Roteadores

Pesquisadores em cibersegurança identificaram o malware PolarEdge, um botnet que visa roteadores de marcas como Cisco, ASUS, QNAP e Synology. Documentado pela primeira vez em fevereiro de 2025, o PolarEdge utiliza uma falha de segurança conhecida (CVE-2023-20118) para se infiltrar nos dispositivos, baixando um script shell que executa um backdoor. Este backdoor, implementado em ELF e baseado em TLS, monitora conexões de clientes e pode executar comandos recebidos de um servidor de comando e controle (C2). PolarEdge opera em dois modos: um modo de conexão reversa e um modo de depuração, permitindo modificações em sua configuração. Além disso, o malware emprega técnicas de anti-análise para ocultar suas operações e não garante persistência após reinicializações, embora utilize processos filhos para reativar-se. A descoberta do PolarEdge é relevante, especialmente considerando a crescente integração de dispositivos IoT e a vulnerabilidade de roteadores, que são alvos comuns de ataques. A situação é agravada pela possibilidade de que o malware tenha começado a operar desde junho de 2023, indicando um período prolongado de atividade maliciosa.

Pesquisadores revelaram uma falha crítica de segurança em roteadores empresariais que utilizam o sistema DrayOS, permitindo que atacantes remotos não autenticados provoquem corrupção de memória, quedas de sistema e potencialmente executem código arbitrário. A vulnerabilidade está presente na Interface Web do Usuário (WebUI), que aceita requisições HTTP(S) sem validação adequada de entrada. Quando explorada, essa falha pode dar controle total sobre os dispositivos afetados, permitindo que os atacantes se movam mais profundamente nas redes corporativas. A exploração ocorre ao enviar requisições maliciosas para a WebUI em interfaces de rede com acesso remoto habilitado. A DrayTek já lançou atualizações de firmware para corrigir a vulnerabilidade, e os usuários são aconselhados a atualizar imediatamente para evitar riscos de exploração. Para mitigar a ameaça, recomenda-se desabilitar o acesso remoto à WebUI e implementar listas de controle de acesso (ACLs) que restrinjam o acesso a hosts confiáveis. Além disso, é importante realizar auditorias de patch e testes de penetração periódicos para garantir a segurança das interfaces de gerenciamento remoto.

Pesquisadores de segurança identificaram três vulnerabilidades críticas no firmware do roteador TOTOLINK X6000R, versão V9.4.0cu.1360_B20241207, lançado em 28 de março de 2025. Essas falhas permitem que atacantes não autenticados provoquem condições de negação de serviço, corrompam arquivos do sistema e executem comandos arbitrários no dispositivo. As vulnerabilidades são: CVE-2025-52905, que permite injeção de argumentos e negação de serviço; CVE-2025-52906, uma vulnerabilidade crítica de injeção de comandos que possibilita a execução remota de comandos; e CVE-2025-52907, que permite a corrupção de arquivos do sistema devido a uma lista de bloqueio incompleta. Todas as falhas estão relacionadas à interface web do roteador, especificamente no endpoint /cgi-bin/cstecgi.cgi, que não valida adequadamente as entradas. A TOTOLINK já lançou uma atualização de firmware para corrigir essas falhas e recomenda que todos os usuários atualizem imediatamente. Além disso, práticas de segurança adicionais, como a mudança de credenciais padrão e a segmentação de dispositivos IoT, são aconselhadas para mitigar riscos futuros.

Em junho de 2025, a equipe de Detecção e Pesquisa de Ameaças da Sekoia.io identificou requisições POST anômalas em Roteadores Celulares Industriais Milesight, que resultaram na distribuição em massa de mensagens SMS de phishing. Os atacantes exploraram um ponto de extremidade de API não autenticado para enviar cargas JSON que ativavam funções de entrega de SMS. A análise revelou que mais de 19.000 roteadores Milesight estão acessíveis publicamente na internet, com 572 deles apresentando acesso não autenticado às suas APIs de SMS. A maioria dos dispositivos vulneráveis estava nas versões de firmware 32.2.x.x e 32.3.x.x, com uma concentração geográfica significativa na Europa, especialmente na França, Bélgica e Turquia. As campanhas de smishing variaram entre envios em massa e campanhas direcionadas, utilizando domínios maliciosos que se passavam por serviços confiáveis. A exploração desses roteadores destaca a necessidade urgente de proteger dispositivos IoT e de borda, recomendando auditorias de APIs, atualização de firmware e monitoramento contínuo do tráfego dos dispositivos.

Recentemente, a TP-Link confirmou uma vulnerabilidade crítica em vários modelos de roteadores, que ainda não possui correção. A falha, identificada pelo pesquisador Mehrun da ByteRay, é uma vulnerabilidade de zero-day relacionada à sobrecarga de buffer no Protocolo de Gerenciamento CPE WAN (CWMP). Essa falha permite a execução remota de códigos maliciosos, especialmente quando o tamanho dos buffers ultrapassa 3072 bytes. Os atacantes podem explorar essa vulnerabilidade através de um servidor CWMP malicioso, comprometendo roteadores que utilizam credenciais padrão ou firmwares desatualizados. Modelos como Archer AX10 e AX1500 já foram confirmados como vulneráveis, e a TP-Link está desenvolvendo um patch para modelos fora da Europa. Enquanto isso, recomenda-se que os usuários alterem as senhas padrão, desativem o CWMP se não for necessário e atualizem seus dispositivos para a versão mais recente do firmware. A situação é preocupante, especialmente considerando que botnets têm explorado falhas em roteadores para disseminar malware e roubar credenciais, como observado em ataques recentes.