Em março de 2026, Grupo Insight® identificado 31 vulnerabilidades de alto impacto que devem ser priorizadas para correção29 dos quais tiveram uma pontuação de risco futuro registrada muito crítica.
Essas vulnerabilidades afetaram produtos dos seguintes fornecedores: Cisco, Microsoft, Google, ConnectWise, Langflow, Citrix, Aquasecurity, Nginx UI, Qualcomm, F5, Craft CMS, Laravel, Apple, Synacor, Wing FTP Server, n8n, Omnissa, SolarWinds, Ivanti, Hikvision, Rockwell e Broadcom. Os fornecedores mais afetados deste mês foram Microsoft e Apple, representando juntos aproximadamente 32% das 31 vulnerabilidades.
Uma vulnerabilidade (CVE-2017-7921 afetando a Hikvision) tem aproximadamente nove anos, reforçando como os invasores continuam a explorar pontos fracos conhecidos há muito tempo em ambientes onde a aplicação de patches está atrasada. Os sistemas legados e sem correção continuam sendo alvos atraentes. Os defensores não devem desconsiderar CVEs mais antigos; em vez disso, devem estabelecer prioridades com base na atividade observada, manter uma forte visibilidade dos ativos e aplicar controlos compensatórios quando a remediação não for possível.
Em março, o Insikt Group® criou modelos Nuclei para uma vulnerabilidade de passagem de caminho de alta gravidade no MindsDB (CVE-2026-27483) e uma vulnerabilidade crítica de autenticação ausente na UI Nginx (CVE-2026-27944). Além disso, o Insikt Group® já havia publicado um modelo de Núcleos para CVE-2025-68613 (n8n) em dezembro, antes de sua exploração neste mês. Também identificamos explorações públicas de prova de conceito (PoC) para 10 das 31 vulnerabilidades.
Referência rápida: Tabela de vulnerabilidades de março de 2026
Todas as 31 vulnerabilidades abaixo foram exploradas ativamente em março de 2026. A tabela abaixo também fornece exemplos de PoCs públicos identificados pelo Insikt Group®. Esses PoCs não foram testados quanto à precisão ou eficácia. As equipes de gerenciamento de vulnerabilidades devem ter cautela e verificar a validade dos PoCs antes dos testes.
#
Vulnerabilidade
Risco
Pontuação
Fornecedor/produto afetado
Tipo/componente de vulnerabilidade
PoC público
1
99
Centro de gerenciamento de firewall seguro Cisco (FMC)
CWE-502 (desserialização de dados não confiáveis)
2
99
Microsoft SQL Server (2016 SP3, 2017, 2019, 2022, 2025)
CWE-284 (controle de acesso inadequado)
Não
3
99
Microsoft .NET (9.0, 10.0) e Microsoft.Bcl.Memory
CWE-125 (leitura fora dos limites)
Não
4
99
Google esqui
CWE-787 (gravação fora dos limites)
Não
5
99
Google Chromium V8
CWE-119 (restrição inadequada de operações dentro dos limites de um buffer de memória)
Não
6
99
ConnectWise ScreenConnect
CWE-347 (verificação inadequada de assinatura criptográfica)
Não
7
99
Fluxo Lang
CWE-94 (injeção de código), CWE-95 (injeção de avaliação), CWE-306 (autenticação ausente para função crítica)
8
99
Citrix NetScaler
CWE-125 (leitura fora dos limites)
9
99
Curiosidades sobre segurança aquática
CWE-506 (Código Malicioso Incorporado)
10
94
Microsoft Windows
CWE-59 (link a seguir)
Não
11
94
IU Nginx
CWE-306 (autenticação ausente para função crítica)
Não
12
89
Qualcomm (vários chipsets)
CWE-190 (estouro de número inteiro ou wraparound)
Não
13
99
F5 BIG-IP
CWE-121 (estouro de buffer baseado em pilha)
Não
Tabela 1: Lista de vulnerabilidades que foram exploradas ativamente em março com base em dados do Recorded Future.
Principais tendências: março de 2026
- Fraquezas mais comumente observadas: CWE-502 (Desserialização de dados não confiáveis) e CWE-94 (Injeção de código).
- Duas vulnerabilidades e um kit de exploração (composto por 23 explorações, 12 das quais estão atualmente associadas a CVEs específicos) foram associados a campanhas de malware.
- O Interlock Ransomware Group explorou um dia zero no Cisco Secure Firewall Management Center para comprometer redes corporativas, implantar trojans de acesso remoto (RATs) personalizados e facilitar operações de ransomware.
