As vulnerabilidades CVE-2017-7921 e CVE-2021-22681, ambas com CVSS 9.8, foram priorizadas por evidência de exploração ativa e exigem correção em ambientes expostos.
| Componente | Múltiplos produtos Hikvision afetados por CVE-2017-7921 e ambientes Rockwell Automation com Studio 5000 Logix Designer, RSLogix 5000 e Logix Controllers afetados por CVE-2021-22681. |
| Vetor | CVE-2017-7921 envolve autenticação imprópria; CVE-2021-22681 exige acesso de rede ao controlador e permite contornar verificação de autenticação. |
| Impacto | Escalação de privilégio e acesso a informação sensível em produtos Hikvision; autenticação indevida, alteração de configuração e alteração de código de aplicação em controladores Rockwell. |
| Prioridade | Atualizar para versões de software suportadas até 26 de março de 2026 em órgãos FCEB e priorizar a remediação em qualquer organização que mantenha esses ativos. |
| CVSS | As duas vulnerabilidades receberam pontuação CVSS 9.8. |
| Exploração | A inclusão no catálogo KEV foi feita com base em evidência de exploração ativa; tentativas contra câmeras Hikvision vulneráveis a CVE-2017-7921 já haviam sido detectadas anteriormente. |
A inclusão de CVE-2017-7921 e CVE-2021-22681 no catálogo Known Exploited Vulnerabilities altera a prioridade operacional dessas falhas porque transforma vulnerabilidades críticas conhecidas em itens com evidência de exploração ativa. A primeira afeta múltiplos produtos Hikvision e está associada a autenticação imprópria, permitindo que um usuário malicioso eleve privilégios no sistema e acesse informação sensível. A segunda afeta componentes Rockwell Automation usados em ambientes de automação industrial, incluindo Studio 5000 Logix Designer, RSLogix 5000 e Logix Controllers, com impacto direto sobre autenticação, configuração e código de aplicação dos controladores.
As duas falhas têm CVSS 9.8, o que indica gravidade técnica elevada, mas o ponto central para defesa é a presença no KEV. Esse catálogo é usado para orientar correção de vulnerabilidades já exploradas, e órgãos civis federais do poder executivo dos Estados Unidos devem atualizar os sistemas afetados para versões suportadas até 26 de março de 2026, dentro da diretiva BOD 22-01. Mesmo quando a obrigação formal não se aplica a uma organização, a combinação de pontuação crítica, produtos com papel operacional relevante e sinal de exploração ativa justifica tratamento como remediação prioritária, com inventário, validação de exposição e confirmação de atualização.
CVE-2017-7921 é descrita como uma falha de autenticação imprópria em múltiplos produtos Hikvision. Nesse tipo de condição, a barreira que deveria validar a identidade ou o nível de autorização do usuário não protege adequadamente o recurso exposto. O impacto informado é a possibilidade de escalação de privilégios no sistema e obtenção de informação sensível. O contexto também registra que tentativas de exploração contra câmeras Hikvision suscetíveis a essa vulnerabilidade haviam sido detectadas meses antes da inclusão no catálogo, o que torna relevante revisar dispositivos de vídeo, interfaces administrativas e qualquer caminho de acesso remoto associado a esses equipamentos.
CVE-2021-22681 é uma vulnerabilidade de credenciais insuficientemente protegidas em produtos Rockwell Automation. O cenário descrito exige que o usuário não autorizado tenha acesso de rede ao controlador; a partir dessa condição, a falha pode permitir contornar o mecanismo de verificação e autenticar no dispositivo. O impacto confirmado inclui alteração de configuração e também alteração do código de aplicação, o que é especialmente sensível em ambientes industriais porque controladores lógicos e ferramentas de engenharia costumam representar a camada que traduz lógica operacional em comportamento de processo. Não há, no material analisado, relatório público detalhando ataques específicos com essa CVE, portanto a avaliação defensiva deve se limitar ao fato de que a falha entrou no KEV por evidência de exploração ativa.
A superfície Hikvision deve ser entendida como o conjunto de produtos vulneráveis expostos a fluxos de autenticação que possam ser alcançados por usuários não confiáveis, redes administrativas amplas ou caminhos de acesso remoto. Como o impacto inclui privilégio elevado e informação sensível, a revisão não deve se restringir à disponibilidade do equipamento. É necessário avaliar quem consegue alcançar a interface de gerenciamento, quais contas existem no dispositivo, quais integrações consomem imagens ou metadados e se logs de autenticação foram preservados para análise retrospectiva.
