Quatro vulnerabilidades exploradas ativamente
A CISA (Cybersecurity and Infrastructure Security Agency) adicionou em 24 de abril de 2026 quatro novas vulnerabilidades ao catalogo KEV (Known Exploited Vulnerabilities), com prazo de remediacao para agencias federais americanas ate 8 de maio de 2026. Embora a obrigatoriedade formal se aplique a orgaos federais dos EUA, as falhas afetam produtos amplamente usados em ambientes corporativos brasileiros — e ja estao sendo exploradas por atacantes.
As quatro CVEs adicionadas sao:
- CVE-2024-57726 (CVSS 9.9) — SimpleHelp: falha de autorizacao que permite a tecnicos com poucos privilegios criar chaves de API com permissoes elevadas, escalando ate administrador do servidor.
- CVE-2024-57728 (CVSS 7.2) — SimpleHelp: path traversal via zip slip permite upload de arquivos arbitrarios no sistema, abrindo caminho para execucao remota de codigo.
- CVE-2024-7399 (CVSS 8.8) — Samsung MagicINFO 9 Server: path traversal permite upload de arquivos JSP maliciosos com execucao em nivel de sistema.
- CVE-2025-29635 — D-Link DIR-823X: injecao de comandos via requisicoes POST, explorada ativamente pela botnet Mirai.
SimpleHelp: do suporte remoto ao acesso total
O SimpleHelp e um software de suporte remoto usado por equipes de TI para acessar maquinas de usuarios. As duas vulnerabilidades combinadas formam um cenario critico: um tecnico com acesso basico ao painel pode gerar chaves de API com privilegios de administrador (CVE-2024-57726) e, em seguida, explorar o path traversal (CVE-2024-57728) para colocar arquivos maliciosos no servidor.
Para empresas que usam SimpleHelp como ferramenta de suporte, a recomendacao e atualizar imediatamente e revisar os logs de criacao de chaves de API nos ultimos meses.
Samsung MagicINFO: sinalizacao digital como vetor de ataque
O Samsung MagicINFO 9 Server gerencia telas de sinalizacao digital em lobbies, salas de reuniao e ambientes de varejo. A falha CVE-2024-7399 permite que um atacante nao autenticado faca upload de um arquivo JSP malicioso e obtenha execucao de codigo com privilegios de sistema.
Pesquisadores da Arctic Wolf observaram que a exploracao comecou poucos dias apos a publicacao de uma prova de conceito (PoC) em abril de 2025. O patch existe desde agosto de 2024 (versao 21.1050), mas a velocidade de exploracao apos o PoC reforça que manter esses servidores desatualizados e um risco real. Muitas organizacoes sequer incluem servidores de sinalizacao digital em seus ciclos de patch — e atacantes sabem disso.
D-Link DIR-823X: roteadores legados na mira
A CVE-2025-29635 afeta roteadores D-Link DIR-823X e permite injecao de comandos via requisicoes POST. Pesquisadores da Akamai confirmaram que a botnet Mirai esta explorando ativamente a falha apos a divulgacao publica do PoC.
Roteadores consumer e SOHO da D-Link sao alvos frequentes de botnets por dois motivos: firmware raramente atualizado e exposicao direta a internet. Se sua rede ainda usa equipamentos D-Link desta linha, a recomendacao e substituir por hardware com ciclo de suporte ativo ou, no minimo, isolar o dispositivo em uma VLAN dedicada sem acesso a recursos criticos.
O que fazer agora
A inclusao no catalogo KEV nao e um alerta teorico — significa que atacantes ja estao explorando estas falhas em campo. Para equipes de infra e seguranca de empresas brasileiras, as acoes praticas sao:
- Inventariar se SimpleHelp, Samsung MagicINFO ou roteadores D-Link DIR-823X estao presentes no ambiente.
- Aplicar patches imediatamente: SimpleHelp e Samsung ja tem versoes corrigidas disponiveis.
- Monitorar tentativas de exploracao nos logs de rede, especialmente requisicoes POST anomalas em roteadores D-Link e uploads de arquivos JSP em servidores MagicINFO.
- Revisar acessos em ferramentas de suporte remoto, validando que as chaves de API existentes correspondem a acessos legitimos.
A tendencia e clara: o tempo entre publicacao de PoC e exploracao em massa esta encurtando — em alguns casos, como a CVE-2026-33626 (SSRF com CVSS 7.5) reportada esta semana, para menos de 13 horas. Ciclos de patch mensais nao acompanham mais essa velocidade. Organizacoes que nao tem um processo de patch emergencial para CVEs com exploracao ativa estao aceitando risco desnecessario.