Notícias , , , , , ,

Relatório aponta que IA acelera exploração de falhas na nuvem e revela ponto fraco em terceiros

Um relatório recente de segurança revela que a inteligência artificial está acelerando a exploração de vulnerabilidades na nuvem, reduzindo a janela entre a divulgação e a exploração em ordem de magnitude. Ataques que antes demoravam semanas agora se espalham em dias, e invasores estão focando em componentes de terceiros desatualizados em vez da infraestrutura principal. O documento recomenda que as defesas também incorporem automação e recursos assistidos por IA para acompanhar a velocidade das investidas. Organizações que não atualizam bibliotecas e pacotes tornam-se alvos fáceis, mesmo quando usam provedores de nuvem consolidados.

Principais conclusões

  • IA facilita a exploração de vulnerabilidades em ritmo muito mais rápido.
  • A maioria dos ataques na nuvem mira software de terceiros não corrigido.
  • Defesas automatizadas, preferencialmente com IA, são necessárias para reagir em tempo.

Entrada por código de terceiros

O relatório destaca que os alvos de alto valor — como as plataformas principais de provedores de nuvem — têm proteção robusta, então os atacantes miram bibliotecas e módulos de terceiros que muitas vezes ficam sem patch. Em vários casos, a exploração começou dentro de 48 horas após a divulgação pública da falha, comprovando a rapidez com que ferramentas automatizadas e assistidas por IA mapeiam e atacam ambientes vulneráveis. Projetos populares de código aberto usados em sites e aplicativos móveis tornaram-se vetores críticos quando patches não são aplicados em tempo. A consequência é que uma única dependência desatualizada pode comprometer toda a cadeia de entrega e execução.

O relatório traz exemplos que ilustram esse padrão: uma execução remota de código (RCE) em React Server Components levou a ataques em menos de dois dias após o CVE ser divulgado. Outro caso envolveu uma RCE no XWiki que permitiu execução remota por meio de uma string de busca específica; o patch existia, mas não foi amplamente adotado e exploradores começaram campanhas meses depois. Em um incidente sofisticado, um pacote do Node Package Manager foi comprometido para roubar tokens de desenvolvedores e pivotar para acessar buckets em provedores de nuvem, removendo arquivos originais em poucas horas.

Em um ataque atribuído a um grupo possivelmente patrocinado por um Estado, invasores enganaram um desenvolvedor para executar código malicioso que imitava ferramentas de linha de comando de orquestração. O binário implantado abriu um canal de comunicação com domínios controlados pelos atacantes e forneceu uma porta de entrada para cargas de trabalho em Kubernetes, permitindo roubo de ativos digitais. Relatos indicam que os invasores conseguiram subtrair milhões de dólares em criptomoedas — cada US$ 1 equivale a cerca de R$ 5,30 — explorando essas credenciais e acessos laterais. Esses exemplos mostram como a combinação de engenharia social, dependências comprometidas e automação torna as campanhas rápidas e lucrativas.

Comprometendo identidade

Além do foco em código de terceiros, há uma mudança clara para explorar questões de identidade e confiança, usando métodos variados para obter acessos legítimos. O relatório quantifica essa tendência com porcentagens que mostram a variedade de vetores empregados pelos atacantes. Técnicas que envolvem engenharia social por voz, phishing por e-mail e abuso de relações confiáveis com terceiros são recorrentes. Atacantes também têm utilizado identidades humanas e não humanas roubadas para movimentar dados sem acionar controles tradicionais.

  • 17% dos casos envolveram engenharia social por voz (vishing)
  • 12% dependeram de phishing por e-mail
  • 21% envolveram relações confiáveis com terceiros comprometidas
  • 21% envolveram uso de identidades humanas e não humanas roubadas
  • 7% resultaram de configurações incorretas de aplicações e infraestrutura

O documento também chama atenção para vazamentos internos, que incluem funcionários, contratados e outros agentes com acesso legítimo que transferem dados para serviços de armazenamento consumidor, como plataformas de drive. Esse método tornou-se uma das formas que mais crescem para exfiltrar dados, justamente por permitir remoção discreta de arquivos e sincronização em contas externas. Além disso, quase metade das intrusões estudadas resultou em roubo de dados sem tentativa imediata de extorsão, indicando dwell times prolongados e persistência furtiva.

O que as empresas podem fazer para se proteger

O relatório oferece recomendações práticas separadas para clientes do provedor e orientações gerais aplicáveis a qualquer organização na nuvem. Entre as medidas destacadas estão automação de correções, fortalecimento de controles de identidade e monitoramento contínuo de atividades suspeitas. Para grandes empresas com equipes de segurança internas, integrar defesas assistidas por IA e playbooks de resposta rápida é indicado. Já pequenas e médias empresas devem considerar parcerias com provedores de serviços gerenciados se não dispuserem de expertise interna.

  • Automatizar a aplicação de patches em todas as dependências, incluindo componentes de terceiros.
  • Fortalecer Identity and Access Management com autenticação multifator e controles de privilégios mínimos.
  • Monitorar tráfego e movimentação de dados para identificar atividades anômalas e possíveis exfiltrações.
  • Manter um plano de resposta a incidentes pronto, com procedimentos e contatos definidos para as primeiras horas.

Buscar fornecedores especializados em segurança gerenciada é uma alternativa recomendada para organizações sem times dedicados. Contratar ou contratar serviços antes de um incidente reduz o tempo de contenção e melhora a postura de defesa, evitando perda de dados e interrupções prolongadas. A adoção de processos que combinem higiene de software, controles de identidade e monitoramento automatizado é o caminho mais eficaz para reduzir a superfície de ataque na nuvem.

Tag

Posts Relacionados