This post is also available in: Português
A CVE-2025-24977 é uma vulnerabilidade de alta gravidade que afeta diretamente a plataforma OpenCTI, utilizada por organizações em todo o mundo para consolidar e analisar dados de inteligência contra ameaças cibernéticas. Com pontuação CVSS de 9.1, esta falha representa um risco significativo à segurança de ambientes que utilizam o OpenCTI, especialmente devido à sua possibilidade de exploração remota com impacto severo.
O que é o OpenCTI?
O OpenCTI (Open Cyber Threat Intelligence) é uma plataforma open source desenvolvida para centralizar, modelar e compartilhar informações sobre ameaças cibernéticas. Ela é amplamente adotada por equipes de Threat Intelligence, SOCs e analistas de segurança para enriquecer análises, correlacionar dados e gerar insights acionáveis sobre ameaças emergentes.
Por sua natureza e finalidade, a plataforma costuma ser integrada a diversos sistemas críticos de segurança e operações de rede, o que torna qualquer vulnerabilidade em seu código especialmente preocupante.
Entendendo a CVE-2025-24977
Registrada sob o código CVE-2025-24977, essa falha é classificada como uma vulnerabilidade de execução remota de código (RCE). Ela decorre de uma falha no controle adequado da geração dinâmica de código — especificamente, o problema está associado à CWE-94 (Improper Control of Generation of Code).
Em termos técnicos, a vulnerabilidade permite que um invasor não autenticado explore endpoints específicos da API GraphQL do OpenCTI, inserindo comandos maliciosos que acabam sendo executados pelo servidor. Isso acontece porque determinadas entradas fornecidas pelo usuário não são devidamente sanitizadas antes de serem interpretadas como código.
Gravidade e pontuação CVSS
Com pontuação CVSS 9.1, a CVE-2025-24977 é considerada crítica. A pontuação reflete não apenas a facilidade de exploração, mas também o impacto severo em termos de confidencialidade, integridade e disponibilidade do sistema afetado. Um ataque bem-sucedido pode conceder ao invasor acesso com privilégios de root, o que permite controle total do servidor vulnerável.
Segundo o National Vulnerability Database (NVD), a exploração desta falha pode comprometer completamente a infraestrutura onde o OpenCTI estiver implantado, podendo ser usada como ponto de entrada para ataques mais amplos, movimentação lateral ou exfiltração de dados sensíveis.
Como a vulnerabilidade funciona?
A falha está no tratamento inadequado de certas entradas manipuladas via consultas GraphQL. O código da aplicação, ao montar dinamicamente expressões ou comandos com base nas entradas do usuário, deixa espaço para que um atacante insira payloads maliciosos que são executados sem validação ou filtragem.
Na prática, isso significa que um atacante remoto, sem necessidade de autenticação prévia, pode executar comandos arbitrários no servidor, comprometendo totalmente o ambiente.
Produtos afetados
De acordo com os advisories oficiais, todas as versões do OpenCTI até a versão 5.12.17 são afetadas pela CVE-2025-24977. A correção foi aplicada na versão 5.12.18, e recomenda-se a atualização imediata para essa ou versões superiores.
Além disso, qualquer instância do OpenCTI exposta à internet sem mecanismos adicionais de proteção (como firewall de aplicação, autenticação por proxy reverso ou restrições de IP) está ainda mais vulnerável à exploração ativa.
Riscos de exploração
Especialistas em segurança já alertaram que a exploração da CVE-2025-24977 é relativamente simples, especialmente em ambientes que não seguem práticas de segurança robustas. Proofs-of-Concept (PoCs) foram identificados em fóruns e repositórios públicos, o que aumenta a probabilidade de exploração em larga escala por agentes maliciosos.
A falha também atrai a atenção por permitir execução de código como root, elevando drasticamente seu potencial destrutivo. Isso significa que, mesmo sem conhecimento prévio sobre a arquitetura da rede-alvo, um atacante pode implantar malware, estabelecer backdoors ou desativar serviços críticos com facilidade.
Mitigações e correção
A principal medida para eliminar o risco associado à CVE-2025-24977 é atualizar imediatamente a plataforma OpenCTI para a versão 5.12.18 ou superior, que corrige a falha por meio da sanitização adequada das entradas e da reestruturação do tratamento de código dinâmico.
Além da correção oficial, é fundamental restringir o acesso à API do OpenCTI, limitando sua exposição direta à internet e aplicando autenticação rigorosa em serviços intermediários. Monitorar atentamente os registros de atividades da plataforma pode ajudar na identificação precoce de tentativas de exploração. A implementação de firewalls de aplicação web (WAFs) também é recomendada para bloquear requisições suspeitas que possam explorar a vulnerabilidade.
Por fim, manter uma rotina de testes de segurança, com foco em APIs e pontos de entrada dinâmicos, fortalece a postura defensiva da organização contra esse e outros vetores de ataque.
This post is also available in: Português
