Hack Alerta

Devolutions Server: pre‑MFA cookie permite impersonação (CVE-2025-12485); corrija para as builds indicadas

Por Redação Hack Alerta Publicado em 11/11/2025 12:02 Riscos e Ameaças Tempo de leitura: 3 min

CVE-2025-12485 em Devolutions Server permite que um usuário com privilégios baixos capture ou replique cookies pré‑MFA para assumir sessões de outros usuários. Devolutions liberou correções (2025.3.6.0 e 2025.2.17.0); aplique os patches e revise logs de autenticação.

Um erro no tratamento de cookies de autenticação antes da verificação multi‑fator no Devolutions Server foi classificado como CVE‑2025‑12485 e recebeu severidade crítica (CVSS 9.4). A falha permite que um usuário autenticado com privilégios baixos capture ou reaproveite um cookie pré‑MFA para assumir a sessão de outro usuário.

Mecanismo da falha

Ao iniciar login, o Devolutions Server gera cookies temporários antes de completar o passo de MFA. Esses cookies contêm informação suficiente para que um atacante com acesso de rede e privilégios básicos capture ou reproduza o cookie e, assim, estabelecer uma sessão como outro usuário sem conhecer suas credenciais. As métricas CVSS 4.0 e a descrição oficial indicam que o atacante precisa apenas de acesso de rede e não requer interação do usuário alvo.

Impacto sobre gestão de credenciais

Como Devolutions Server é usado para gestão de credenciais e acesso, a possibilidade de impersonação pode expor credenciais armazenadas, permitir movimentação lateral e ações administrativas dependendo do privilégio da conta comprometida. O vetor torna crítico o tempo entre divulgação e aplicação das correções.

Correção e mitigações

Devolutions publicou atualizações que corrigem o problema e recomenda que organizações atualizem para Devolutions Server 2025.3.6.0 (ou superior) e para 2025.2.17.0 (ou superior) conforme a track utilizada. Administradores devem priorizar a aplicação desses patches e auditar logs de autenticação para detectar tentativas de abuso anteriores à correção.

Respostas imediatas sugeridas

  • Aplicar as versões indicadas pela Devolutions imediatamente.
  • Revisar logs de autenticação e sessões para identificar replay/captura de cookies pré‑MFA e atividades anômalas.
  • Reforçar controles de rede e segmentação para reduzir a superfície de ataque a serviço de gestão de credenciais.

Limitações das fontes

As fontes documentam o CVE, a pontuação de risco (9.4) e as versões corrigidas. Não há nas publicações dados públicos sobre exploração ativa em larga escala até o momento da divulgação; contudo, devido ao impacto potencial sobre vaults de credenciais, a recomendação pública é tratar a correção como de alta prioridade.

Implicações operacionais e conformidade

Organizações que dependem de Devolutions Server para gestão de segredos e acessos devem encarar a atualização como essencial para reduzir risco de comprometimento de contas privilegiadas. Além disso, é prudente revisar procedimentos de rotação de segredos e verificar exigências de conformidade que dependam da integridade do vault (logs, auditoria e MFA efetivo).

Baseado em publicação original de Cyber Security News
Tags: #devolutions #pre-mfa #cookie #impersonation #mfa #vault #credentials #patch #audit
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar