Zero-day PWN-25-01 permite RCE em 70.000+ dispositivos SXZOS | Riscos e Ameaças

Pesquisadores do pwn.ai divulgaram PWN-25-01 (CVE-2025-54322), um zero‑day pre‑auth RCE em firmware SXZOS da XSpeeder que afeta SD‑WAN appliances e roteadores. O vetor explora /webInfos/ e usa eval() sobre dados base64 decodificados; mais de 70.000 hosts estariam expostos. XSpeeder não respondeu às tentativas de divulgação; recomendações incluem segmentação e restrição de acesso.

Introdução

Pesquisadores do pwn.ai divulgaram um zero‑day crítico (CVE-2025-54322, identificado como PWN-25-01) em firmware SXZOS da XSpeeder que possibilita execução remota de código sem autenticação em appliances SD‑WAN, roteadores de borda e controladores de smart TV. O relatório, reproduzido pelo Cyber Security News, descreve detalhes do vetor, escala e recomendações imediatas.

Descrição técnica e escopo

Segundo o texto, a vulnerabilidade permite RCE com privilégios de root através de uma única requisição HTTP GET direcionada ao endpoint /webInfos/. O caminho vulnerável processa três parâmetros de query sem validação adequada; o fluxo de código eventualmente aplica eval() sobre dados base64‑decodificados. Essa combinação cria uma janela para execução arbitrária.

O artigo lista atributos chave: identificador CVE-2025-54322, gravidade CVSS 9.8 (Critical), nenhum requisito de autenticação e mais de 70.000 hosts SXZOS potencialmente expostos, segundo varreduras Fofa e fingerprinting avançado.

Vetor de exploração observado

O vetor documentado envolve o parâmetro chkid, que pode carregar payloads base64 contendo código Python malicioso. Para alcançar a view vulnerável, o atacante precisa satisfazer superfícies defensivas descritas pelo pesquisador: um cabeçalho nonce sincronizado no tempo (X-SXZ-R), um requisito de aquecimento de cookie de sessão e um filtro de substring aplicado antes da decodificação. Os pesquisadores demonstraram que esses controles são contornáveis e que requisições cuidadosamente construídas permitem execução completa de comandos.

Impacto e população afetada

O artigo coloca o universo de risco em dezenas de milhares de dispositivos: "over 70,000 SXZOS-based systems remain exposed worldwide." Dada a presença desses appliances em ambientes industriais e filiais, a exploração remota e sem autenticação representa risco operacional significativo para redes corporativas, controladores de borda e serviços dependentes de SD‑WAN.

Resposta do fornecedor e estado de correção

De acordo com a matéria, XSpeeder não respondeu às tentativas de divulgação coordenada por mais de sete meses, levando os pesquisadores a publicar os detalhes. No momento do relatório não havia patches oficiais disponíveis; a recomendação imediata inclui medidas compensatórias até que correções sejam liberadas.

Mitigações recomendadas

Segmentação de redes: isolar interfaces de gerenciamento e restringir o acesso a portas administrativas.
Restrição de gerenciamento: limitar origens que podem alcançar as interfaces SXZOS por ACLs e VPNs.
Monitoramento: observar tentativas de requisições ao endpoint /webInfos/ e padrões anômalos no header X-SXZ-R ou no parâmetro chkid.
Considerar alternativas: avaliar substituição de equipamentos enquanto patches oficiais não são disponibilizados.

Observações finais e lacunas

O relatório do pwn.ai reproduzido pelo Cyber Security News fornece um mapa técnico claro do vetor e da escala estimada. Entretanto, faltam no feed dados públicos sobre exploits amplamente observados em campanhas, IOCs (hashes, IPs) e telemetria de incidentes confirmados contra alvos específicos. A matéria menciona a existência de sistemas expostos e descreve a exploração técnica, mas não apresenta exemplos públicos de exploração em massa nem confirma vítimas organizacionais nomeadas.

Equipes de segurança devem tratar CVE-2025-54322 como uma vulnerabilidade de alta prioridade para avaliação e mitigação nas redes que utilizam equipamentos XSpeeder/SXZOS.