- Separadamente, a exploração de cadeia completa do DarkSword iOS permitiu a execução remota de código (RCE) baseada no Safari, escape de sandbox e acesso em nível de kernel, levando à implantação das cargas úteis GHOSTKNIFE, GHOSTSABER e GHOSTBLADE.
- O kit de exploração Coruna comprometeu de forma semelhante os dispositivos iOS para entregar o malware PlasmaLoader (PLASMAGRID).
- 9 das 31 vulnerabilidades (CVE-2026-3910, CVE-2026-33017, CVE-2025-32432, CVE-2025-54068, CVE-2026-20963, CVE-2025-68613, CVE-2025-26399, CVE-2021-30952e CVE-2023-41974) permitiu que os invasores conduzissem RCE.
- Essas 9 vulnerabilidades afetaram Google, Langflow, Craft CMS, Laravel, Microsoft, n8n, SolarWinds e Apple.
Análise de Exploração
Esta seção analisa duas das vulnerabilidades de maior impacto exploradas ativamente neste mês. Quando aplicável, destaca também a disponibilidade de templates de Núcleos criados pelo Insikt Group®. A lista completa de relatórios e regras de detecção de março está disponível para clientes na Plataforma Recorded Future Intelligence Operations.
Grupo Interlock Ransomware explora Cisco FMC Zero-Day (CVE-2026-20131)
Em 18 de março de 2026, a Amazon Threat Intelligence publicou uma análise detalhando um processo contínuo Ransomware de bloqueio exploração de campanha CVE-2026-20131. CVE-2026-20131 é uma vulnerabilidade crítica que afeta Centro de gerenciamento de firewall seguro (FMC) da Cisco software que permite que agentes de ameaças não autenticados executem código Java arbitrário como root em dispositivos vulneráveis. O Cisco Secure FMC é uma plataforma de gerenciamento centralizado que permite aos administradores configurar, monitorar e controlar dispositivos de firewall da Cisco e políticas de segurança de rede em um ambiente corporativo. De acordo com a Amazon Threat Intelligence, Grupo Interlock Ransomware explorou CVE-2026-20131 como uma vulnerabilidade de dia zero a partir de 26 de janeiro de 2026, indicando exploração ativa antes de sua divulgação pública e permitindo comprometimento antecipado de redes corporativas.
O Interlock Ransomware Group explora instâncias vulneráveis do Cisco FMC por meio de solicitações HTTP criadas, explorando CVE-2026-20131 para executar código Java arbitrário como root. Depois de obter acesso, os agentes da ameaça implantam um binário ELF malicioso de um servidor de teste em 37[.]27[.]244[.]222 (Cartão de Inteligência) para apoiar operações subsequentes.
Eles então usam RATs personalizados baseados em Java e JavaScript, um web shell residente na memória e infraestrutura de proxy para manter o acesso, permitir movimento lateral e evitar detecção. A atividade pós-comprometimento inclui reconhecimento, coleta e preparação de dados e o uso de ferramentas legítimas, como ConnectWise ScreenConnect, Volatility e Certify para acesso remoto, roubo de credenciais e escalonamento de privilégios.
O Insikt Group® obteve um screen locker amostra (SHA256: 6c8efbcef3af80a574cb2aa2224c145bb2e37c2f3d3f091571708288ceb22d5f) compartilhado pelo Amazon Threat Intelligence de Inteligência de malware futuro registrada. A análise sandbox detectou a amostra como benigna. Com base na análise de sandbox e de código estático, o exemplo executa as seguintes ações na máquina da vítima:
- Altera o papel de parede da área de trabalho da máquina que exibe uma imagem pornográfica
- Atrasa a execução usando a função Sleep API para evasão
- Detecta depuradores usando a função da API GetTickCount para comparar o tempo
Figura 1: Histórico de regras de risco do Hash Intelligence Card® para 6c8efbcef3af80a574cb2aa2224c145bb2e37c2f3d3f091571708288ceb22d5f em Recorded Future (Fonte: Recorded Future)
Os clientes da Recorded Future podem encontrar detalhes adicionais de exploração e técnicas MITRE ATT&CK associadas à exploração do Cisco FMC Zero-Day (CVE-2026-20131) na seção Modelos Diamond deste Instância TTP.
