O Google Cloud alertou que os agentes de ameaças que visam ambientes de nuvem agora favorecem campanhas que obtêm acesso inicial explorando vulnerabilidades de software em vez de ataques baseados em credenciais.
Publicado em 9 de março, o Google Cloud Office do CISO Relatório de horizontes de ameaças do Google Cloud do primeiro semestre de 2026detalha como o cenário de ameaças à nuvem evoluiu com base em como os invasores tentaram atingir os serviços do Google Cloud durante o segundo semestre de 2025.
“Nossa equipe observou uma mudança fundamental no cenário”, disse Crystal Listerconsultor de segurança e chefe do programa de relatórios de horizontes de ameaças na nuvem do Office of the CISO, no Google Cloud.
Tradicionalmente, os agentes de ameaças contam com credenciais fracas ou ausentes e configurações incorretas para obter acesso aos ambientes do Google Cloud.
No entanto, no segundo semestre de 2025, os agentes de ameaças voltaram-se cada vez mais para a exploração sem patch vulnerabilidades de terceiros.
No total, a entrada baseada em software de terceiros representou 44,5% dos vetores primários de entrada durante o segundo semestre de 2025. Isto representa um aumento significativo em relação aos 2,9% observados durante o primeiro semestre do ano.
Em comparação, o abuso de credenciais fracas ou ausentes como ponto de entrada caiu de 47,1% no primeiro semestre do ano, para 27,2% no segundo semestre.
Vulnerabilidade mais direcionada do React2Shell
Uma das vulnerabilidades de software mais comumente usadas para direcionar serviços em nuvem foi CVE-2025-55182, mais comumente conhecida como React2Shell, uma vulnerabilidade crítica de execução remota de código em componentes do React Server.
A vulnerabilidade pode permitir que invasores assumam o controle de servidores e comprometam dados. Tem estado ligado a ataques cibernéticos por parte de actores de ameaças estatais ligados à Coreia do Norte e à China.
“Embora a infraestrutura subjacente do Google Cloud permaneça segura, os agentes de ameaças estão atacando com sucesso aplicativos não corrigidos e regras de firewall permissivas definidas pelo usuário”, disse Google Nuvem.
A empresa também alertou que os invasores também se tornaram mais rápidos na exploração em massa de vulnerabilidades de software após a sua divulgação pública.
“Para mitigar esses riscos em qualquer ambiente, os defensores da nuvem devem se concentrar nos controles de acesso de identidade, usando ferramentas de visibilidade centralizadas para proteger os dados e na aplicação automatizada de postura”, disse o Google.
De acordo com o relatório, a janela entre a divulgação de vulnerabilidades e a exploração em massa diminuiu “uma ordem de grandeza” de semanas para apenas alguns dias. Em última análise, se as organizações não corrigirem as vulnerabilidades dentro de alguns dias após a divulgação, então os seus serviços em nuvem estarão vulneráveis aos invasores.
Por exemplo, o Google Cloud observou que apenas 48 horas após a divulgação pública do React2Shell em dezembro de 2025, vários agentes de ameaças já haviam explorado a vulnerabilidade para infectar vítimas com malware de mineração de criptomoedas.
O Google emitiu conselhos às organizações sobre o que devem fazer para evitar serem vítimas de vulnerabilidades recentemente divulgadas.
“Defensivamente, as organizações devem passar de patches manuais para defesas automatizadas – como corrigir o Web Application Firewall (WAF) – para neutralizar explorações na borda da rede antes que as atualizações de software possam ser aplicadas”, recomendou a empresa.
Deseja saber mais sobre Segurança Clique Aqui!