BolhaSec News #41 - 23/03/2025 a 29/03/2025

O que tem nessa edição?

Além do tradicional formato com ~4 resumos das notícias de segurança mais interessantes da semana, adicionei a seção Dump com menções a notícias que achei interessantezinha, mas não o suficiente para terem seus resumos na seção principal.

Essa foi uma semana agitada na cibersegurança. Apesar de estar longo o meu backlog de coisas interessantes pra trazer aqui, dois assuntos recentes não poderiam faltar: i) o bypass de middlewares no NextJS ii) IngressNightmare.

Bypass de middlewares no NextJS: Essa semana, foi publicada a vulnerabilidade crítica CVE-2025-29927 (CVSS 9.1), afetando várias versões do NextJS, um Framework React open-source mantido pela Vercel. Se explorada, a vulnerabilidade pode levar a Authorization bypass, CSP Bypass e DoS via Cache-Poisoning. Porém, o que mais chamou a atenção nesse caso foi a baixaria entre CEOs que rolou no Twitter devido ao pobre “coordinated vulnerability disclosure” da Vercel 🤣. [zhero-web-sec] [twiiter 1] [twitter 2]

IngressNightmare 🔥: Essa semana, foram publicados 4 CVEs (mais crítico é de CVSS 9.8) afetando o Ingress-NGINX Controller para Kubernetes. As vulnerabilidades foram descobertas por pesquisadores da Wiz Researcher (recentemente adquirida pelo Google) e receberam o apelido de IngressNightmare. De acordo com os pesquisadores, usar o Ingress-NGINX é um dos métodos mais comuns para expor externamente instancias Kubernetes. Por isso, a vulnerabilidade é bem prevalente. Ainda de acordo com os pesquisadores, cerca de 43% dos ambientes de nuvem são vulneráveis a essas vulnerabilidades. Se exploradas, a vulnerabilidade pode permitir a que um invasor obtenha acesso a todos os segredos armazenados em todos os namespaces e assuma o controle total do cluster Kubernetes. [securityweek] [wiz] [aquasec]

Update do caso GitHub Action tj-actions/changed-files: Na edição da semana passada (#40), comentamos sobre o caso ”GitHub Action comprometido com +1 milhão de downloads”. Porém, na época, não havia informações sobre como conseguirem comprometar o repositório da Action para inserir código malicioso. Agora, a Wiz (sim, a do parágrafo acima) descobriu que a causa raiz do incidente é uma ação tomada pela Reviewdog, que fornece ferramentas de revisão de código ☠️. [securityweek]

Criador do Have I Been Pwned vaza assinantes da sua newsletter (eu incluso 🤣): Troy Hunt, criador do famoso site Have I Been Pwned, publicou um post essa semana contando como caiu em um phishing que levou ao vazamento de várias informações pessoais dos assinantes da sua newsletter, como email, nome, IP, geolicalização e etc. O post é interessante porque mostra como até profissionais de segurança experientes podem realmente cair em golpes simples e um exemplo de consequencias que isso leva. [troyhunt] [twitter]

Vazamento da Oracle: Recentemente, foram colocados à venda dados de contas de 6 milhões de pessoas, supostamente roubados do serviço SSO da Oracle Cloud por um preço não revelado no fórum de hackers BreachForums. A Oracle, por sua vez, negou que houve qualquer invasão. Porém, a BleepingComputer diz ter confirmado com várias empresas que são válidas as amostras de dados compartilhadas pelo hacker. A Oracle se recusou a responder quaisquer perguntas adicionais sobre o incidente. Além disso, o amigo Felipe Payão conseguiu contato com o hacker e trouxe mais informações sobre ele [bleepingcomputer] [tecmundo]

Dump

• ViteJS Arbitrary File Read vulnerability (CVE-2025-30208) [twitter]

• SAML roulette: the hacker always wins [portswigger]

• How to Hack AI Agents and Applications [josephthacker]

• Why You Should Track Down Expired Domain Names [darkreading]

Para acompanhar as notícias em tempo real, temos grupo no Telegram e conta no BlueSky e no Threads, onde as nóticias são postadas todos os dias, assim que são lançadas. Links ⬇️

• Telegram #bolhasec news

• Bolhasec no Bluesky

• Bolhasec no Threads