9 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a webshell.
Pesquisadores e projetos de monitoração detectaram um pico massivo de tentativas de exploração contra CVE‑2026‑1281, falha crítica em Ivanti EPMM. Relatos apontam mais de 28.300 IPs tentando abuso em 9/2/2026; Shadowserver disponibiliza dados de origem e Ivanti liberou patches temporários enquanto CISA exige correção imediata.
Exploração ativa de appliances Ivanti EPMM resultou no implante de um loader Java em memória (artefato /mifs/403.jsp) que funciona como backdoor adormecido. Defusedcyber e Shadowserver documentaram o método — payloads Base64 com bytecode (CAFEBABE), parâmetro de ativação k0f53cf964d387 e respostas delimitadas por 3cd3d/e60537. Ivanti publicou correções; reiniciar servidores de aplicação é recomendado para expulsar implantes em memória.
Analistas da Oasis Security relataram uma campanha que explorou CVE‑2025‑54236 (SessionReaper) no Magento, identificando mais de 1.000 APIs vulneráveis e o comprometimento de cerca de 200 sites com implantação de web shells e elevação a root. A recomendação é aplicar patches e auditar logs de sessão imediatamente.
Campanha explorou CVE‑2025‑64328 no Endpoint Manager do FreePBX para implantar o webshell EncystPHP; ataque, atribuído ao INJ3CTOR3 desde dez/2025, inclui criação de conta "newfpbx", múltiplos droppers e IoCs publicados para investigação.
CVE-2025-52691 é uma RCE pré‑autenticação (CVSS 10.0) em SmarterMail que explora /api/upload via path traversal no parâmetro GUID. A correção está na build 9413; PoC e artefatos de detecção foram publicados.
Uma falha de injeção de comando no recurso DesktopDirect do ArrayOS AG (≤9.4.5.8) está sendo explorada ativamente para instalar web shells e criar contas não autorizadas; Array disponibilizou correção (9.4.5.9) e JPCERT documentou campanhas desde agosto de 2025.
Reportagem aponta exploração ativa de uma vulnerabilidade de command injection em dispositivos Array AG Series VPN, com implantação de webshells e criação de contas administrativas rogue. A publicação não lista CVE nem versões afetadas; recomenda auditoria e mitigação imediata.
Vazamento de milhares de documentos internos do APT35 (Charming Kitten) expõe pipeline de exploração de Exchange, uso de ProxyShell, extração de Global Address Lists e playbooks com métricas operacionais; alvos listados incluem governos e setores críticos em várias regiões.
Zero-days em Citrix NetScaler (CVE-2025-5777) e Cisco ISE (CVE-2025-20337) foram explorados em larga escala para implantar um webshell em memória identificado como "IdentityAuditAction"; equipes de honeypot da Amazon detectaram a campanha.