Quando falamos em cibersegurança, a maioria das empresas pensa em firewalls, antivírus e monitoramento. Mas existe uma camada de proteção que vai além da defesa passiva: a pesquisa de vulnerabilidades.

É ela que permite identificar falhas antes que uma ameaça real as explore, transformando o risco em conhecimento e o conhecimento em ação.

Neste artigo, você vai entender o que é a pesquisa de vulnerabilidades, por que ela é estratégica nas operações de segurança ofensiva e acompanhar o relato de como uma falha crítica foi descoberta por um colaborador da Ayko em um software amplamente utilizado e então corrigida.

Além das vulnerabilidades conhecidas

A pesquisa de vulnerabilidades é o processo de analisar sistemas, aplicações e infraestruturas em busca de falhas que possam ser exploradas por agentes externos. Diferente de um scan automatizado, que identifica vulnerabilidades já conhecidas, a pesquisa vai além: investiga código-fonte, lógica de funcionamento e interações entre componentes para descobrir falhas inéditas.

Esse trabalho exige conhecimento profundo em desenvolvimento de software, protocolos, sistemas operacionais e técnicas de exploração. Quando uma vulnerabilidade é confirmada, ela pode receber um identificador CVE (Common Vulnerabilities and Exposures), tornando-se pública e permitindo que fabricantes corrijam o problema e que empresas ao redor do mundo se protejam.

Enquanto a defesa tradicional reage ao que já é conhecido, a pesquisa de vulnerabilidades se antecipa ao que ainda não foi descoberto.

Por que detectar não é mais suficiente

Grande parte das empresas ainda adota uma postura reativa em segurança: implementa ferramentas, configura alertas e espera detectar ameaças. Isso funciona até certo ponto, o problema está no que ainda não foi catalogado.

É nesse cenário que entram as operações de segurança ofensiva, como o Pentest e o Red Team.

O Pentest (teste de intrusão) simula ataques de forma controlada para identificar vulnerabilidades específicas em sistemas, redes e aplicações. Já o Red Team amplia essa abordagem, simulando ataques reais de ponta a ponta para avaliar não apenas falhas técnicas, mas também a capacidade da organização de detectar e responder a incidentes.

Enquanto o Pentest atua de forma pontual, o Red Team traz uma visão mais realista e abrangente do risco. Mais do que encontrar falhas, o objetivo dessas abordagens é testar a resiliência da empresa como um todo: tecnologia, pessoas e processos.

Nesse contexto, a pesquisa de vulnerabilidades potencializa os resultados: permite descobrir falhas inéditas, eleva o nível dos testes ofensivos e fortalece a postura de segurança de forma significativa.

Estudo de caso: vulnerabilidade no GLPI

Para ilustrar esse processo, vamos analisar um caso real envolvendo o GLPI, um software de gestão de ativos de TI de código aberto (open-source) utilizado por milhares de organizações ao redor do mundo.

O GLPI é um software open-source amplamente utilizado por milhares de organizações e devido à sua ampla adoção, qualquer falha de segurança nesse tipo de ferramenta pode gerar impactos significativos.

Durante uma análise aprofundada do código-fonte, um dos analistas do time da Ayko identificou uma vulnerabilidade inédita a partir da investigação da lógica interna da aplicação.

O processo seguido foi liderado pelo nosso analista de segurança ofensiva Mateus Ribeiro.

●Análise da falha

Ao analisar o funcionamento do sistema, foi identificado um ponto crítico no mecanismo responsável por armazenar indicadores de progresso. De forma simplificada, o GLPI processava o conteúdo de um arquivo sem validação adequada.

Essa falha é conhecida como deserialização insegura, uma vulnerabilidade que permite a inserção de instruções maliciosas em dados considerados confiáveis pelo sistema, onde dados não confiáveis são convertidos em objetos sem validação adequada.

Isso pode permitir que invasores manipulem objetos serializados, resultando em execução remota de código (RCE), negação de serviços (DoS) e escalonamento de privilégios.

O impacto dessa invasão seria significativo, fazendo com que um usuário com privilégios administrativos pudesse explorar essa falha para executar comandos diretamente no servidor, obtendo controle total do ambiente, se tornando um ponto cego para ataques.

Em um cenário real, isso poderia resultar em acesso a dados sensíveis, movimentação lateral na rede e comprometimento completo da infraestrutura de uma empresa, deixando o sistema ainda mais fragilizado.

Divulgação responsável

O caminho da pesquisa de vulnerabilidade foi seguido a partir das etapas de divulgação responsável (Responsible Disclosure), após identificar a falha, foi necessário informar aos desenvolvedores sobre essa vulnerabilidade na plataforma.

Então antes de tornar a informação pública, o analista Mateus notificou a equipe do projeto GLPI para que pudesse desenvolver e disponibilizar uma correção, a fim de garantir que essa falha de segurança seja corrigida antes de ser explorada e divulgada publicamente.

Todo o processo aconteceu na seguinte linha do tempo:

Dezembro de 2025: vulnerabilidade descoberta e reportada;

Janeiro de 2026: correção publicada pela GLPI;

Março de 2026: atualização do software e divulgação dos detalhes técnicos.

A falha recebeu o identificador CVE-2026-22248, sendo registrada em bases oficiais como NVD/NIST e GitHub Security Advisories.

Uma análise técnica detalhada sobre a vulnerabilidade e seu impacto pode ser consultada no material pelo link. Já o advisory oficial do projeto GLPI pode ser consultado no GitHub Security.

Vantagem competitiva em segurança

A capacidade de conduzir pesquisa de vulnerabilidades vai além de um diferencial técnico; é um sinal claro de maturidade em segurança.

Empresas que investem nesse nível de profundidade conseguem:

  • Reduzir sua superfície de ataque: ao identificar e corrigir vulnerabilidades antes que sejam exploradas, a empresa diminui significativamente os pontos de entrada disponíveis para possíveis invasões.
  • Antecipar riscos desconhecidos: ao ir além das falhas já catalogadas, a pesquisa permite descobrir vulnerabilidades inéditas, reduzindo a exposição a ameaças que ainda não fazem parte dos bancos de dados tradicionais
  • Fortalecer suas defesas de forma contínua: cada nova descoberta gera aprendizado e evolução, tornando os processos, controles e tecnologias mais preparados para cenários futuros.
  • Contribuir com o ecossistema global de segurança: ao reportar vulnerabilidades de forma responsável, a empresa ajuda fabricantes e outras organizações a se protegerem, fortalecendo a segurança de forma coletiva.

Mais do que encontrar falhas, trata-se de gerar inteligência aplicada à proteção do negócio.

“Pesquisa de vulnerabilidades é um tema que vem ganhando cada vez mais relevância em 2026, e com razão. A motivação para a descoberta da CVE-2026-22248 surgiu após uma pesquisa no grep.app por funções potencialmente perigosas em projetos open source. Lembrei de explorações clássicas em PHP e fui procurar por funções como unserialize, entre outras. Foi então que o GLPI apareceu nos resultados utilizando essa função.

Por ser open source e amplamente adotado, decidi investigar. A partir daí, bastou um pouco de code review até encontrar o caminho para exploração. O impacto é extremamente alto, já que credenciais vazadas podem comprometer uma instância do GLPI e escalar para execução remota de código. Foi assim que essa CVE “nasceu”.

O que ficou de alerta foi como ainda falta investimento real das empresas em pesquisa de vulnerabilidades. Uma falha com esse impacto, em uma aplicação utilizada por milhares de organizações, mostra o gap entre o que está em produção e o que é auditado. Investir em pesquisa de vulnerabilidades ainda não é prioridade para muitas empresas, e enquanto não for, vulnerabilidades críticas vão continuar sendo descobertas por quem está de fora, e nem sempre com boas intenções.”

Mateus Ribeiro

Analista de Segurança Ofensiva da Ayko

Maturidade em cibersegurança

Esse caso reforça um ponto essencial: qualquer software pode conter vulnerabilidades ainda desconhecidas.

Ferramentas do dia a dia, sistemas de gestão, plataformas de chamados e soluções de monitoramento podem se tornar vetores de ataque se não forem avaliados com profundidade.

A pesquisa de vulnerabilidades transforma riscos invisíveis em ações concretas de proteção.

Quando combinada com operações como Red Team, essa abordagem atinge um novo nível. O teste deixa de se limitar ao conhecido e passa a refletir o comportamento real de um ator malicioso, inclusive na descoberta de falhas inéditas.

Ayko: segurança que vai além do óbvio

Na Ayko, acreditamos que cibersegurança exige profundidade.

Por isso, combinamos Red Team, pentest e pesquisa de vulnerabilidades para entregar uma visão completa dos riscos que impactam sua organização. Vamos além das ferramentas, investigamos o que elas não conseguem mostrar.

Quer entender como elevar o nível de segurança da sua empresa?

Fale com nossos especialistas e descubra como proteger seu negócio de ameaças reais.