramentas de gerenciamento, ampliando o raio de comprometimento. Organizações com WHD expostos à internet são alvos imediatos. **Para o Brasil e LATAM:** O SolarWinds Web Help Desk é utilizado em órgãos governamentais, universidades e empresas de médio/grande porte na região. A presença em ambientes de [[government|governo]] e [[technology|tecnologia]] torna o impacto especialmente relevante. **Mitigação imediata:** 1. Atualizar para SolarWinds Web Help Desk **versão 2026.1** 2. Se não for possível atualizar: isolar o WHD da internet imediatamente 3. Auditar logs de acesso ao componente AjaxProxy por requisições anômalas 4. Verificar indicadores de comprometimento publicados pela Rapid7 e Horizon3.ai 5. Rotacionar credenciais de contas integradas (AD, LDAP) como precaução **Referências:** [Rapid7 - Multiple Critical SolarWinds WHD Vulnerabilities](https://www.rapid7.com/blog/post/etr-multiple-critical-solarwinds-web-help-desk-vulnerabilities-cve-2025-40551-40552-40553-40554/) · [CISA KEV](https://www.cisa.gov/news-events/alerts/2026/02/03/cisa-adds-four-known-exploited-vulnerabilities-catalog) - 2026-02-03 --- ### [[cve-2025-64328|CVE-2025-64328]] - FreePBX: 900+ Instâncias Comprometidas pela Campanha INJ3CTOR3 O [[cve-2025-64328|CVE-2025-64328]] é uma vulnerabilidade de **injeção de comando pós-autenticação** no Sangoma FreePBX (versões 17.0.2.36 a 17.0.3), que permite a usuários autenticados executar comandos shell arbitrários como o usuário `asterisk`. Apesar de patches disponíveis desde novembro de 2025, a exploração ativa atingiu escala massiva em fevereiro de 2026, com **mais de 900 instâncias confirmadas comprometidas** globalmente. **Cadeia de ataque observada (Fortinet/Shadowserver):** 1. Acesso inicial via [[cve-2019-19006|CVE-2019-19006]] (auth bypass) ou credenciais comprometidas 2. Exploração do [[cve-2025-64328|CVE-2025-64328]] para injeção de comandos 3. Deploy do web shell **EncystPHP** com múltiplas capacidades de persistência 4. Criação de usuário root, injeção de chave SSH, eliminação de rivais 5. Coleta de configurações de banco de dados e credenciais 6. Monetização via fraude telefônica (chamadas premium internacionais) **Atribuição:** A campanha é atribuída ao grupo **INJ3CTOR3** (também conhecido como **INJ3CTOR3 Operation**), grupo financeiramente motivado identificado pela Check Point em 2020, especializado em comprometimento de sistemas VoIP para revenda de acesso e fraude telefônica. **Distribuição geográfica:** EUA (maioria), seguido por **Brasil**, Canadá, Alemanha e França. Empresas brasileiras de telecomúnicações e call centers que utilizam FreePBX estão diretamente em risco. **Mitigação:** Atualizar FreePBX para versão 17.0.3+. Auditar existência de web shells PHP no servidor. Verificar usuários criados recentemente e chaves SSH autorizadas. Monitorar padrões anormais de chamadas internacionais. --- ## Campanhas e Threat Actors ### 0APT Ransomware - Operações Continuadas O grupo **0APT**, que emergiu em 28 de janeiro reivindicando 71 vítimas simultâneas, continuou operações durante a semana W06. A análise da comunidade de inteligência revelou: - **Infraestrutura:** site de leak na rede Tor com design sofisticado - **Setores alvo:** diversificado — [[financial|financeiro]], [[healthcare|saúde]], manufatura, serviços profissionais - **Geografia:** majoritariamente América do Norte e Europa, sem alvos