Zero-days de severidade máxima
Pesquisadores de segurança descobriram duas vulnerabilidades de gravidade máxima nos roteadores mesh Acer Wave 7, que permitem que atacantes remotos não autenticados roubem credenciais em texto claro e injetem backdoors persistentes no firmware. As falhas, identificadas como CVE-2026-49200 e CVE-2026-49201, foram reportadas pelo pesquisador Gergo Pap e afetam todas as versões de firmware até T7c_GBL_1.01.000055. A Acer confirmou que não há patches disponíveis e estimou a correção para o final de junho de 2026.
Como os ataques funcionam
A primeira falha, CVE-2026-49200, é uma vulnerabilidade de controle de acesso quebrado. O arquivo de log acer_cgi.log presente no firmware do dispositivo pode ser acessado sem autenticação pela interface web. Esse arquivo armazena credenciais de login em texto claro — tanto para o painel de administração web quanto para o serviço Telnet. Um atacante remoto pode simplesmente requisitar o arquivo e obter acesso total ao roteador.
A segunda falha, CVE-2026-49201, envolve uma chave criptográfica AES hardcoded no binário upload.cgi, responsável por processar backups de configuração do dispositivo. Com essa chave fixa, um atacante pode descriptografar backups existentes, modificá-los para incluir contas de acesso ocultas e recriptografar o arquivo, que será restaurado pelo usuário sem suspeita. O resultado é um backdoor persistente que sobrevive a reinicializações e atualizações de firmware.
Firmware sem proteção adequada
A combinação das duas falhas cria um cenário crítico: um atacante pode primeiro extrair credenciais via CVE-2026-49200, acessar o painel administrativo e então usar a CVE-2026-49201 para garantir acesso persistente mesmo que a senha seja alterada posteriormente. A ausência de autenticação no acesso ao log e o uso de criptografia simétrica com chave fixa no firmware indicam falhas fundamentais no design de segurança do produto.
| Vulnerabilidade | Tipo | Impacto |
|---|---|---|
| CVE-2026-49200 | Controle de acesso quebrado | Roubo de credenciais em texto claro via web |
| CVE-2026-49201 | Chave criptográfica hardcoded | Backdoor persistente via backup modificado |
Proteger-se antes do patch
Como a Acer ainda não disponibilizou correção, usuários de roteadores Wave 7 devem adotar medidas imediatas. Desabilite o gerenciamento remoto pela internet nas configurações do roteador, acessível pelo endereço local do roteador (geralmente 192.168.76.1 ou acerconnect.com na rede interna). Se o firmware permitir, restrinja o acesso remoto a endereços IP específicos e confiáveis. Monitore regularmente a lista de dispositivos conectados à rede e altere as credenciais padrão imediatamente. Considere substituir o equipamento por um roteador de fabricante com histórico mais robusto de resposta a vulnerabilidades, como discutido em casos de falhas críticas em roteadores de outras marcas.
A descoberta reforça um padrão preocupante na segurança de dispositivos IoT domésticos. Roteadores com falhas graves de design frequentemente se tornam alvos para botnets massivas, como a botnet desmantelada na Holanda que controlava 17 milhões de dispositivos. A ausência de criptografia adequada para credenciais e o uso de chaves fixas no firmware continuam sendo erros evitáveis que colocam redes domésticas em risco.