A CISA emitiu um alerta urgente sobre uma vulnerabilidade crítica no Velociraptor, ferramenta de EDR da Rapid7, que está sendo explorada em ataques de ransomware. A falha, resultado de permissões padrão convencionais, permite que usuários autenticados e com privilégios de coleta de artefactos consigam escalar acessos e tomar controle total dos endpoints comprometidos.
Leia também
Como o Google usa IA para migrar seu próprio código
Ransomware na América Latina: metade é no Brasil
O problema, identificado como CVE-2025-6264, está relacionado ao gerenciamento de instruções de controle e já foi utilizado por grupos ligados ao LockBit e Conti para disseminar infecções em larga escala. Pesquisadores relatando casos em que aventureiros se aproveitam dos recursos do Velociraptor para introduzir cargas maliciosas, dificultando a detecção e permitindo exfiltração e criptografia de dados, como ocorreu com uma empresa financeira que perdeu visibilidade de 500 dispositivos após o comprometimento.
UM vulnerabilidade evidencia o risco dos atacantes mirando ferramentas de segurança, neutralizando monitoramento e ampliando o alcance das ofensivas. Segundo a CISA, os setores críticos como saúde e infraestrutura devem priorizar a correção imediata, aplicar o princípio da menor prioridade e seguir diretrizes operacionais para reforçar a segurança.
Uma recomendação é atualizar o Velociraptor para a versão 0.7.1 ou superior, onde o controle de permissões foi aprimorado. Caso não seja possível, recomendamos a suspensão do uso do produto até a mitigação adequada. O prazo estabelecido para os órgãos federais é 4 de novembro de 2025, ressaltando a gravidade do cenário.
