AO VIVO
01 APT28 explora 0-day MSHTML CVE-2026-21513 via arquivos LNK para burlar sandbox /// 02 Google confirma 0-day Android CVE-2026-21385 explorado ativamente no Brasil /// 03 Shadow Campaigns: APT28 opera infraestrutura paralela de C2 indetectável por 14 meses /// 04 Ransomware e hacktivismo disparam 2x na América Latina em 2025 /// 05 Malware com IA compromete 600+ firewalls FortiGate sem interação humana /// 06 GitLab SSRF CVE-2021-39935 volta a ser explorado em ambientes sem patch /// 07 LatAm Turning Point: PIX e Open Finance aceleram ataques financeiros digitais /// 08 América Latina registra 2x mais ataques cibernéticos em fevereiro de 2026 /// 09 Android Patch de Março corrige 100+ falhas incluindo 2 RCE críticas /// 10 APT28 usa CVE-2026-21509 para pivotamento cloud-to-on-premises /// 01 APT28 explora 0-day MSHTML CVE-2026-21513 via arquivos LNK para burlar sandbox /// 02 Google confirma 0-day Android CVE-2026-21385 explorado ativamente no Brasil /// 03 Shadow Campaigns: APT28 opera infraestrutura paralela de C2 indetectável por 14 meses /// 04 Ransomware e hacktivismo disparam 2x na América Latina em 2025 /// 05 Malware com IA compromete 600+ firewalls FortiGate sem interação humana /// 06 GitLab SSRF CVE-2021-39935 volta a ser explorado em ambientes sem patch /// 07 LatAm Turning Point: PIX e Open Finance aceleram ataques financeiros digitais /// 08 América Latina registra 2x mais ataques cibernéticos em fevereiro de 2026 /// 09 Android Patch de Março corrige 100+ falhas incluindo 2 RCE críticas /// 10 APT28 usa CVE-2026-21509 para pivotamento cloud-to-on-premises ///
Vulnerabilidades

GitLab SSRF CVE-2021-39935 Volta a Ser Explorado em Instâncias Sem Patch — Alerta Urgente

EQUIPE CYBERBOX THREAT INTEL · 03 de fevereiro de 2026 · 4 min de leitura

A CYBERBOX Threat Intel emite alerta urgente sobre a retomada de exploração ativa da vulnerabilidade CVE-2021-39935 no GitLab CE/EE — uma falha de Server-Side Request Forgery (SSRF) originalmente divulgada em 2021, mas que continua afetando milhões de instâncias desatualizadas.

A exploração renovada utiliza ferramentas automatizadas que varrem o espaço IPv4 buscando instâncias GitLab versão 13.x e 14.x vulneráveis. O objetivo primário é exfiltração de credenciais de pipelines CI/CD, tokens de acesso a repositórios e segredos de infraestrutura armazenados em variáveis de ambiente.

Detalhes da Vulnerabilidade

O CVE-2021-39935 permite que um usuário autenticado (com acesso mínimo de Guest) faça requisições SSRF através do recurso de integração de webhooks. O atacante pode:

  • Acessar serviços internos na rede do servidor GitLab (metadados cloud, APIs internas)
  • Ler o arquivo gitlab.rb de configuração com credenciais de banco de dados
  • Acessar o serviço de metadados AWS/GCP/Azure se o GitLab estiver hospedado em cloud
  • Pivotar para outros serviços internos via respostas de redirect SSRF
"O mais preocupante não é a vulnerabilidade em si — ela tem 4 anos. É que ainda encontramos grandes organizações brasileiras rodando GitLab versão 13.x em produção, sem qualquer plano de atualização. O risco para a cadeia de suprimentos de software é crítico."

— Equipe CYBERBOX Threat Intel

Impacto Potencial para Supply Chain

Um GitLab comprometido é mais do que um repositório de código — é o centro nervoso do desenvolvimento de software. O comprometimento pode permitir:

  • Injeção de código malicioso em pipelines de CI/CD, afetando todos os deployments subsequentes
  • Roubo de chaves privadas, tokens OAuth, credenciais de cloud e senhas de bancos de dados
  • Acesso a código-fonte proprietário e propriedade intelectual
  • Uso da infraestrutura como ponto de pivotamento para ambientes de produção

Remediação

  • Atualizar imediatamente para GitLab 17.x (versão atual recomendada)
  • Habilitar a lista de bloqueio de IPs internos em Configurações > Rede > Requisições de Saída
  • Auditar todos os webhooks configurados e remover endpoints não reconhecidos
  • Rotacionar todos os tokens de acesso, deploy keys e variáveis de CI/CD
  • Implementar segmentação de rede para que o GitLab não tenha acesso direto a endpoints de metadados cloud
MITRE ATT&CK — Técnicas Observadas
T1190 Exploit Public-Facing Application T1083 File and Directory Discovery T1552.001 Credentials In Files T1567 Exfiltration Over Web Service T1195.002 Compromise Software Supply Chain
Tags: GitLab SSRF CVE-2021-39935 CI/CD supply chain patch management DevSecOps
EQUIPE CYBERBOX THREAT INTEL
Threat Intelligence Team

Análises técnicas de ameaças cibernéticas, TTPs de grupos APT, vulnerabilidades críticas e tendências do cenário de ataques na América Latina e global.

Leia Também
Vulnerabilidades
Android 0-day CVE-2026-21385: Google Confirma Exploração Ativa
02 Mar 2026
Vulnerabilidades
Android Patch de Março 2026: 100+ Falhas Corrigidas, 2 RCE Críticas
02 Mar 2026
Threat Intel
América Latina Registra 2x Mais Ataques Cibernéticos em Fevereiro 2026
03 Mar 2026