A agência norte-americana de cibersegurança lançou um aviso sério sobre uma falha de segurança encontrada em diversos equipamentos de videovigilância da Honeywell. O problema permite que utilizadores não autorizados acedam às transmissões de vídeo ou assumam o controlo total das contas associadas aos dispositivos.
Um risco de segurança avaliado em 9.8
A vulnerabilidade, identificada como CVE-2026-1670 pelo investigador Souvik Kanda, recebeu uma pontuação de gravidade quase máxima de 9.8 em 10. A raiz da questão está na ausência de autenticação para uma função crítica, deixando um ponto de acesso à interface de programação (API) totalmente exposto.
Na prática, este erro informático permite que qualquer atacante altere remotamente o endereço de e-mail de recuperação de uma conta, sem necessitar de qualquer palavra-passe prévia. Ao fazê-lo, o intruso consegue usar a opção de recuperação de dados para assumir o controlo legítimo do equipamento e visualizar as imagens captadas pelas câmaras em tempo real.
Equipamentos afetados e o que fazer
A Honeywell é uma das maiores fornecedoras mundiais de equipamento de segurança, sendo que as suas câmaras são frequentemente instaladas em escritórios, armazéns e até em infraestruturas governamentais ou críticas. Os modelos específicos afetados por esta situação incluem o I-HIB2PI-UL 2MP IP 6.1.22.1216, o SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0, o PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0 e o 25M IPC WDR_2MP_32M_PTZ_v2.0.
Até ao dia 17 de fevereiro, não existiam relatos conhecidos de exploração ativa desta vulnerabilidade no espaço público. Ainda assim, a recomendação é clara: os administradores de sistemas devem minimizar a exposição destes equipamentos na rede, isolando as câmaras atrás de firewalls e utilizando soluções de acesso remoto seguro, como redes privadas virtuais (VPN) atualizadas.
Para já, a empresa fabricante ainda não emitiu um comunicado público detalhado sobre a resolução do problema. No entanto, os utilizadores afetados são aconselhados a agir com base nas informações divulgadas pela CISA e a contactar de imediato a equipa de suporte da Honeywell para obterem orientações sobre a aplicação de correções.
Nenhum comentário
Seja o primeiro!