Hackers contornam MFA em VPN SonicWall devido a falha de patching incompleto
Hackers contornam MFA em VPN SonicWall devido a falha de patching incompleto. Exploração permite acesso à rede interna e implantação de ransomware.
Tag
Tag: patching
15 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a patching.
Verizon DBIR 2026: exploração de vulnerabilidade supera roubo de credenciais como principal vetor de invasão
O relatório DBIR 2026 da Verizon destaca uma mudança histórica: a exploração de vulnerabilidades tornou-se o vetor de invasão mais comum, superando o roubo de credenciais. O uso de IA acelera os ataques, enquanto atrasos no patching e compromissos de terceiros continuam a aumentar. O artigo analisa as implicações para CISOs, o impacto no Brasil e as medidas de mitigação necessárias para proteger infraestruturas críticas contra essa nova realidade
Relatório DBIR da Verizon aponta aumento de explorações e atraso no patching
Relatório DBIR da Verizon aponta aumento de explorações e atraso no patching. 31% dos acessos iniciais envolvem exploração, destacando lacuna de segurança.
F5 corrige falhas que afetam BIG‑IP e ecossistema NGINX; priorize patches
A F5 publicou correções em BIG‑IP, NGINX e serviços de ingress que incluem vulnerabilidades com CVSS v4.0 até 8.2, principalmente DoS e exposições de configuração. Administradores devem identificar instâncias expostas, testar atualizações em staging e priorizar patches em ambientes de borda e ingress.
CISA fez alterações não divulgadas no catálogo KEV que destacam risco em perímetro
DarkReading reporta que a CISA fez atualizações pouco divulgadas no catálogo KEV, e cerca de um terço das CVEs reclassificadas afetam dispositivos de borda, levando pesquisadores a alertar para playbooks de ransomware centrados no perímetro.
CISA confirma exploração ativa de zero‑day no Cisco Unified Communications
A CISA confirmou exploração ativa do zero‑day CVE-2026-20045 em produtos Cisco Unified Communications e incluiu a falha em seu catálogo KEV. Cisco publicou versões corrigidas; órgãos devem aplicar mitigação até 11/02/2026 ou descontinuar uso.
CISA expande catálogo KEV em 20% durante 2025 e inclui 24 falhas exploradas por ransomware
O catálogo KEV da CISA cresceu ~20% em 2025, alcançando 1.484 entradas; 24 falhas adicionadas têm evidência de exploração por grupos de ransomware. Equipes devem priorizar correções e controles compensatórios.
ASUS Live Update (CVE‑2025‑59374): contexto e por que nem toda alerta CISA é urgente
Análise mostra que CVE‑2025‑59374 refere‑se a um ataque supply‑chain em software ASUS Live Update já EoL. Para a maioria das empresas atualizadas o risco é baixo; equipes devem inventorizar e isolar instâncias legadas.
React2Shell: exploração em circulação esperada para CVE‑2025‑55182 no React
CVE‑2025‑55182, apelidada React2Shell em algumas coberturas, é uma falha crítica no React cuja exploração em ambiente real é esperada, mas afeta apenas instâncias que adotaram um recurso novo; desenvolvedores devem revisar dependências e aplicar patches.
Atualização do Chrome corrige zero-day ativo no motor V8 (CVE-2025-13223)
Google liberou correções do Chrome para tratar duas falhas, incluindo CVE-2025-13223, um type confusion no motor V8 (CVSS 8.8) explorado ativamente e capaz de causar execução remota de código ou crashes; aplicar patches imediatamente.