Principais Acontecimentos da Semana (16 e 22 de novembro de 2025)

A semana trouxe uma combinação pesada de ataques à cadeia de suprimentos (com impacto em grandes plataformas), vazamentos massivos de dados e múltiplas vulnerabilidades ativamente exploradas — incluindo falhas críticas em infraestrutura de identidade e ferramentas amplamente usadas. Abaixo, os principais acontecimentos, com foco em ataques, vazamentos/roubos de dados e vulnerabilidades descobertas.

Ataques e vazamentos de dados

Salesforce/Gainsight – comprometimento na cadeia de suprimentos: Investigações indicaram roubo de dados de clientes via aplicações Gainsight integradas ao ecossistema Salesforce. A Salesforce revogou tokens de atualização vinculados às apps da Gainsight e divulgou orientação aos clientes, enquanto análises adicionais destacaram o potencial efeito cascata desse incidente em clientes da Salesforce. O caso ecoa compromissos anteriores envolvendo Salesloft/Drift, reforçando o risco sistêmico de fornecedores SaaS interconectados.

Railways da Itália/Almaviva – vazamento de 2,3 TB: Um agente de ameaça alegou ter roubado 2,3 TB de dados do grupo ferroviário FS Italiane, via comprometimento do provedor de TI Almaviva, expondo grande volume de informações sensíveis e impactos operacionais potenciais.

GlobalProtect (Palo Alto Networks) – varredura massiva: Houve pico significativo de varreduras maliciosas contra portais GlobalProtect a partir de 14 de novembro, indicando possível busca por credenciais/VPNs expostas que frequentemente antecede intrusões e movimentação lateral em campanhas de ransomware.

Ransomware – múltiplas vítimas e leilões de dados: Grupos como Qilin, INC Ransom, Sinobi e Akira listaram novas organizações comprometidas (indústria, logística e manufatura), com alegações de furto de dados e pressão por extorsão. Entre as postagens: IGT e Marine Foods Express (Qilin), NAFFCO (INC), Croft e Changepond (Sinobi), além de 10 novas vítimas na América do Norte (Akira).

Vazamentos setoriais e geográficos: Publicações no dark web destacaram exposição de 5,3 milhões de clientes da plataforma de e-commerce vietnamita Haravan; venda de 230.105 registros de clientes da telecom britânica BRSK; violação da Procuradoria de Guanajuato (México) e vazamento de documentos internos do Ayuntamiento de Béjar (Espanha). Também foi anunciada à venda uma coleção de 53 GB de dados técnicos sensíveis (ITAR) da SEKISUI Aerospace.

DoorDash – confirmação de incidente anterior: A empresa confirmou um vazamento ocorrido em outubro, expondo nomes, telefones, endereços e emails de clientes — um lembrete de que impactos de incidentes na cadeia de suprimentos e credenciais persistem além do momento da intrusão.

Vulnerabilidades críticas e exploração ativa

Oracle Identity Manager (CVE-2025-61757) – RCE sob exploração ativa: A CISA alertou sobre exploração ativa de uma falha de execução remota de código em Oracle Identity Manager, com potencial uso como zero‑day. Em ambientes com OIM integrado a provedores de identidade, o risco de escalada e comprometimento de contas é elevado.

FortiWeb (CVE-2025-58034) – exploração ativa e prazo apertado: Uma vulnerabilidade “stealth‑patched” em FortiWeb está sob exploração ativa. Autoridades determinaram janelas de correção agressivas para órgãos governamentais, evidenciando a criticidade em appliances de borda e WAFs expostos.

Grafana Enterprise (CVE-2025-41115) – spoofing de admin: Falha de severidade máxima permite tratar novos usuários como administradores ou viabilizar escalada de privilégios. Ambientes com integrações de observabilidade podem sofrer adulterações de dashboards, fontes de dados e tokens de acesso.

SonicWall SonicOS SSLVPN – crash de firewalls: Vulnerabilidade de alta severidade possibilita derrubar appliances, criando janelas para negação de serviço e distrações em incidentes maiores. Fornecedor instou clientes a aplicar correções imediatamente.

D‑Link DIR‑878 (EoL) – múltiplos RCEs: Três falhas de execução remota afetam todas as revisões do roteador DIR‑878, já fora de suporte. Dispositivos residenciais e SMBs continuam expostos, especialmente quando mantidos com firmware antigo e gestão remota ativa.

Perplexity Comet – ataque em nível de sistema: Um gap de segurança no navegador Comet expôs usuários a ataques com impacto em nível de sistema, ilustrando o aumento de superfície de risco em navegadores/experimentos de IA com integrações profundas no OS.

Técnicas e campanhas observadas

Malware por notificações push do navegador: Criminosos estão abusando do canal de push notifications do browser para entregar malware, contornando filtros tradicionais e explorando consentimentos previamente concedidos pelos usuários.

ASUS routers – sequestro em massa: Operação vinculada à China (“WrtHug”) teria sequestrado milhares de roteadores ASUS, indicando foco em infraestrutura doméstica e pequenos escritórios para pivotar ataques e criar redes de proxy/botnet.

Brasil – stealer em ascensão: O trojan Eternidade Stealer impulsionou atividade criminosa local, refletindo a expansão de ladrões de credenciais e carteiras em regiões com ecossistemas fintech e e‑commerce vibrantes.

npm/crypto – redirecionamentos maliciosos: Campanhas em npm redirecionaram vítimas para sites de criptomoedas, reforçando o risco de cadeia de suprimentos em desenvolvimento e o abuso de pacotes populares para monetização rápida.

Sanções e guias contra “bulletproof hosting”: CISA publicou orientação para combater “bulletproof hosting”, e UK/US/Austrália sancionaram provedores russos (Media Land), sinalizando repressão coordenada à infraestrutura que sustenta operações criminosas resilientes.

Implicações para organizações

Cadeia de suprimentos SaaS/IdP é o vetor dominante: Incidentes envolvendo Gainsight/Salesforce e tecnologias de identidade mostram que trust transitive e tokens long‑lived precisam de governança forte, inventário de integrações e monitoramento de escopo mínimo.

Aparelhos de borda e VPNs continuam alvo prioritário: FortiWeb, SonicOS, Oracle Identity Manager e varreduras em GlobalProtect indicam que perímetro e identidade são alvos críticos. Janelas de patch curtas e controle de exposição (geo/IP allowlists, MFA robusta, e desativação de portais não utilizados) são vitais.

Infra residencial/SMB como pivô: Roteadores EoL e campanhas em ASUS mostram que o “last mile” pode ser explorado para movimentação lateral, exfiltração e mascaramento de tráfego malicioso, exigindo higiene de firmware e substituição de dispositivos fora de suporte.

Engenharia social e canais alternativos de entrega: Abuso de notificações push e pacotes npm reforça que bloqueio por assinatura não basta — é necessário reforçar políticas de consentimento, controle de extensões e validação de dependências com SBOM e verificação de integridade.