BolhaSec News #47 - 04/05/2025 a 10/05/2025

O que tem nessa edição?

Além do tradicional formato com ~4 resumos das notícias de segurança mais interessantes da semana, adicionei a seção Dump com menções a notícias que achei interessantezinha, mas não o suficiente para terem seus resumos na seção principal.

2 editoras e 3 autores não conseguiram entender o que significa “vibe coding”: Sempre suspeito desses livros que trazem em letras garrafais o termo do momento. E aparentemente essa suspeita não é infundada. Nesse blogpost, o autor traz dois exemplos de livros que apesar de terem “vibe coding” no nome, não tem certeza sobre o significado 🤣. Spoiler: não significa usar ferramentas de IA para ajudar a escrever código. [blog]

Vulnerabilidade Crítica no Kibana: Essa semana foi divulgado o CVE-2025-25014 (CVSS 9.1), vulnerabilidade crítica afetando diversas versões do Kibana. Basicamente é um vulnerabilidade de Prototype pollution que pode levar à execução arbitrária de código, através de requisições HTTP para endpoints de machine learning and reporting (que com certeza diveram sua implementação rushada pra tacar IA em tudo 🤣). O fix é atualizar pra uma das seguintes versões: 8.17.6, 8.18.1, or 9.0.1. [elastic] [nist]

MCP: May Cause Pwnage - Backdoors in Disguise: Que servidores MCP de fontes desconhecidas são um risco, todo mundo já sabe. Mas você sabia que rodar um servidor MCP numa máquina exposta na internet pode levar a execução remota de código? É disso que fala esse belo blogpost. [blog]

Painel de administração do LockBit Ransomware hackeado: Realmente pode acontecer com todo mundo. Agora, dia 7 de Maio, o Painel de administração do LockBit sofreu um deface que mostrava a mensagem “Don’t do crime, crime is bad xoxo from Prague”. A página também incluía um link para um arquivo contendo informações extraídas do servidor comprometido, incluindo mensagens privadas entre afiliados da LockBit e vítimas, endereços de carteiras de Bitcoin, contas de afiliados, detalhes sobre ataques e informações sobre malware e infraestrutura. Vários especialistas e empresas de segurança analisaram esses dados e sugeriram que podem ajudar em investigações contra os hackers. [securityweek]

Dump

• Hackers target SSRF bugs in EC2-hosted sites to steal AWS credentials [bleepingcomputer]

• Prodaft anuncia que compra logins da dark web [cisoadvisor]

• Max-Severity Commvault Bug Alarms Researchers [darkreading]

• CEO of cybersecurity firm charged with installing malware on hospital systems [securityaffairs]

Para acompanhar as notícias em tempo real, temos grupo no Telegram e conta no BlueSky e no Threads, onde as nóticias são postadas todos os dias, assim que são lançadas. Links ⬇️

• Telegram #bolhasec news

• Telegram de reports de bugbounty

• Bolhasec no Bluesky

• Bolhasec no Threads