# CVE-2024-7694 - Upload Arbitrário de Arquivos no TeamT5 ThreatSonar Anti-Ransomware > [!high] > Vulnerabilidade de upload irrestrito de arquivos no ThreatSonar Anti-Ransomware da TeamT5 permite que atacantes com privilégios de administrador na plataforma façam upload de arquivos maliciosos e executem comandos arbitrários no servidor. Adicionada ao CISA KEV em fevereiro de 2026 com exploração ativa confirmada. ## Visão Geral O CVE-2024-7694 é uma vulnerabilidade de upload irrestrito de arquivo com tipo perigoso (CWE-434) no produto ThreatSonar Anti-Ransomware da empresa taiwanesa TeamT5, especializada em inteligência de ameaças APT. O produto não válida adequadamente o conteúdo dos arquivos enviados para a plataforma, permitindo que atacantes remotos com privilégios de administrador façam upload de arquivos maliciosos que podem ser usados para executar comandos arbitrários do sistema no servidor. A ironia desta vulnerabilidade está em seu contexto: ela afeta uma solução de segurança projetada específicamente para proteger contra ransomware. A exploração bem-sucedida compromete a própria ferramenta de defesa, convertendo-a em vetor de ataque. Um atacante que obtém credenciais de administrador da plataforma - por exemplo, através de phishing ou credential stuffing - pode usar este canal para executar código malicioso com os privilégios do servidor ThreatSonar. A vulnerabilidade foi divulgada pela TW-CERT em agosto de 2024 (advisory TVN-202408002) e adicionada ao catálogo CISA KEV em 17 de fevereiro de 2026, com prazo de remediação até 10 de março de 2026 para agências federais dos EUA. A TeamT5 é uma empresa de inteligência de ameaças com foco na Ásia-Pacífico, especialmente em ameaças de APTs chineses e sul-asiáticos. ## Produtos Afetados | Produto | Vendor | Versões Vulneráveis | Versão Corrigida | |---------|--------|--------------------|--------------------| | ThreatSonar Anti-Ransomware | TeamT5 | <= 3.4.5 | 3.4.6 ou superior | ## Detalhes Técnicos O mecanismo de upload de arquivos da plataforma ThreatSonar não implementa válidação adequada do tipo MIME ou extensão dos arquivos enviados. Isso permite que um atacante autenticado como administrador faça upload de scripts executáveis (como JSP, PHP ou outros tipos perigosos) que são então armazenados e potencialmente executados pelo servidor da aplicação. **Vetor de ataque:** Rede (requer credenciais de administrador) **Pré-requisito:** Acesso de administrador à plataforma ThreatSonar **CVSS 3.1:** 7.2 High **CWE:** CWE-434 (Unrestricted Upload of File with Dangerous Type) **Fluxo de exploração típico:** 1. Obtenção de credenciais de administrador (phishing, brute force, credential stuffing) 2. Login na plataforma ThreatSonar Anti-Ransomware 3. Upload de arquivo malicioso (webshell ou script executável) 4. Execução de comandos arbitrários no servidor host 5. Movimento lateral ou estabelecimento de persistência ## Mitigação 1. **Atualizar imediatamente** para a versão 3.4.6 ou superior do ThreatSonar Anti-Ransomware 2. **Proteger credenciais de administrador** - Implementar MFA para todos os acessos administrativos à plataforma 3. **Auditar logs de upload** - Revisar histórico de uploads de arquivos na plataforma em busca de atividade suspeita 4. **Segmentação** - Restringir acesso à interface de administração do ThreatSonar a IPs confiáveis 5. **Monitoramento** - Alertar para uploads de arquivos com extensões executáveis (jsp, php, exe, sh) > [!latam] > O ThreatSonar Anti-Ransomware da TeamT5 é utilizado principalmente em organizações na Ásia-Pacífico, com foco em Taiwan e países que enfrentam ameaças de APTs chineses. No Brasil e LATAM, o impacto direto é limitado, mas a vulnerabilidade serve como alerta para um padrão crítico: soluções de segurança e ferramentas anti-ransomware podem se tornar vetores de ataque quando vulneráveis. Organizações brasileiras que utilizam plataformas de segurança endpoint similares devem verificar regularmente CVEs de seus próprios fornecedores de segurança. ## Notas Relacionadas **TTPs:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] **Mitigações:** [[m1051-update-software|M1051 - Atualização de Software]] · [[m1049-antivirusantimalware|M1049 - Antivírus e Antimalware]] **Setores em risco:** [[technology]] ## Referências - [NVD](https://nvd.nist.gov/vuln/detail/CVE-2024-7694) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [TeamT5 Advisory TVN-202408002](https://teamt5.org/en/posts/vulnerability-notice-threat-sonar-anti-ransomware-20240715/) - [TW-CERT Advisory](https://www.twcert.org.tw/en/cp-139-8000-e5a5c-2.html) - [News4Hackers Coverage](http://www.news4hackers.com/cisa-identifies-four-actively-exploited-security-vulnerabilities-in-latest-kev-update/)