Alertas CISA sobre falhas críticas do Veeder-Root que permitem que invasores executem comandos do sistema – Against Invaders – Notícias de CyberSecurity para humanos.

Alertas CISA sobre falhas críticas do Veeder-Root que permitem que invasores executem comandos do sistema - Against Invaders - Notícias de CyberSecurity para humanos.

A Agência de Segurança Cibernética e de Infraestrutura (CISA) emitiu um alerta crítico de segurança sobre vulnerabilidades graves no Sistema de Medição Automática de Tanques TLS4B da Veeder-Root.

Lançado em 23 de outubro de 2025, o alerta alerta que os atacantes poderão explorar estas falhas para assumir o controlo de sistemas industriais utilizados em todo o mundo, particularmente no setor energético.

Duas vulnerabilidades críticas descobertas

Os pesquisadores de segurança da Bitsight identificaram duas vulnerabilidades perigosas no sistema TLS4B. A primeira vulnerabilidade envolve a neutralização inadequada de elementos especiais em comandos, o que significa que os invasores podem injetar código malicioso no sistema.

ID do CVE Tipo de vulnerabilidade Produto afetado Pontuação CVSS v3.1
CVE-2025-58428 Injeção de Comando (CWE-77) Sistema ATG Veeder-Root TLS4B 9,9
CVE-2025-55067 Estouro/Wraparound de número inteiro (CWE-190) Sistema ATG Veeder-Root TLS4B 7.1

Usando credenciais válidas, invasores remotos podem executar comandos em nível de sistema no sistema Linux subjacente, obtendo potencialmente acesso total ao shell e movendo-se pela rede sem serem detectados.

Esta vulnerabilidade, rastreada como CVE-2025-58428, recebeu uma pontuação CVSS excepcionalmente alta de 9,4 em 10, indicando risco grave.

A vulnerabilidade é particularmente perigosa porque requer uma complexidade relativamente baixa para ser explorada e é acessível a partir da Internet através da interface de serviços web do sistema baseada em SOAP.

A segunda vulnerabilidade está relacionada ao estouro de número inteiro, uma falha técnica que afeta a forma como o sistema lida com os valores de tempo Unix.

Quando o relógio do sistema chega a 19 de janeiro de 2038, ele é redefinido para 13 de dezembro de 1901. Essa manipulação de horário pode causar falhas de autenticação, interromper funções críticas do sistema, como acesso de login e detecção de vazamentos, e disparar negação de serviço ataques que bloqueiam totalmente os administradores.

O sistema de medição automática de tanques Veeder-Root TLS4B é implantado em todo o mundo, com especial prevalência no setor de energia. Todas as versões anteriores à Versão 11.A são vulneráveis ​​à falha de injeção de comando. As organizações que usam versões mais antigas permanecem em risco imediato.

Veeder-Root lançou a versão 11.A para resolver a vulnerabilidade de injeção de comando (CVE-2025-58428). As organizações devem atualizar imediatamente para esta versão corrigida.

Para o problema de estouro de número inteiro (CVE-2025-55067), uma correção permanente ainda está em desenvolvimento. Até que esteja disponível, a Veeder-Root recomenda seguir as melhores práticas de segurança de rede.

A CISA fornece medidas defensivas adicionais para minimizar o risco de exploração. As organizações devem minimizar a exposição de todos os dispositivos do sistema de controle à Internet, mantendo-os isolados atrás de firewalls e longe das redes empresariais.

Quando o acesso remoto for necessário, use Redes Privadas Virtuais (VPNs) com atualizações atuais fornecem proteção adicional.

De acordo com a CISA, nenhuma exploração pública conhecida destas vulnerabilidades foi relatada até a data do alerta.

No entanto, dadas as elevadas pontuações de gravidade e a facilidade de exploração, as organizações devem tratar esta questão como urgente. Os especialistas recomendam a realização de análises de impacto antes de implementar quaisquer medidas defensivas para garantir o mínimo de perturbação.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial em Google.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.