Uma vulnerabilidade crítica em vários modelos de roteadores e dispositivos de rede de Zyxel obrigou a empresa a publicar atualizações de segurança este mês. O erro, registrado como CVE-2025-13942, permite a injeção de comandos através da funcionalidade UPnP, o que no pior dos casos poderia dar a um atacante a capacidade de executar comandos do sistema operacional em uma equipe sem necessidade de autenticar-se.
Segundo a própria Zyxel, o problema está no processamento de pedidos SOAP de UPnP em uma gama ampla de produtos, que inclui equipamentos CPE 4G LTE/5G NR, CPE DSL/Ethernet, ONT de fibra e extensores sem fios. Um atacante que envie mensagens UPnP manipuladas poderia aproveitar essa fraqueza para provocar execução remota de comandos nos dispositivos vulneráveis; Zyxel explica com mais detalhes as condições e as versões afetadas em seu aviso técnico, disponível em seu site oficial: Zyxel Security Advisory.
É importante matizar o alcance real do risco. Para que a exploração seja viável remotamente, são necessárias duas condições: que UPnP esteja ativo no dispositivo e que exista acesso WAN ao serviço UPnP. Zyxel indica que o acesso WAN vem desativado por defeito em suas equipes, portanto, em muitos casos, a exposição prática será menor do que a que sugere a severidade teórica da falha. Mesmo assim, em redes onde um fornecedor ou o próprio usuário tenha ativado acesso remoto ou UPnP, o perigo é real.
Além dessa falha, Zyxel publicou correcções para outras duas vulnerabilidades de gravidade alta que requerem credenciais válidas para explorar: CVE-2025-13943 e CVE-2026-1459. Ambos permitiriam a um atacante com acesso autenticado executar comandos no sistema do dispositivo, pelo que também merecem atenção imediata por parte de administradores e usuários responsáveis.
A escala do ecossistema Zyxel agrava a situação: projetos de rastreamento de dispositivos expostos à Internet como Shadowserver registram quase 120.000 equipamento Zyxel visíveis da Internet, dos quais mais de 76.000 são roteadores. Essa presença é explicada em parte porque muitos provedores de serviços entregam esses equipamentos como “plug-and-play” ao contratar uma conexão, com configurações por defeito que nem sempre minimizam o risco.
Além disso, a Agência de Segurança Cibernética e Infra-estruturas dos EUA (CISA) mantém em seu catálogo múltiplas vulnerabilidades de Zyxel que foram exploradas ativamente. No seu registo público, podem ser consultados os elementos relacionados e verificar quais são classificados como “conócidamente exploradas”: CISA Known Exploited Vulnerabilities.
Outro ponto que convém recordar é a gestão do ciclo de vida das equipas. Zyxel reconheceu que determinados modelos antigos já não receberão adesivos para vulnerabilidades exploradas em estado zero (zero-days) e recomendou que os usuários substituíssem esses equipamentos EOL (end-of-life) por alternativas mais recentes que estejam atualizados. Se o fabricante não oferecer correção para um dispositivo, a única defesa real a longo prazo é substituir o hardware por um com suporte vigente.
De uma perspectiva prática, a primeira e mais urgente recomendação é a habitual nestes casos: instalar as atualizações de firmware publicadas pelo Zyxel logo que possível. Se você não puder atualizar imediatamente, convém verificar e, se apropriado, desativar UPnP e o acesso remoto da WAN na configuração do computador. Também é boa ideia mudar as credenciais por defeito, segmentar a rede para isolar o roteador de dispositivos críticos e, em ambientes empresariais, monitorar o tráfego e os logs por sinais de comportamento incomum.
Se o seu modem ou roteador lhe facilitou o seu operador e não sabe como aceder ao painel de administração ou aplicar a atualização, contacte o serviço técnico do fornecedor: muitas operadoras gerem as atualizações remotamente ou podem substituir equipamentos obsoletos. Para ambientes empresariais, onde a exposição pode envolver ativos críticos, vale a pena contar com um plano de resposta e rever inventário e políticas de renovação de hardware.
O caso de Zyxel ilustra uma lição recorrente em segurança de redes domésticas e pequenas empresas: dispositivos amplamente implantados e configurados por defeito tornam-se objetivos prioritários para atacantes. Embora nem todos os usuários estejam em risco imediato pelas condições de exploração, a disponibilidade pública desses erros e o número de aparelhos expostos justificam uma reação proativa.
Para aqueles que querem consultar as fontes primárias e aprofundar os detalhes técnicos e as mitigações oficiais, aqui você tem links para os avisos e registros citados: o aviso de Zyxel sobre estas vulnerabilidades está em seu site, os CVE individuais podem ser revistos na base de dados pública do CVE ( CVE-2025-13942, CVE-2025-13943, CVE-2026-1459), e o monitoramento de nossa superfície exposta pode ser confirmado com projetos como Shadowserver e a lista de vulnerabilidades exploradas CISA.
Em resumo: a existência de sistemas já disponíveis é uma boa notícia, mas a presença maciça de dispositivos Zyxel em redes de todo o mundo e a decisão de não atualizar hardware antigo obrigam a tomar medidas ativas: atualizar quando possível, desativar funções desnecessárias como UPnP e acesso WAN remoto, e substituir equipamentos EOL para reduzir a janela de exposição.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...