Vulnerabilidade no Daikin Security Gateway Permite Acesso Não Autorizado
Uma vulnerabilidade crítica foi descoberta nos sistemas Daikin Security Gateway, permitindo que atacantes contornem todos os controles de autenticação e acessem sistemas de controle industrial sem autorização. Identificada como CVE-2025-10127, essa falha representa um risco significativo para organizações que dependem da infraestrutura de segurança da Daikin, especialmente no setor de energia. A vulnerabilidade se origina de um mecanismo fraco de recuperação de senha, que não verifica adequadamente a identidade do usuário, permitindo que um invasor redefina credenciais administrativas ou acesse o sistema diretamente. Pesquisadores da CISA alertaram que a exploração bem-sucedida pode comprometer a confidencialidade, integridade e disponibilidade dos sistemas afetados. A Daikin não planeja emitir um patch formal, deixando a responsabilidade de proteção nas mãos das organizações. Recomendações incluem isolar dispositivos de controle de sistemas da internet e implementar medidas de segurança adicionais, como autenticação em múltiplas camadas e monitoramento contínuo de logs de acesso.