Uma vulnerabilidade crítica detetada na biblioteca SSL/TLS wolfSSL ameaça enfraquecer a segurança de inúmeras plataformas. O problema reside na verificação inadequada do algoritmo de hash ou do seu tamanho durante a validação de assinaturas do tipo Elliptic Curve Digital Signature Algorithm (ECDSA). De acordo com os dados partilhados no National Vulnerability Database, esta brecha pode ser explorada por atacantes para forçar um equipamento ou aplicação a aceitar certificados falsificados.
O wolfSSL é uma implementação leve de TLS/SSL escrita em C, desenhada para sistemas integrados, dispositivos da Internet das Coisas (IoT), sistemas de controlo industrial, routers, sensores e até mesmo equipamentos militares ou aeroespaciais. Com presença em mais de cinco mil milhões de aplicações e dispositivos a nível mundial, o impacto potencial desta lacuna exige uma atenção imediata.
O risco oculto nas assinaturas digitais
O problema de segurança, registado como CVE-2026-5194, foi descoberto por Nicholas Carlini, investigador da Anthropic, e afeta múltiplos algoritmos de assinatura presentes no código. Ao permitir que resumos criptográficos indevidamente fracos sejam aceites durante a verificação de certificados, o sistema fica exposto a ameaças graves. Os algoritmos afetados incluem ECDSA/ECC, DSA, ML-DSA, Ed25519 e Ed448.
A raiz da questão envolve a ausência de verificações adequadas do tamanho do hash ou do identificador de objeto. Isto faz com que as funções de verificação de assinatura aceitem valores mais pequenos do que o permitido ou inapropriados para o tipo de chave em causa. O investigador independente Lukasz Olejnik alerta que a exploração pode enganar aplicações, levando-as a confiar numa identidade digital falsificada como se fosse genuína, estabelecendo ligações com servidores maliciosos que deveriam ter sido rejeitadas.
A solução e o impacto nas infraestruturas
Para mitigar a situação, os programadores responsáveis pelo projeto lançaram a versão 5.9.1 do wolfSSL a 8 de abril. A recomendação oficial dita que todas as compilações que tenham tanto o ECC como o EdDSA ou ML-DSA ativos devem ser atualizadas para o lançamento mais recente.
Embora o problema afete a rotina central de verificação, a sua exploração bem-sucedida pode depender de pré-requisitos e condições específicas de implementação. Os administradores de sistemas que dependem de pacotes de distribuições Linux, firmware de fabricantes e kits de desenvolvimento integrados devem procurar os avisos de segurança dos respetivos fornecedores. A título de exemplo, o alerta da Red Hat esclarece que o MariaDB não é afetado, uma vez que recorre ao OpenSSL para as operações criptográficas.
Para complementar a documentação técnica, os detalhes adicionais sobre o código afetado podem ser consultados no aviso de segurança do GitHub Advisory Database.
Nenhum comentário
Seja o primeiro!