CISA alerta para falhas críticas exploradas em ataques

A Cybersecurity and Infrastructure Security Agency alertou para a exploração ativa de várias vulnerabilidades críticas que afetam equipamentos da Ubiquiti e da Lantronix, acrescentando-as ao catálogo de Known Exploited Vulnerabilities (KEV).

Na sequência da atualização, as agências federais norte-americanas abrangidas pela diretiva BOD 26-04 têm três dias para aplicar as correções disponibilizadas pelos fabricantes ou implementar medidas de mitigação recomendadas.

Três das vulnerabilidades identificadas afetam o sistema operativo UniFi OS, da Ubiquiti. A mais grave, CVE-2026-34908, permite contornar mecanismos de controlo de acesso, possibilitando que um atacante sem autenticação efetue alterações não autorizadas no sistema, com potencial para comprometer totalmente o equipamento.

A segunda vulnerabilidade, CVE-2026-34909, corresponde a uma falha que permite aceder a ficheiros sensíveis do sistema operativo, incluindo configurações, credenciais e outras informações que podem facilitar o comprometimento de contas.

Já a CVE-2026-34910 resulta de uma validação inadequada de entradas e pode ser explorada para executar comandos arbitrários no sistema operativo, conduzindo à execução remota de código e ao controlo total do dispositivo.

A Ubiquiti disponibilizou atualizações de segurança para estas vulnerabilidades em maio, alertando desde então para a possibilidade de exploração remota sem necessidade de privilégios prévios.

Posteriormente, investigadores da Bishop Fox demonstraram que as três falhas podem ser combinadas numa cadeia de exploração capaz de garantir execução remota de código com privilégios elevados em dispositivos vulneráveis. A empresa disponibilizou também uma ferramenta gratuita de deteção para ajudar as organizações a identificar sistemas expostos.

Além dos equipamentos da Ubiquiti, a CISA alertou para a exploração da vulnerabilidade CVE-2025-67038, que afeta servidores série-para-Ethernet Lantronix EDS5000 com firmware 2.1.0.0R3. Classificada como crítica, a falha permite a injeção de comandos ao nível de root através do módulo HTTP RPC.

A exploração bem-sucedida permite a execução arbitrária de comandos no sistema operativo, concedendo ao atacante controlo total sobre o equipamento. A Lantronix já disponibilizou uma correção para o problema e recomenda a atualização para a versão 2.2.0.0R1 do firmware.

Até ao momento, a CISA não divulgou detalhes sobre os ataques observados nem indicou se estas vulnerabilidades estão a ser utilizadas em campanhas de ransomware. Ainda assim, a agência recomenda que administradores e equipas de cibersegurança atualizem imediatamente os sistemas afetados e adotem todas as medidas de mitigação disponibilizadas pelos fabricantes.