65 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a iot.
Pesquisadores da KU Leuven revelaram a vulnerabilidade WhisperPair (CVE-2025-36911) no Fast Pair, que permite pareamento não autorizado e controle de earbuds e outros acessórios. A falha afeta centenas de milhões de dispositivos de fabricantes como Sony, Xiaomi e JBL; correções dependem de firmware dos fabricantes.
Pesquisa revelou uma falha em câmeras VIGI da TP‑Link com mais de 2.500 dispositivos expostos à internet; a fabricante liberou correção. Relatos públicos não trazem CVE, versão afetada ou evidência de exploração em massa — somente a contagem de dispositivos detectados e a disponibilidade do patch.
Moxa divulgou um advisory para CVE-2023-38408, falha crítica em OpenSSH (CVSS 9.8) que permite RCE em vários switches Ethernet industriais. A fabricante recomenda atualização imediata: EDS → 4.1.58 e RKS → 5.0.4, e medidas compensatórias como restrição de agent forwarding e segregação de redes.
Duas CVEs de stack overflow (CVE-2025-66176 e CVE-2025-66177, CVSS 8.8) em recursos de descoberta da Hikvision permitem crashes via pacotes forjados. A fabricante recomenda aplicar patches e segmentar redes.
Nova variante do botnet GoBruteforcer, documentada por pesquisa citada, tem atacado servidores Linux expostos realizando brute‑force contra FTP, MySQL, PostgreSQL e phpMyAdmin. A campanha é modular, inclui componentes IRC ofuscados e foi ligada a operações com foco em cripto; o relatório traz IOCs e recomendações de mitigação.
Pesquisadores reportam exploração ativa de uma vulnerabilidade de injeção de comando em múltiplos roteadores gateway DSL da D‑Link que estão fora de suporte. O trecho disponível não lista modelos, CVE ou mitigadores oficiais; recomenda‑se buscar a matéria completa e comunicados da D‑Link/CERT.
Pesquisadores relatam a botnet Kimwolf com mais de 2 milhões de dispositivos (principalmente Android TV boxes) transformados em proxies residenciais. A operação explora ADB habilitado e pools de proxies como IPIDEA para monetizar via DDoS e venda de banda.
A CISA e pesquisadores da QED Secure Solutions alertaram para CVE-2025-14346, falha crítica (CVSS 9.8) em cadeiras elétricas WHILL Model C2 e Model F que permite controle remoto via Bluetooth sem autenticação. Não há exploração pública conhecida, mas o potencial de dano físico torna a mitigação urgente; recomendam-se isolamento, contato com o fabricante e revisão de riscos por organizações de saúde.
CVE-2025-48769 é um use‑after‑free em fs/vfs/fs_rename do Apache NuttX que pode causar crashes e operações indesejadas no sistema de arquivos. Afeta versões 7.20–12.10.0; a correção está disponível na 12.11.0. Não há relatos públicos de exploração ativa.
Síntese de mais de 100 previsões para 2026 aponta que IA industrializada, agentes autônomos, deepfakes e identidade como vetor principal vão redesenhar prioridades de defesa; recomendações incluem CTEM, Zero Trust e preparos para criptografia pós‑quântica.