BolhaSec News #46 - 27/04/2025 a 03/05/2025

O que tem nessa edição?

Além do tradicional formato com ~4 resumos das notícias de segurança mais interessantes da semana, adicionei a seção Dump com menções a notícias que achei interessantezinha, mas não o suficiente para terem seus resumos na seção principal.

Zero-Click Takeover em dispositivos Apple: essa semana a Apple deve estar no seu inferno astral 🤣. Não bastasse perder na justiça americana, levando a suspenção imediata das cobranças de comissões por compras fora da App Store, teve também a questão do AirBorne. Foi apelidado de AirBorne o conjunto de 23 vulnerabilidades descobertas pela Oligo Security que podem levar a execução remota de código (Zero-Click RCE e One-Click RCE) em diversos tipos dispostivos, como aqueles rodando MacOS, AirPlay e Car-Play. Além disso, existem também outras vulnerabilidades, que não o RCE, afetando Iphone, Ipad, Apple Vision e etc. A recomendação é aplicar os patches de segurança o quanto antes. [securityweek] [oligosecurity]

Dev da xAI vaza APIkey para LLMs relacionadas a SpaceX e Tesla: Um funcionário da xAI (dona do Twitter agora), vazou, e deixou exposta por 2 meses, uma API key no GitHub que permitia que qualquer pessoa fizesse requisições a LLMs privados da xAI. Os projetos em questão parecem ligados a dados internos das empresas de Musk, SpaceX, Tesla e Twitter. [krebsonsecurity]

44% dos 0-days explorados em 2024 foram em soluções enterprise: Relatório da Google Threat Intelligence Group (GTIG) revelou que o número de vulnerabilidades 0-day focando produtos enterprise pulou de 33% em 2023 para 44% em 2024. Além disso, o documento desatacou que atacantes estão aumentando seu foco em produtos de segurança e rede [helpnetsecurity] [google]

Apagão na Espanha em Portugal: Uma situação atípica aconteceu essa semana (até pra 2025). Espanha e Guiana do Norte Portugal ficaram misteriosamente sem energia elétrica por +/- 10 horas. Com a ausência de informações oficiais, os mais emocionados já estavam espalhando que foi um ataque cibertnético pelo país X, ou Y, ou Z 🤣. Porém, a verdade é que até o momento, não há uma confirmação do motivo exato do blackout. [cisoadvisor] [theconversation] [france24]

Dump

• PowerShell for Hackers: Exploitation Essentials [blog]

• Projeto Damn Vulnerable Model Context Protocol (DVMCP) [github]

• Critical Bubble.io Vulnerability Exposes Apps to Data Theft via Elasticsearch, No Patch [securityonline] (cuidado que tem muito ad nesse site 😢)

• Why do websites still restrict password length? [reddit]

Para acompanhar as notícias em tempo real, temos grupo no Telegram e conta no BlueSky e no Threads, onde as nóticias são postadas todos os dias, assim que são lançadas. Links ⬇️

• Telegram #bolhasec news

• Telegram de reports de bugbounty

• Bolhasec no Bluesky

• Bolhasec no Threads