cve-2026-25108 - RunkIntel

# CVE-2026-25108 - Soliton FileZen OS Command Injection (Exploração Ativa) > [!danger] CVSS: 9.1 (Crítico) · Vendor: Soliton Systems · CISA KEV: Sim (2026-02-24) · Exploração ativa contra empresas japonesas e parceiros americanos ## Visão Geral Conteúdo a ser adicionado - nota referênciada pelo feed CTI. ## Resumo Técnico **CVE-2026-25108** é uma vulnerabilidade crítica de **injeção de comandos do sistema operacional** (OS Command Injection) no **[[Soliton FileZen]]**, um servidor de transferência segura de arquivos amplamente utilizado no Japão por empresas do setor industrial, governo e parceiros de organizações americanas. A falha está presente quando a opção **Antivirus Check** está habilitada e permite que um atacante autenticado injete comandos OS via requisição HTTP, resultando em execução de código no servidor. A CISA adicionou CVE-2026-25108 ao KEV Catalog com base em **múltiplos incidentes confirmados** de exploração, incluindo ataques direcionados a empresas japonesas e organizações com parcerias com entidades americanas. **Pontuação de risco:** - CVSS v4.0: **8.7** / CVSS v3.1: **9.1** (Crítico) - CISA KEV: **adicionado em 2026-02-24** - exploração ativa confirmada pelo vendor e pela CISA - Vendor confirmou: **múltiplos incidentes de comprometimento relatados** ## Exploração A vulnerabilidade é acionada quando a funcionalidade de **verificação antivírus de arquivos carregados** está habilitada no FileZen. Durante o processamento de um upload, os metadados do arquivo são passados para um comando do sistema operacional sem sanitização adequada, permitindo que um atacante injete comandos OS adicionais. **Pré-requisito:** - Conta autenticada no FileZen (usuário com permissão de upload) - Opção "Antivirus Check Option" habilitada na configuração do servidor **Vetor de exploração:** ``` HTTP POST /upload_endpoint Filename: "arquivo.zip; comando_malicioso; " ``` O nome do arquivo ou parâmetros relacionados são passados para o shell do sistema, executando o comando injetado. **Impacto pós-exploração observado:** - Instalação de webshells no servidor FileZen - Exfiltração de arquivos transferidos (documentos corporativos, contratos, dados técnicos) - Movimento lateral para redes internas conectadas ao servidor de transferência - Persistência via backdoors implantados ## Impacto - **Execução de comandos no servidor:** controle total do sistema FileZen como processo do servidor web - **Acesso a todos os arquivos transferidos:** o servidor FileZen armazena temporariamente todos os arquivos em trânsito - **Comprometimento de dados confidenciais:** contratos, projetos, dados técnicos industriais - **Pivot para rede interna:** o servidor FileZen frequentemente tem acesso a redes internas corporativas para facilitar transferências **Impacto estratégico (contexto geopolítico):** Relatórios indicam que o FileZen é usado por empresas japonesas de defesa, manufatura avançada e parceiros de cadeias de fornecimento de organizações americanas. O comprometimento pode resultar em espionagem industrial e exfiltração de propriedade intelectual. **Versões afetadas:** | Produto | Versão Afetada | Ação | |---------|---------------|------| | FileZen | 4.2.1 – 4.2.8 | Atualizar para 7.0.8+ | | FileZen | 5.0.0 – 5.0.10 | Atualizar para 7.0.8+ | ## Mitigação **Atualização imediata:** - Atualizar para **FileZen 7.0.8 ou superior** - Advisory oficial do Soliton Systems: consultar portal de suporte do vendor **Mitigação imediata enquanto patch não aplicado:** - **Desabilitar a opção "Antivirus Check"** - elimina o vetor de injeção - Restringir acesso ao servidor FileZen por IP (apenas usuários autorizados) - Monitorar logs de upload para nomes de arquivo com caracteres especiais (`;`, `|`, `

, backtick) **Verificação de comprometimento:** - Verificar presença de webshells em diretórios de upload do FileZen - Revisar logs de acesso para requisições HTTP com payloads suspeitos - Auditar contas de usuário para acessos anômalos - Inspecionar processos filhos inesperados do processo do servidor FileZen ## Contexto LATAM > [!latam] Impacto para Brasil e América Latina > Embora o **Soliton FileZen** seja um produto predominantemente japonês, a relevância desta CVE para o Brasil e LATAM se dá por duas vias: (1) empresas multinacionais com subsidiárias ou parcerias com indústrias japonesas de manufatura, defesa e tecnologia que utilizam FileZen em suas cadeias de transferência de arquivos; (2) o padrão de exploração de servidores de transferência segura de arquivos é replicado globalmente — ataques similares a produtos como **MOVEit Transfer** e **GoAnywhere MFT** impactaram organizações brasileiras do setor financeiro e governo em 2023-2024. Organizações com parceiros no Japão devem auditar se utilizam FileZen em integrações B2B e priorizar atualização imediata. ## Notas Relacionadas **Produto:** [[Soliton FileZen]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1505-003-web-shell|T1505.003 - Web Shell]] · [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] · [[t1560-archive-collected-data|T1560 - Archive Collected Data]] **Contexto geopolítico:** Exploração direcionada a empresas japonesas de indústria pesada e defesa - relevante para monitoramento de supply-chain de parceiros **Setores em risco:** [[indústria]] · [[defense]] · [[technology]] ## Referências - [NVD - CVE-2026-25108](https://nvd.nist.gov/vuln/detail/CVE-2026-25108) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Soliton Systems - Security Advisory](https://www.soliton.co.jp/en/) - [JPCERT/CC Advisory](https://www.jpcert.or.jp/english/) - [BleepingComputer - FileZen vulnerability](https://www.bleepingcomputer.com)