A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta importante ao adicionar duas falhas críticas de segurança ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). As vulnerabilidades em questão afetam o servidor SSH do Erlang/Open Telecom Platform (OTP) e o Roundcube Webmail, com evidências claras de exploração ativa. Esta medida sublinha a urgência para administradores de sistemas e desenvolvedores aplicarem as devidas correções, especialmente em ambientes governamentais e empresariais.
CISA Alerta: Falhas críticas em Erlang SSH e Roundcube adicionadas ao catálogo KEV
Detalhes das vulnerabilidades em destaque
As falhas recém-adicionadas ao catálogo da CISA são:
- CVE-2025-32433 (CVSS: 10,0): Esta é uma vulnerabilidade de ausência de autenticação no servidor SSH Erlang/OTP. Sua gravidade máxima (pontuação 10,0) reflete o risco de permitir que um invasor não autenticado execute comandos arbitrários, potencialmente levando à execução remota de código. As correções para esta falha foram liberadas em abril de 2025, nas versões OTP-27.3.3, OTP-26.2.5.11 e OTP-25.3.2.20. Apesar de a Censys indicar 340 servidores Erlang expostos, é vital notar que nem todas as instâncias são necessariamente vulneráveis. A divulgação pública desta CVE foi rapidamente seguida por exploits de prova de conceito (PoC).
- CVE-2024-42009 (CVSS: 9,3): Trata-se de uma falha de Cross-Site Scripting (XSS) no Roundcube Webmail. Um atacante remoto pode explorar essa vulnerabilidade para roubar ou enviar e-mails de uma vítima através de uma mensagem maliciosa, devido a um problema de sanitização no arquivo
program/actions/mail/show.php. Esta vulnerabilidade foi corrigida em agosto de 2024, nas versões 1.6.8 e 1.5.8 do Roundcube. Embora detalhes específicos sobre a exploração em campo sejam escassos, relatórios anteriores da ESET indicaram que o grupo APT28, ligado à Rússia, explorou falhas de XSS em outros clientes de e-mail, como Roundcube, Horde, MDaemon e Zimbra, visando entidades governamentais e de defesa no Leste Europeu.
O contexto da exploração ativa e resposta necessária
A inclusão dessas vulnerabilidades no catálogo KEV da CISA significa que elas estão sendo ativamente exploradas por agentes maliciosos. Para as agências do Poder Executivo Civil Federal (FCEB) dos EUA, a diretriz é clara: aplicar as correções necessárias até 30 de junho de 2025, visando uma proteção ideal contra esses ataques.
Essa medida reforça a importância da gestão de patches e da segurança proativa para todas as organizações, independentemente de serem governamentais ou privadas. A exploração de vulnerabilidades em softwares amplamente utilizados, como Erlang e Roundcube, demonstra que até mesmo componentes fundamentais da infraestrutura de TI podem ser alvos.
Alerta adicional: vulnerabilidade crítica no WordPress
Em um desenvolvimento paralelo, a Patchstack alertou sobre uma vulnerabilidade de invasão de conta não corrigida no plugin PayU CommercePro para WordPress (CVE-2025-31022, CVSS: 9,8). Esta falha permite que um invasor assuma o controle de qualquer conta de usuário em um site WordPress sem autenticação. Em caso de contas de administrador, isso pode levar ao controle total do site e à execução de ações maliciosas.
A vulnerabilidade afeta as versões 3.8.5 e anteriores do plugin, que possui mais de 5.000 instalações ativas. O problema reside na função “update_cart_data()”, que pode ser explorada para gerar um token de autenticação falso. Aconselha-se aos usuários que desativem e excluam o plugin até que um patch seja disponibilizado. A Patchstack reforça a necessidade de garantir que os endpoints de API REST não autenticados não sejam excessivamente permissivos e que informações sensíveis não sejam hardcoded.
Implicações e perspectivas para a segurança digital
A constante adição de vulnerabilidades ao KEV da CISA, juntamente com alertas como o do WordPress, destaca a paisagem de ameaças cibernéticas em evolução. Para a comunidade de código aberto e usuários de Linux, isso serve como um lembrete crucial da necessidade de manter os sistemas e softwares atualizados, além de praticar a higiene cibernética robusta.
A transparência de agências como a CISA em catalogar e divulgar essas vulnerabilidades é essencial para que as organizações possam priorizar suas defesas. Em um futuro próximo, esperamos ver uma maior integração entre inteligência de ameaças e ferramentas de automação para acelerar a aplicação de patches e a resposta a incidentes, minimizando o tempo de exposição a ataques conhecidos. A segurança é um processo contínuo, e a vigilância é a primeira linha de defesa.
