Aprenda a combinar informações de vulnerabilidades de diversas fontes em uma lista única com o objetivo de priorizar a remediação. Nesta publicação, você encontrará dados do NIST (CVSS), First.Org (EPSS) e CISA (vulnerabilidades exploradas), além de um modelo do PowerBI para criar um painel de controle personalizado.
Continue lendo
Embora 2021 apresente ameaças em evolução e novos desafios, também oferecerá novas ferramentas e tecnologias que, esperamos, mudarão o equilíbrio em direção à defesa.
Continue lendo
Veja como testar a vulnerabilidade SSRF, que permite que um invasor tenha a capacidade de criar solicitações do servidor vulnerável.
Continue lendo
Este script contém a fusão de 3 vulnerabilidades do tipo RCE (Execução Remota de Código) no Apache Struts. Também tem a capacidade de criar shell servidor.
Continue lendo
Pesquisadores encontram um código de prova de conceito (PoC) que pode aproveitar a vulnerabilidade no Apache Struts, recentemente identificada no framework.
Continue lendo
Muitos pensam que inteligência artificial e machine learning vão detectar todas as ameaças cibernéticas que surjam em seu caminho. Mas, isso é o hype.
Continue lendo
A HP anunciou o lançamento de seu programa de recompensas de bugs em impressoras, com pagamentos de até US$ 10.000 por vulnerabilidades descobertas.
Continue lendo
Ataques em caixas eletrônicos estão sendo realizados nos EUA através de jackpotting, fazendo com que as máquinas cuspam dinheiro. Tal ataque está sendo feito com variável do malware Ploutus.D.
Continue lendo
Pesquisadores da Checkmarx dizem ter descoberto duas vulnerabilidades no Tinder, tanto para Android quanto iOS. Essas falhas poderiam permitir que um invasor espionasse a atividade do usuário e manipulasse conteúdo, comprometendo a privacidade do usuário e colocando-os em risco.
Continue lendo
Pesquisadores encontraram três aplicativos para Android de jogos da Sega que se conectam a servidores inseguros e correm o risco de vazamento de dados do usuário. Outros aplicativos para Android que fazem uso da biblioteca Android/Inmobi.D ou de alguma variante dela também podem estar em risco.
Continue lendo
Código do exploit usado em ataque zero-day em roteador Huawei torna-se público e pode ser usado para ataques DDoS através de botnets, incluindo botnets IoT.
Continue lendo
O KRACK é uma vulnerabilidade no protocolo WPA2 usado em redes Wi-Fi; o mundo inteiro foi afetado, inclusive a Cisco e seus produtos.
Continue lendo
Microsoft corrigiu silenciosamente essa falha crítica. Solução corrige falha “muito ruim” descoberta por pesquisadores do Google Project Zero. Essa falha poderia permitir que um invasor criasse um executável que, quando processado pelo emulador do Malware Protection Engine, poderia habilitar a execução remota de código.
Continue lendo
Foram descobertas vulnerabilidades críticas do SAP que permitem execução remota de códigos. Além disso, encontradas falhas no banco de dados SAP HANA, que obteve maior pontuação em nível de criticalidade do que o bug GUI. Essas vulnerabilidades afetaram o HANA User Self Service, ou USS. Veja mais detalhes e uma prova de conceito (PoC) da vulnerabilidade, CVE-2017-6950.
Continue lendo
Falha grave no OpenSSL pode permitir que um invasor remoto cause uma condição de negação de serviço (DoS). A OpenSSL Software Foundation lançou uma atualização para a biblioteca de criptografia OpenSSL que corrige essa vulnerabilidade que foi classificada como alta gravidade.
Continue lendo