Roteadores

Cibercriminosos estão aproveitando uma vulnerabilidade crítica em roteadores D-Link de gateway DSL que não recebem suporte há anos. A falha, identificada como CVE-2026-0625, afeta o endpoint dnscfg.cgi devido à má sanitização em uma biblioteca CGI, permitindo a execução remota de códigos maliciosos. Os modelos afetados incluem DSL-526B, DSL-2640B, DSL-2740R e DSL-2780B, todos considerados ’end-of-life’ desde 2020, o que significa que não receberão mais atualizações de firmware ou patches de segurança. A D-Link recomenda que os usuários desses dispositivos os substituam por modelos mais novos. A empresa ainda investiga se outros produtos podem ser impactados pela falha. Embora não se saiba quais hackers estão explorando a vulnerabilidade, a maioria das configurações permite apenas acesso LAN a interfaces administrativas. A exploração da falha pode ocorrer através de ataques baseados em navegador ou mirando dispositivos configurados para administração remota. A situação é preocupante, pois a falta de suporte para esses dispositivos pode expor redes a riscos significativos.

Uma nova vulnerabilidade crítica, identificada como CVE-2026-0625, foi descoberta em roteadores DSL da D-Link, com um alto índice de severidade de 9.3 no CVSS. Essa falha, que se refere a uma injeção de comandos no endpoint ‘dnscfg.cgi’, permite que atacantes remotos não autenticados injetem e executem comandos de shell arbitrários, resultando em execução remota de código. Os modelos afetados incluem DSL-2740R, DSL-2640B, DSL-2780B e DSL-526B, todos com status de fim de vida desde 2020. A D-Link está investigando a situação após um alerta da VulnCheck em dezembro de 2025, mas a identificação precisa dos modelos afetados é complexa devido a variações de firmware. A exploração ativa dessa vulnerabilidade foi registrada em novembro de 2025, e a empresa recomenda que os proprietários de dispositivos afetados considerem a substituição por modelos que recebam atualizações regulares de firmware e segurança. A falha expõe um mecanismo de configuração DNS que já foi utilizado em campanhas de sequestro de DNS em larga escala, permitindo que atacantes alterem silenciosamente as entradas de DNS, comprometendo a segurança de toda a rede conectada ao roteador.

Uma nova campanha de hackers chineses, identificada como Operação WrtHug, comprometeu milhares de roteadores ASUS WRT globalmente, visando criar uma rede de espionagem. Pesquisadores da SecurityScorecard relataram que a operação explora seis vulnerabilidades específicas, incluindo CVE-2023-41345 a CVE-2025-2492, relacionadas ao serviço ASUS AiCLOUD e a falhas de OS Injection. Os atacantes conseguiram obter privilégios elevados em dispositivos SOHO considerados ‘fim de vida’, que são frequentemente utilizados por provedores de internet. A maioria dos dispositivos afetados compartilha um certificado TLS auto-assinado com uma data de expiração de 100 anos, facilitando a persistência dos hackers. Aproximadamente 50% das vítimas estão localizadas em Taiwan, levantando suspeitas sobre a origem chinesa dos atacantes. O incidente destaca a importância de monitorar serviços desatualizados e a necessidade de vigilância constante contra campanhas de intrusão patrocinadas por estados, que estão em evolução contínua para ampliar suas capacidades de espionagem.

Pesquisadores em cibersegurança identificaram o malware PolarEdge, um botnet que visa roteadores de marcas como Cisco, ASUS, QNAP e Synology. Documentado pela primeira vez em fevereiro de 2025, o PolarEdge utiliza uma falha de segurança conhecida (CVE-2023-20118) para se infiltrar nos dispositivos, baixando um script shell que executa um backdoor. Este backdoor, implementado em ELF e baseado em TLS, monitora conexões de clientes e pode executar comandos recebidos de um servidor de comando e controle (C2). PolarEdge opera em dois modos: um modo de conexão reversa e um modo de depuração, permitindo modificações em sua configuração. Além disso, o malware emprega técnicas de anti-análise para ocultar suas operações e não garante persistência após reinicializações, embora utilize processos filhos para reativar-se. A descoberta do PolarEdge é relevante, especialmente considerando a crescente integração de dispositivos IoT e a vulnerabilidade de roteadores, que são alvos comuns de ataques. A situação é agravada pela possibilidade de que o malware tenha começado a operar desde junho de 2023, indicando um período prolongado de atividade maliciosa.

