Resumo
O CISA publicou um alerta identificando uma vulnerabilidade crítica (CVE-2025-13607) em múltiplos modelos de câmeras CCTV fabricadas na Índia, capaz de permitir acesso sem autenticação a feeds de vídeo e credenciais administrativas. A falha recebeu CVSS v4 9.3 e afeta ao menos o modelo D‑Link DCS‑F5614‑L1 com firmware v1.03.038 e anteriores.
Descoberta e escopo / O que mudou agora
O aviso técnico (ICSA‑25‑343‑03) do CISA, publicado em 9 de dezembro de 2025 e referenciado pela reportagem, identifica a vulnerabilidade classificada como "missing authentication for a critical function" (CWE‑306). Segundo o documento, a falha permite que um atacante alcance um endpoint acessível via rede sem qualquer autenticação, expondo configurações sensíveis e credenciais administradoras.
Vetor e exploração / Mitigações
A exploração, de acordo com o alerta, ocorre via um URL acessível em rede que não valida credenciais. O acesso não requer interação do usuário e tem complexidade baixa, o que torna a superfície de ataque ampla para dispositivos expostos à internet.
- Medida imediata recomendada: aplicar a atualização fornecida pela D‑Link para o modelo confirmado (DCS‑F5614‑L1) e validar a versão do firmware na interface do equipamento.
- Isolar câmeras da exposição direta à internet, restringir acessos por firewall e usar VPNs para acesso remoto quando necessário.
- Para fabricantes sem coordenação (Sparsh Securitech e Securus CCTV, segundo o CISA), o órgão recomenda contato direto com o fornecedor para obter guias de mitigação.
Impacto e alcance / Setores afetados
O impacto é crítico: exposição de vídeo e credenciais administrativas compromete privacidade, segurança física e permite movimentos posteriores na rede (pivot). Ambientes de vigilância corporativa, instalações industriais, e infraestrutura crítica que utilizem modelos afetados estão em risco imediato.
O alerta não fornece contagem de dispositivos afetados globalmente; portanto, a escala real depende do inventário de câmeras em produção e do nível de exposição de cada instalação.
Limites das informações / O que falta saber
O CISA afirma não ter observado exploração pública ativa até a publicação do alerta. Para Sparsh Securitech e Securus CCTV, modelos específicos e firmwares afetados não foram divulgados porque os fornecedores não responderam à coordenação. Falta, portanto, uma lista consolidada de modelos e versões para esses fabricantes.
Repercussão / Próximos passos
Organizações devem priorizar: (1) inventariar câmeras expostas; (2) aplicar patches onde disponibilizados; (3) isolar dispositivos e monitorar acessos anômalos; (4) exigir suporte e confirmação de patching de fornecedores que ainda não responderam. Onde a correção não estiver disponível, isolar o dispositivo ou remover acesso à rede pública é a ação defensiva imediata.
Para operadores no Brasil, apesar de a vulnerabilidade ter foco em fabricantes indianos e alerta do CISA, o risco existe se equipamentos desses fabricantes estiverem em uso no país; recomenda‑se auditoria de ativos e aplicação das medidas acima.