LATAM confirmados - **Modelo:** dupla extorsão — criptografia de dados + ameaça de publicação > [!warning] Avaliação > O volume de reivindicações sugere que operadores do 0APT podem ser veteranos de outros grupos de ransomware (rebrand). A análise de TTPs e tooling ainda está em andamento pela comunidade de pesquisa. Fevereiro de 2026 registraria 680 vítimas de ransomware em 54 grupos ativos (BreachSense). ### Incransom - Hawk Law Group O grupo **Incransom** publicou o escritório **Hawk Law Group** como vítima em 01/02/2026, com atividade inicial observada em 31/01. Escritórios de advocacia são alvos de alto valor para ransomware por conterem dados confidenciais de clientes, contratos e propriedade intelectual. ### Proliferação de Grupos RaaS O ecossistema de ransomware continuou sua expansão acelerada na semana W06: - **Novos grupos** adotando modelos RaaS com baixa barreira de entrada - **Ferramentas compartilhadas** — builders vazados como [[lockbit|LockBit]] 3.0 Builder continuam sendo reutilizados por novos afiliados - **Especialização:** separação de funções — initial access brokers (IABs), operadores de ransomware e negociadores - **Tempo de dwell** diminuindo — de semanas para dias entre acesso inicial e deploy do ransomware - **Brasil** permanece como 2º país mais visado pelo [[ransomhub|RansomHub]] após os EUA, e entre os top 5 globais de ransomware ### Preparação para Patch Tuesday - 10/02/2026 A comunidade antecipava o Patch Tuesday de fevereiro da [[_microsoft|Microsoft]], que seria o mais significativo do ano até então: - **6 zero-days ativamente explorados** — incluindo [[cve-2026-21510|CVE-2026-21510]] (bypass Windows Shell), [[cve-2026-21513|CVE-2026-21513]] (bypass MSHTML), [[cve-2026-21514|CVE-2026-21514]] (bypass Word), [[cve-2026-21519|CVE-2026-21519]] (EoP DWM), [[cve-2026-21525|CVE-2026-21525]] (DoS RACM), [[cve-2026-21533|CVE-2026-21533]] (EoP RDS) - **58 falhas** corrigidas, 5 classificadas como "Críticas" - Componentes afetados: [[Exchange]], Windows NTLM, Remote Desktop, Graphics Component - Certificados Secure Boot atualizados — substituição dos certificados de 2011 que expiram em junho/2026 --- ## LATAM / Brasil > [!info] Panorama Regional ### FreePBX: Brasil entre os Países Mais Afetados A campanha INJ3CTOR3 explorando [[cve-2025-64328|CVE-2025-64328]] no FreePBX atingiu sistemas no **Brasil** como segundo país mais afetado, atrás dos EUA. O impacto é especialmente relevante para: - **Empresas de [[telecom|telecomúnicações]]** e call centers que utilizam FreePBX como PBX IP - **PMEs** que adotaram FreePBX como solução de telefonia de baixo custo - **Risco de fraude telefônica** — chamadas premium internacionais geram prejuízo financeiro direto O CERT.br não emitiu alerta específico sobre a campanha, mas a presença confirmada de instâncias comprometidas no Brasil exige ação imediata. ### Prazos CISA KEV e Impacto Brasil O prazo de **12 de fevereiro** para as CVEs adicionadas ao KEV em janeiro permaneceu relevante: - **[[zimbra|Zimbra]]** ([[cve-2025-68645|CVE-2025-68645]]): órgãos [[government|governamentais]] brasileiros são usuários significativos do Zimbra. A exploração ativa desde janeiro aumenta o risco de comprometimentos retroativos - **Cadeia de suprimentos npm** ([[cve-2025-54313|CVE-2025-54313]]): startups e empresas de [[technology|tecnologia]] brasileiras utilizam massivamente pacotes