Vulnerabilidade de desserialização crítica de dados não confiáveis que afeta o Cisco Secure FMC Software e o Cisco SCC Firewall Management (CVE-2026-20131)
Em 11 de março de 2026, o usuário do GitHub Sadaf Athar Khan (sak110 no GitHub) compartilhou um suposta exploração PoC de prova de conceito para CVE-2026-20131. CVE-2026-20131 é uma vulnerabilidade crítica de desserialização de dados não confiáveis que afeta Centro de gerenciamento de firewall seguro Cisco (FMC) Software e Gerenciamento de firewall Cisco Security Cloud Control (SCC). O software Cisco Secure FMC é uma plataforma baseada na Web para gerenciamento centralizado de políticas de firewall, eventos e administração de dispositivos. O Cisco SCC Firewall Management é uma solução baseada em software como serviço (SaaS) para configuração, monitoramento e manutenção centralizados em implantações de firewall.
A exploração do CVE-2026-20131 permite que um agente de ameaça remoto não autenticado execute código arbitrário e obtenha privilégios de root nos dispositivos afetados. Em 4 de março de 2026, a Cisco publicou um comunicado de segurança e lançou atualizações de software para corrigir CVE-2026-20131. A vulnerabilidade reside na interface de gerenciamento baseada na Web do FMC, onde a desserialização insegura de um fluxo de bytes Java fornecido pelo usuário permite que os agentes da ameaça passem objetos serializados para a manipulação de objetos Java sem validação suficiente. Como resultado, um agente de ameaça remoto não autenticado pode enviar um objeto Java serializado criado para a interface de gerenciamento, acionar a execução de código arbitrário e escalar privilégios para root.
Baseado no repositório de Sadaf Athar Khan, o PoC requer uma URL de destino e um comando. Uma vez fornecido, o PoC gera um objeto serializado Java malicioso usando ysoserialincorporando o comando fornecido na carga útil e preparando-o para entrega ao destino especificado.
A PoC então tenta enviar o objeto serializado para um conjunto de endpoints candidatos incluídos na PoC que aceitam dados Java serializados. Um caminho de desserialização acessível permite que o aplicativo processe o objeto e execute o comando incorporado no host de destino. Após a entrega, o PoC verifica os códigos de resposta HTTP do servidor e trata uma resposta HTTP 500 como uma indicação de que a desserialização acionou a execução do comando. O PoC sinaliza o HTTP 200 para verificação manual porque a exploração pode ter sucesso sem retornar uma saída visível.
O Insikt Group® não testou este PoC quanto à precisão ou eficácia. Os clientes do Recorded Future podem encontrar técnicas MITRE ATT&CK associadas ao suposto PoC na seção Entidades deste Instância TTP.
Tome uma atitude
Informações oportunas e relevantes sobre vulnerabilidades em seu ambiente e de seus vendedores e fornecedores são essenciais para reduzir riscos. Descubra como o Recorded Future pode apoiar sua equipe, aumentando a visibilidade, melhorando a eficiência e possibilitando decisões confiáveis.
Inteligência de Vulnerabilidade – Priorize vulnerabilidades com base na probabilidade de exploração – não apenas na gravidade. Entenda facilmente o risco de exploração juntamente com a gravidade e conte com inteligência contextualizada em tempo real para ajudá-lo a tomar decisões seguras rapidamente, corrigir o que é importante e prevenir ataques.
Inteligência de superfície de ataque – Identifique ativos voltados para a Internet vulneráveis a um CVE específico. O Attack Surface Intelligence fornece uma visão externa da sua organização para ajudá-lo a descobrir, priorizar e responder ativamente a ativos desconhecidos, vulneráveis ou mal configurados.
Inteligência de terceiros – Obtenha uma visão externa da postura de segurança de seus fornecedores e parceiros. Elimine ciclos demorados de pesquisa e comunicação com fornecedores com a capacidade de avaliar prontamente vulnerabilidades em seus sistemas voltados para a Internet.
Grupo Insight® – Receba acesso a relatórios exclusivos sobre novas vulnerabilidades e tendências da equipe de especialistas da Recorded Future, o Insikt Group®. Baixe modelos de núcleos criados pelo Insikt Group® para CVEs selecionados para testar instâncias potencialmente vulneráveis.
Serviços Profissionais Futuros Registrados – Trabalhe com nossa equipe de serviços profissionais em um trabalho de análise de vulnerabilidade. Projetado para equipar sua equipe com estratégias avançadas para identificar, priorizar e mitigar ameaças de forma eficaz, este programa investiga tecnologias e operações essenciais para um programa de gerenciamento de vulnerabilidades bem-sucedido. (Saiba mais sobre como nossa equipe de serviços profissionais pode ajudá-lo a elevar sua equipe assistindo nosso recente Workshop de priorização de vulnerabilidades)
