CVE-2025–27364 no MITRE Caldera: Exploração de uma Nova Vulnerabilidade RCE de Máxima Severidade via Manipulação de Bandeiras do Linker Pode Levar à Comprometimento Completo do Sistema
Uma nova vulnerabilidade de gravidade máxima RCE (CVE-2025-27364) no MITRE Caldera representa um sério risco de comprometimento do sistema. A falha também pode ser encadeada com outro problema de segurança do Parallels Desktop, CVE-2024-34331, dobrando os riscos de ameaças. Se exploradas, essas questões de segurança poderiam fornecer aos hackers controle total do sistema, causando acessos não autorizados, vazamento de dados e movimento lateral adicional dentro de uma rede impactada.
Com o rápido aumento de CVEs armados, a necessidade de detecção proativa de ameaças nunca foi tão urgente. No início de 2025, o NIST NVD já registrou 6.480 novos problemas de segurança, muitos dos quais já foram explorados em ataques reais. À medida que as ameaças cibernéticas continuam a evoluir, equipes de segurança em todo o mundo devem priorizar estratégias de detecção precoce para se antecipar às tentativas de exploração e mitigar riscos de forma eficaz.
A plataforma SOC Prime para defesa cibernética coletiva capacita equipes de segurança com um feed global de ameaças ativas, CTI em tempo real e algoritmos de detecção selecionados para identificar e mitigar ataques utilizando CVEs armados em seus estágios mais iniciais. Cadastre-se na plataforma para acessar uma extensa biblioteca de regras Sigma apoiada por um conjunto completo de produtos para detecção avançada de ameaças e hunting. Além disso, você pode verificar nossa biblioteca de regras filtrada com a tag “CVE” clicando em Explore Detecções abaixo, para que você não perca nenhuma ameaça que possa desafiar seu negócio, já que as detecções são adicionadas diariamente.
Todas as regras podem ser usadas em diversas soluções de análise de segurança e estão mapeadas para o framework MITRE ATT&CK para facilitar a pesquisa de ameaças. Além disso, as detecções são enriquecidas com metadados detalhados, incluindo CTI referências, cronogramas de ataques, recomendações de triagem e mais.
Análise do CVE-2025-27364
Defensores recentemente descobriram uma nova falha de RCE nas versões MITRE Caldera até 4.2.0 e 5.0.0 (antes do commit 35bc06e) rastreada como CVE-2025-27364 (CVSS 10.0). Esta última compromete a capacidade do servidor de compilar agentes dinâmicos (implantes). Esta falha de máxima severidade é especialmente perigosa, pois não requer autenticação para que os atacantes possam armá-la. Hackers podem tirar proveito da API impactada para inserir código malicioso no processo de compilação, resultando na instalação de agentes Sandcat ou Manx não autorizados. Os adversários podem armar essa falha abusando do linker flag gcc -extldflags com subcomandos. Dada a extensa função do Caldera em testes de penetração e emulação de adversários, essa falha de segurança representa um risco considerável para empresas que dependem da plataforma para simulações de ataque e automação de segurança.
O lançamento de um PoC para CVE-2025-27364 aumenta significativamente os riscos de exploração no mundo real. Executar um comando curl específico torna a falha fácil de explorar. Um ataque bem-sucedido lança uma shell reversa, executando um script Python que fornece aos atores da ameaça acesso root.
Notavelmente, o CVE-2025-27364 também pode ser aproveitado na cadeia de ataques junto com o CVE-2024-34331, um problema de segurança mais antigo e não resolvido no Parallels Desktop, que pode levar à elevação de privilégios locais em sistemas macOS. Se exploradas, ambas as falhas poderiam permitir que hackers obtivessem total controle do sistema alvo, levando a acessos não autorizados, vazamentos de dados e comprometimento da rede.
Para abordar tempestivamente os riscos de exploração do CVE-2025-27364, os defensores recomendam atualizar prontamente para a versão corrigida mais recente puxando ou o branch Master ou a versão 5.1.0 e superiores. Além disso, para proteger redes potencialmente vulneráveis à exploração do CVE-2025-27364, os usuários também são aconselhados a restringir o acesso à API do Caldera com segmentação de rede e controles rígidos e, constantemente, monitorar compilações de agentes incomuns ou atividades de API para detectar proativamente ameaças. Plataforma SOC Prime para defesa cibernética coletiva ajuda organizações a superar ameaças cibernéticas, não importa sua sofisticação, confiando em seu conjunto completo de produtos alimentados por IA, inteligência de ameaças acionável e capacidades automatizadas avançadas para adotar de forma tranquila uma estratégia SOC de próxima geração.