npm — o risco de propagação é real - **[[solarwinds-web-help-desk|SolarWinds WHD]]** ([[cve-2025-40551|CVE-2025-40551]]): universidades, órgãos governamentais e empresas de médio/grande porte no Brasil utilizam a plataforma ### Tendências Regionais - **Ransomware em crescimento:** Brasil permanece entre os top 5 alvos globais de ransomware, com aumento de 78% em incidentes na América Latina entre 2024 e 2025 - **Banking trojans:** Famílias como [[chavecloak|CHAVECLOAK]], [[water-saci|Water Saci]] e [[relaynfc|RelayNFC]] continuam ativas contra o ecossistema [[financial|financeiro]] brasileiro - **VoIP como vetor:** A campanha FreePBX demonstra que infraestrutura de telecomúnicações é alvo viável e lucrativo para grupos de crime organizado --- ## TTPs em Destaque ### [[t1068-exploitation-privilege-escalation|T1068]] - Exploração para Escalação de Privilégios O [[cve-2026-20805|CVE-2026-20805]] no DWM e os 6 zero-days do Patch Tuesday preview exemplificam a importância de vulnerabilidades de escalação de privilégios na cadeia de ataque moderna. Atacantes frequentemente combinam: 1. **Acesso inicial** via phishing ([[t1566-phishing|T1566]]) ou exploit web ([[t1190-exploit-public-facing-application|T1190]]) 2. **Escalação** via EoP local como [[cve-2026-20805|CVE-2026-20805]] ou [[cve-2026-21519|CVE-2026-21519]] ([[t1068-exploitation-privilege-escalation|T1068]]) 3. **Persistência** com privilégios SYSTEM ([[t1053-scheduled-task-job|T1053]]) 4. **Movimentação lateral** com credenciais elevadas ([[t1021-remote-services|T1021]]) ### [[t1059-004-unix-shell|T1059.004]] - Injeção de Comando via Unix Shell A campanha FreePBX/INJ3CTOR3 explora injeção de comando no shell do Linux para deploy de web shells, criação de backdoors SSH e eliminação de logs — demonstrando a cadeia [[t1190-exploit-public-facing-application|T1190]] → [[t1059-004-unix-shell|T1059.004]] → [[t1505-003-web-shell|T1505.003]] → [[t1098-account-manipulation|T1098]]. **Detecção:** - Monitorar processos filhos incomuns do `dwm.exe` em Windows - Alertar sobre criação de processos com token SYSTEM a partir de contextos de usuário limitado - Auditar criação de usuários e modificação de chaves SSH autorizadas em servidores Linux - Implementar detecção de web shells PHP (hashes conhecidos de EncystPHP) - Monitorar padrões anormais de chamadas telefônicas internacionais em sistemas VoIP --- ## Indicadores de Prioridade para SOCs > Escala: 🟥 Crítico · 🟧 Alto · 🟨 Médio · 🟦 Monitorar | Prioridade | Item | Ação | |------------|------|------| | 🟥 P1 | [[cve-2025-40551\|CVE-2025-40551]] (SolarWinds WHD) **PRAZO 06/02** | Patch para 2026.1 + isolar da internet | | 🟥 P1 | [[cve-2025-64328\|CVE-2025-64328]] + [[cve-2019-19006\|CVE-2019-19006]] (FreePBX) | Patch + auditar web shells + verificar usuários SSH | | 🟥 P1 | [[cve-2026-20805\|CVE-2026-20805]] (Windows DWM EoP) | Patch Windows imediato | | 🟥 P1 | [[cve-2025-34026\|CVE-2025-34026]] (Versa Concerto) **Prazo 12/02** | Patch urgente — auth bypass ativo | | 🟧 P2 | Patch Tuesday 10/02 - 6 zero-days ativos | Preparar ciclo de patches para toda a frota Windows | | 🟧 P2 | [[cve-2025-68645\|CVE-2025-68645]] (Zimbra RFI) **Prazo 12/02** | Verificar IOCs + patchear instâncias Zimbra | | 🟧 P2 | [[cve-2025-54313\|CVE-2025-54313]] (eslint-config-prettier) **Prazo 12/02** | Auditar cadeia de suprimentos npm | | 🟧 P2 | [[cve-2021-39935\|CVE-2021-39935]] (GitLab