No caso Rockwell Automation, a superfície crítica está nos controladores Logix e nas estáções ou fluxos que usam Studio 5000 Logix Designer e RSLogix 5000 para administrar ou modificar lógica. A pré-condição declarada é acesso de rede ao controlador, o que coloca segmentação, rotas industriais, redes de engenharia e zonas de manutenção no centro da análise. Quando um controlador pode ser alcançado a partir de redes excessivamente amplas, a falha deixa de ser apenas um problema de credencial e passa a envolver risco de alteração não autorizada de configuração ou código de aplicação.
- Produtos Hikvision vulneráveis a
CVE-2017-7921com interfaces administrativas acessíveis por usuários não confiáveis. - Studio 5000 Logix Designer, RSLogix 5000 e Logix Controllers em redes onde controladores podem ser alcançados por tráfego não autorizado.
- Ambientes sujeitos à BOD 22-01 devem concluir atualização para versões suportadas até 26 de março de 2026.
A investigação para CVE-2017-7921 deve priorizar evidências de autenticação anômala, elevação inesperada de privilégio e acesso incomum a informações mantidas ou expostas pelos produtos Hikvision. Como houve detecção anterior de tentativas contra câmeras vulneráveis, organizações com esses dispositivos devem revisar acessos recentes, falhas e sucessos de autenticação, alterações de contas administrativas e conexões vindas de redes que não deveriam administrar câmeras ou sistemas de vídeo. A ausência de um indicador único no contexto torna mais adequada uma busca comportamental baseada em acesso, privilégio e exposição.
Para CVE-2021-22681, a telemetria deve se concentrar no acesso de rede ao controlador, em eventos de autenticação fora do padrão e em mudanças de configuração ou código de aplicação que não estejam alinhadas a janelas de manutenção aprovadas. Em ambientes industriais, a comparação entre registros de engenharia, controles de mudança e eventos do controlador é essencial para separar manutenção legítima de atividade indevida. A defesa também deve registrar tentativas de autenticação inesperadas, caminhos de rede que alcançam controladores sem necessidade operacional e alterações feitas por identidades ou estáções de trabalho não previstas.
- Eventos de autenticação incomuns ou privilegiados em produtos Hikvision vulneráveis.
- Acessos de rede a Logix Controllers a partir de segmentos não autorizados ou fora de janelas de manutenção.
- Alterações de configuração ou código de aplicação em controladores Rockwell sem correspondência em controle de mudança.
- Inventário divergente entre ativos realmente expostos e versões suportadas esperadas.
A resposta deve começar pelo inventário preciso dos produtos afetados e pela confirmação de versão suportada, porque a orientação de correção exige atualização para versões de software atualmente mantidas. Para órgãos FCEB, a data de 26 de março de 2026 é o marco formal de remediação. Para demais organizações, o mesmo prazo deve ser usado como referência de urgência operacional, já que o risco descrito não depende da obrigação regulatória, mas da exploração ativa e do impacto técnico das falhas.
A correção precisa ser acompanhada por redução de exposição. Produtos Hikvision com interfaces administrativas acessíveis devem ser isolados de redes não confiáveis, ter contas revisadas e manter telemetria suficiente para investigar tentativas anteriores. Em ambientes Rockwell, o foco deve ser limitar acesso de rede aos controladores, revisar permissões de estáções de engenharia e validar se configuração e código de aplicação correspondem ao estado aprovado. Depois da atualização, a organização deve confirmar que os ativos saíram do estado vulnerável, revisar logs históricos dentro do período disponível e documentar exceções que não puderem ser corrigidas imediatamente.
- Atualizar produtos Hikvision e Rockwell afetados para versões suportadas.
- Restringir acesso administrativo a câmeras, ferramentas de engenharia e controladores apenas a redes e identidades necessárias.
- Revisar alterações recentes em configuração e código de aplicação de Logix Controllers.
- Tratar qualquer ativo sem atualização possível como exceção formal, com isolamento, monitoramento e plano de substituição.
0 Comentários