Pesquisadores revelaram uma falha crítica de segurança em roteadores empresariais que utilizam o sistema DrayOS, permitindo que atacantes remotos não autenticados provoquem corrupção de memória, quedas de sistema e potencialmente executem código arbitrário. A vulnerabilidade está presente na Interface Web do Usuário (WebUI), que aceita requisições HTTP(S) sem validação adequada de entrada. Quando explorada, essa falha pode dar controle total sobre os dispositivos afetados, permitindo que os atacantes se movam mais profundamente nas redes corporativas. A exploração ocorre ao enviar requisições maliciosas para a WebUI em interfaces de rede com acesso remoto habilitado. A DrayTek já lançou atualizações de firmware para corrigir a vulnerabilidade, e os usuários são aconselhados a atualizar imediatamente para evitar riscos de exploração. Para mitigar a ameaça, recomenda-se desabilitar o acesso remoto à WebUI e implementar listas de controle de acesso (ACLs) que restrinjam o acesso a hosts confiáveis. Além disso, é importante realizar auditorias de patch e testes de penetração periódicos para garantir a segurança das interfaces de gerenciamento remoto.

Pesquisadores de segurança identificaram três vulnerabilidades críticas no firmware do roteador TOTOLINK X6000R, versão V9.4.0cu.1360_B20241207, lançado em 28 de março de 2025. Essas falhas permitem que atacantes não autenticados provoquem condições de negação de serviço, corrompam arquivos do sistema e executem comandos arbitrários no dispositivo. As vulnerabilidades são: CVE-2025-52905, que permite injeção de argumentos e negação de serviço; CVE-2025-52906, uma vulnerabilidade crítica de injeção de comandos que possibilita a execução remota de comandos; e CVE-2025-52907, que permite a corrupção de arquivos do sistema devido a uma lista de bloqueio incompleta. Todas as falhas estão relacionadas à interface web do roteador, especificamente no endpoint /cgi-bin/cstecgi.cgi, que não valida adequadamente as entradas. A TOTOLINK já lançou uma atualização de firmware para corrigir essas falhas e recomenda que todos os usuários atualizem imediatamente. Além disso, práticas de segurança adicionais, como a mudança de credenciais padrão e a segmentação de dispositivos IoT, são aconselhadas para mitigar riscos futuros.

Em junho de 2025, a equipe de Detecção e Pesquisa de Ameaças da Sekoia.io identificou requisições POST anômalas em Roteadores Celulares Industriais Milesight, que resultaram na distribuição em massa de mensagens SMS de phishing. Os atacantes exploraram um ponto de extremidade de API não autenticado para enviar cargas JSON que ativavam funções de entrega de SMS. A análise revelou que mais de 19.000 roteadores Milesight estão acessíveis publicamente na internet, com 572 deles apresentando acesso não autenticado às suas APIs de SMS. A maioria dos dispositivos vulneráveis estava nas versões de firmware 32.2.x.x e 32.3.x.x, com uma concentração geográfica significativa na Europa, especialmente na França, Bélgica e Turquia. As campanhas de smishing variaram entre envios em massa e campanhas direcionadas, utilizando domínios maliciosos que se passavam por serviços confiáveis. A exploração desses roteadores destaca a necessidade urgente de proteger dispositivos IoT e de borda, recomendando auditorias de APIs, atualização de firmware e monitoramento contínuo do tráfego dos dispositivos.

Recentemente, a TP-Link confirmou uma vulnerabilidade crítica em vários modelos de roteadores, que ainda não possui correção. A falha, identificada pelo pesquisador Mehrun da ByteRay, é uma vulnerabilidade de zero-day relacionada à sobrecarga de buffer no Protocolo de Gerenciamento CPE WAN (CWMP). Essa falha permite a execução remota de códigos maliciosos, especialmente quando o tamanho dos buffers ultrapassa 3072 bytes. Os atacantes podem explorar essa vulnerabilidade através de um servidor CWMP malicioso, comprometendo roteadores que utilizam credenciais padrão ou firmwares desatualizados. Modelos como Archer AX10 e AX1500 já foram confirmados como vulneráveis, e a TP-Link está desenvolvendo um patch para modelos fora da Europa. Enquanto isso, recomenda-se que os usuários alterem as senhas padrão, desativem o CWMP se não for necessário e atualizem seus dispositivos para a versão mais recente do firmware. A situação é preocupante, especialmente considerando que botnets têm explorado falhas em roteadores para disseminar malware e roubar credenciais, como observado em ataques recentes.