SSRF) | Atualizar GitLab + monitorar scans SSRF | | 🟧 P2 | 0APT Ransomware — 71 vítimas, operações ativas | Monitorar IOCs e leak site | | 🟧 P2 | FreePBX INJ3CTOR3 — Brasil afetado | Auditar sistemas VoIP por web shells e chamadas anômalas | | 🟨 P3 | [[cve-2025-31125\|CVE-2025-31125]] (Vite Dev Server) **Prazo 12/02** | Atualizar Vite em ambientes de desenvolvimento | | 🟨 P3 | Incransom - escritórios de advocacia | Alertar setor jurídico sobre riscos de ransomware | | 🟨 P3 | Banking trojans Brasil (CHAVECLOAK, Water Saci) | Reforçar detecção em endpoints financeiros | | 🟦 P4 | Secure Boot certificates update (jun/2026) | Planejar renovação de certificados | --- ## Referências da Semana - [1] [CISA - Adds Four Known Exploited Vulnerabilities to Catalog](https://www.cisa.gov/news-events/alerts/2026/02/03/cisa-adds-four-known-exploited-vulnerabilities-catalog) - 2026-02-03 - [2] [The Hacker News - CISA Adds Actively Exploited SolarWinds Web Help Desk RCE to KEV](https://thehackernews.com/2026/02/cisa-adds-actively-exploited-solarwinds.html) - 2026-02-03 - [3] [Rapid7 - Multiple Critical SolarWinds WHD Vulnerabilities](https://www.rapid7.com/blog/post/etr-multiple-critical-solarwinds-web-help-desk-vulnerabilities-cve-2025-40551-40552-40553-40554/) - 2026-01-28 - [4] [Horizon3.ai - CVE-2025-40551 SolarWinds WHD RCE](https://horizon3.ai/attack-research/cve-2025-40551-another-solarwinds-web-help-desk-deserialization-issue/) - 2026-02 - [5] [The Hacker News - 900+ Sangoma FreePBX Instances Compromised](https://thehackernews.com/2026/02/900-sangoma-freepbx-instances.html) - 2026-02 - [6] [Security Affairs - CVE-2025-64328 Exploitation Impacts 900 FreePBX Instances](https://securityaffairs.com/188679/uncategorized/cve-2025-64328-exploitation-impacts-900-sangoma-freepbx-instances.html) - 2026-02 - [7] [Fortinet - Unveiling the Weaponized Web Shell EncystPHP](https://www.fortinet.com/blog/threat-research/unveiling-the-weaponized-web-shell-encystphp) - 2026-02 - [8] [NVD - CVE-2026-20805 Detail](https://nvd.nist.gov/vuln/detail/CVE-2026-20805) - 2026-02 - [9] [BleepingComputer - Microsoft February 2026 Patch Tuesday Fixes 6 Zero-Days](https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2026-patch-tuesday-fixes-6-zero-days-58-flaws/) - 2026-02-10 - [10] [Krebs on Security - Patch Tuesday, February 2026 Edition](https://krebsonsecurity.com/2026/02/patch-tuesday-february-2026-edition/) - 2026-02-10 - [11] [SecurityWeek - 6 Actively Exploited Zero-Days Patched by Microsoft](https://www.securityweek.com/6-actively-exploited-zero-days-patched-by-microsoft-with-february-2026-updates/) - 2026-02-10 - [12] [BreachSense - February 2026 Ransomware Report: 680 Victims, 54 Groups](https://www.breachsense.com/ransomware-reports/february-2026/) - 2026-02 - [13] [CM-Alliance - February 2026 Cyber Attacks, Data Breaches, Ransomware](https://www.cm-alliance.com/cybersecurity-blog/february-2026-recent-cyber-attacks-data-breaches-ransomware-attacks) - 2026-02 - [14] [CISA - Known Exploited Vulnerabilities Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - 2026-02 --- *Próximo: [[2026-w07|W07]] · Anterior: [[2026-w05|W05]] · Arquivo: [[_weekly|Todas as edições]] · [[_feed|Feed CTI]]* --- **Navegação:** [[readme|Hub]] · [[_feed|Feed]] · [[guide-learning|Aprender]] · [[guide-analyst|Analista]] · [[sources|Fontes]] · [[subscribe|Assinar]]