### Vulnerabilidades Ativamente Exploradas A **CISA** adicionou duas vulnerabilidades ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), enfatizando a necessidade urgente de remediação: * **CVE-2025-66376** (pontuação CVSS: 7.2): Uma vulnerabilidade de cross-site scripting (XSS) armazenada na UI Clássica do **ZCS**. Atacantes podem explorar essa falha usando diretivas Cascading Style Sheets (CSS) @import dentro de um e-mail HTML. Este problema foi corrigido nas versões 10.0.18 e 10.1.13 do **Zimbra**, lançadas em novembro de 2025. * **CVE-2026-20963** (pontuação CVSS: 8.8): Uma vulnerabilidade de desserialização de dados não confiáveis no **Microsoft Office SharePoint**. Essa vulnerabilidade permite que atacantes não autorizados executem código arbitrário remotamente. A **Microsoft** emitiu um patch para essa falha em janeiro de 2026. ### Operação GhostMail: Explorando XSS no Zimbra A adição da **CVE-2025-66376** ao catálogo KEV segue um relatório da **Seqrite Labs**, que descobriu uma campanha denominada "Operation GhostMail". Essa campanha, atribuída a um suposto ator de ameaças patrocinado pelo estado russo, visou o Serviço Hidrográfico do Estado da Ucrânia (hydro.gov[.]ua). A **Seqrite Labs** detalhou como os atacantes usaram uma consulta de estágio socialmente engenheirada para entregar um payload JavaScript ofuscado, embutido diretamente no corpo do e-mail. Quando uma vítima abre o e-mail em uma sessão de webmail **Zimbra** vulnerável, o payload explora a **CVE-2025-66376**. "O e-mail de phishing não possui anexos maliciosos, links suspeitos ou macros. Toda a cadeia de ataque reside dentro do corpo HTML de um único e-mail, sem anexos maliciosos." Este malware JavaScript é projetado para coletar informações confidenciais, incluindo credenciais, tokens de sessão, códigos de recuperação de autenticação de dois fatores (2FA) de backup, senhas salvas no navegador e o conteúdo da caixa de correio da vítima nos últimos 90 dias. Os dados roubados são então exfiltrados via DNS e HTTPS. A campanha se alinha com ataques anteriores de atores patrocinados pelo estado russo, como a Operação RoundPress, que explorou vulnerabilidades XSS em softwares de webmail para comprometer organizações ucranianas. A **Seqrite Labs** enfatiza que "a Operação GhostMail demonstra a evolução contínua da intrusão focada em webmail, onde os atacantes dependem inteiramente de stealers residentes no navegador em vez de binários de malware tradicionais. Ao embutir JavaScript ofuscado diretamente em um e-mail HTML e explorar uma condição XSS no webmail **Zimbra**, o ator de ameaça alcança a interceptação completa da sessão sem a necessidade de baixar arquivos, explorar macros ou acionar detecções baseadas em endpoint." ### Exploração da Vulnerabilidade no SharePoint Atualmente, não há relatórios públicos detalhando a exploração da **CVE-2026-20963**, incluindo a identidade do ator de ameaça ou a extensão dos ataques. No entanto, devido à sua exploração ativa, a **CISA** recomenda fortemente que as agências do Federal Civilian Executive Branch (FCEB) apliquem os patches necessários para a **CVE-2025-66376** até 1º de abril de 2026 e para a **CVE-2026-20963** até 23 de março de 2026. ### Ransomware Interlock e Zero-Day da Cisco Esta divulgação coincide com notícias da **Amazon** de que atores de ameaças associados ao ransomware **Interlock** têm explorado uma falha crítica de segurança no software de gerenciamento de firewall da **Cisco** (**CVE-2026-20131**, pontuação CVSS: 10.0) desde 26 de janeiro de 2026, antes de sua divulgação pública. De acordo com a **Amazon**, "o **Interlock** tem historicamente visado setores específicos onde a interrupção operacional cria pressão máxima para pagamento", incluindo educação, engenharia, arquitetura, construção, manufatura, industrial, saúde e entidades governamentais. Este incidente ressalta a tendência persistente de atores de ameaças visando dispositivos de rede de borda de vários fornecedores, como **Cisco**, **Fortinet** e **Ivanti**, para obter acesso inicial às redes alvo. A utilização da **CVE-2026-20131** como um exploit zero-day demonstra o investimento significativo que os atacantes estão fazendo para descobrir vulnerabilidades anteriormente desconhecidas que fornecem acesso elevado. ### CISA Adiciona Falha da Cisco ao Catálogo KEV Em 19 de março de 2026, a **CISA** adicionou a **CVE-2026-20131** ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), exigindo que as agências FCEB atualizem seus sistemas para a versão mais recente até 22 de março de 2026. Além disso, no final do mês passado, a **CISA** emitiu uma diretiva de emergência instando as agências FCEB a mitigarem vulnerabilidades recentemente divulgadas nos sistemas Cisco Catalyst SD-WAN (**CVE-2026-20127**, **CVE-2022-20775**, **CVE-2026-20122** e **CVE-2026-20128**) que estão sob exploração ativa. As agências foram obrigadas a relatar "todo o registro syslog" e outros logs de nuvem relevantes até 23 de março de 2026. ### Análise da VulnCheck da Falha Cisco SD-WAN Um relatório publicado na semana passada pela **VulnCheck** revelou que a **CVE-2026-20133**, outra vulnerabilidade no Catalyst SD-WAN, representa um "risco maior do que os defensores podem perceber" e provavelmente será visada por atacantes. A **VulnCheck** afirmou que o acesso ao sistema de arquivos concedido pela vulnerabilidade pode ser explorado para extrair a chave privada do usuário "vmanage-admin", comprometendo o Network Configuration Protocol (NETCONF) usado para configurar e gerenciar dispositivos SD-WAN. Adicionalmente, a vulnerabilidade pode ser utilizada para vazar o confd_ipc_secret, permitindo que qualquer usuário local escale para um shell root irrestrito. Os pesquisadores da **VulnCheck**, Caitlin Condon e Josh Shomo, alertaram que "explorits iniciais e a atenção da indústria em ameaças emergentes podem ser úteis para entender os caminhos de exploração prováveis e as nuances de vulnerabilidade, mas também podem levar as organizações a se desviarem quando dependem de artefatos de pesquisa não testados ou foco excessivamente restrito em caminhos de ataque específicos."