Segurança De Rede

A versão 2.29 do IPFire, atualizada com o Core Update 198, traz avanços significativos na tecnologia de firewall de código aberto, especialmente na prevenção de intrusões. A nova versão inclui o Suricata 8, que oferece capacidades aprimoradas de prevenção de intrusões e recursos inovadores de relatórios. Entre as novidades, destacam-se notificações por e-mail em tempo real, relatórios em PDF programados e integração com syslog remoto, criando um registro abrangente que pode ser auditado mesmo em cenários de comprometimento.

A TP-Link divulgou atualizações de segurança para corrigir quatro vulnerabilidades críticas em seus dispositivos de gateway Omada, incluindo duas falhas que podem permitir a execução de código arbitrário. As vulnerabilidades identificadas são: CVE-2025-6541 e CVE-2025-6542, ambas com uma pontuação CVSS de 9.3, que permitem a injeção de comandos do sistema operacional por atacantes autenticados e não autenticados, respectivamente. Outras duas falhas, CVE-2025-7850 e CVE-2025-7851, com pontuações de 8.6 e 8.7, respectivamente, também permitem a execução de comandos arbitrários, sendo a primeira acessível a administradores e a segunda relacionada à gestão inadequada de privilégios. A TP-Link recomenda que os usuários atualizem rapidamente o firmware de seus dispositivos para mitigar os riscos. A empresa não reportou exploração ativa dessas falhas, mas enfatizou a importância de verificar as configurações após a atualização. Os modelos afetados incluem diversas versões de dispositivos como ER8411, ER7412-M2 e ER605, entre outros. A atualização é crucial para garantir a segurança e a integridade dos sistemas operacionais subjacentes dos dispositivos.

A Cisco emitiu um alerta sobre uma vulnerabilidade de alta severidade, identificada como CVE-2025-20352, que afeta o software IOS e IOS XE. Com uma pontuação CVSS de 7.7, essa falha pode permitir que um atacante remoto execute código arbitrário ou cause uma condição de negação de serviço (DoS) em dispositivos afetados. A vulnerabilidade está relacionada ao protocolo SNMP (Simple Network Management Protocol) e foi descoberta após a violação de credenciais de administrador local. Para explorar a falha, um atacante precisa enviar um pacote SNMP malicioso a um dispositivo vulnerável, sendo que as condições para a exploração variam conforme o nível de privilégios do atacante. A Cisco recomenda que apenas usuários confiáveis tenham acesso SNMP e sugere a execução do comando “show snmp host” para monitoramento. A falha afeta todas as versões do SNMP e dispositivos como os switches Meraki MS390 e Cisco Catalyst 9300. A correção já está disponível na versão 17.15.4a do Cisco IOS XE, e a empresa alerta que não há soluções alternativas para mitigar a vulnerabilidade.

A Sophos divulgou uma vulnerabilidade crítica de bypass de autenticação que afeta sua série de Pontos de Acesso Sem Fio AP6, permitindo que atacantes não autorizados obtenham privilégios administrativos. A falha, identificada como CVE-2025-10159, foi descoberta durante testes internos de segurança e já foi corrigida na versão mais recente do firmware. A vulnerabilidade impacta dispositivos que executam versões de firmware anteriores à 1.7.2563 (MR7). Atacantes que conseguem acessar o endereço IP de gerenciamento do ponto de acesso podem explorar essa falha para contornar os mecanismos de autenticação, comprometendo a segurança da rede. Uma vez que um invasor obtém privilégios administrativos, ele pode alterar configurações de rede, interceptar comunicações sem fio e implantar firmware malicioso. A Sophos implementou atualizações automáticas para a maioria dos clientes, mas aqueles que optaram por não usar essa configuração devem atualizar manualmente o firmware para se proteger contra essa vulnerabilidade. Administradores de rede são aconselhados a verificar suas versões de firmware e aplicar o patch imediatamente para evitar possíveis brechas de segurança.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou duas vulnerabilidades críticas que afetam roteadores TP-Link ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). As falhas, CVE-2023-50224 e CVE-2025-9377, têm sido exploradas ativamente. A primeira, com um CVSS de 6.5, permite a bypass de autenticação no serviço httpd do modelo TL-WR841N, resultando na exposição de credenciais armazenadas. A segunda, com um CVSS de 8.6, é uma vulnerabilidade de injeção de comandos do sistema operacional que pode levar à execução remota de código em modelos como o Archer C7 e TL-WR841N. Embora a TP-Link tenha lançado atualizações de firmware em novembro de 2024, os modelos afetados já atingiram o status de fim de vida (EoL) e não recebem mais suporte ativo. A CISA recomenda que as agências federais implementem as mitig ações necessárias até 24 de setembro de 2025. A atividade maliciosa associada a essas vulnerabilidades está ligada a um botnet conhecido como Quad7, utilizado por um ator de ameaças vinculado à China. A falta de relatórios públicos sobre a exploração dessas falhas não diminui a urgência de ações corretivas.

Uma grave vulnerabilidade de segurança foi identificada no extensor de alcance sem fio TP-Link TL-WA855RE, permitindo que atacantes maliciosos comprometam completamente a segurança do dispositivo e obtenham acesso administrativo não autorizado. Classificada como CWE-306 (Falta de Autenticação para Função Crítica), essa falha representa uma ameaça significativa à segurança da infraestrutura de rede. O problema permite que atacantes não autenticados, operando na mesma rede, executem um reset de fábrica e sequência de reinicialização ao enviar uma solicitação POST TDDP_RESET especialmente elaborada. Isso contorna todos os mecanismos de autenticação existentes, permitindo que os atacantes redefinam o dispositivo para as configurações de fábrica e estabeleçam novas credenciais administrativas. A vulnerabilidade explora a implementação do protocolo TDDP (TP-Link Device Discovery Protocol) no firmware do TL-WA855RE. Especialistas recomendam a descontinuação imediata dos dispositivos afetados, especialmente se estiverem fora do suporte. Para organizações que não podem substituir o equipamento imediatamente, a segmentação de rede e o monitoramento de atividades suspeitas são medidas recomendadas para mitigar riscos temporariamente.