A CISA divulgou em 18 de junho de 2026 o aviso ICSA-26-169-01 alertando para a falha CVE-2026-40624, com gravidade crítica CVSS 9.8, que afeta as câmeras de videoconferência AVer PTC500S, PTC115, PTC500+ e PTC115+. A vulnerabilidade permite que um atacante remoto e não autenticado execute código arbitrário por meio de uma requisição web especialmente crafted, ameaçando ambientes governamentais, comerciais e de saúde em todo o mundo.

O que é o CVE-2026-40624

A falha reside em uma validação inadequada de entradas (CWE-552 — arquivos ou diretórios acessíveis a partes externas) na interface web das câmeras AVer PTC. Por estar exposta sem exigir autenticação prévia, qualquer atacante que consiga alcançar o dispositivo pela rede — incluindo a internet, em configurações indevidas — pode enviar um payload manipulado e assumir o controle completo do equipamento, obtendo confidencialidade, integridade e disponibilidade comprometidas de uma só vez.

O vetor CVSS 3.1 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H confirma o pior cenário: exploração remota, baixa complexidade, sem privilégios e sem interação do usuário. A versão CVSS 4.0 também classifica o problema como crítico (9.3).

Equipamentos afetados

Modelo Versões CVE CVSS
AVer PTC500S Todas CVE-2026-40624 9.8
AVer PTC115 Todas CVE-2026-40624 9.8
AVer PTC500+ Todas CVE-2026-40624 9.8
AVer PTC115+ Todas CVE-2026-40624 9.8

A CISA lista como setores críticos afetados Serviços e Instalações Governamentais, Instalações Comerciais e Saúde Pública, com dispositivos implantados mundialmente. O quartel-general da AVer fica em Taiwan.

Como ocorre a exploração

As câmeras PTC são equipamentos de conferência Pan-Tilt-Zoom (PTZ) frequentemente expostos a redes acessíveis para permitir gestão remota de salas de reunião e auditoriums. A falha permite que o atacante, sem credenciais, acesse rotas internas do firmware por uma requisição HTTP crafted e dispare execução de comandos no sistema embarcado — abrindo caminho para persistência, espionagem de áudio e vídeo, ou uso como ponto de pivô para outros ataques na rede interna.

Casos recentes mostram que falhas similares em dispositivos IoT e de vídeo contribuem para campanhas maiores. A vulnerabilidade CVSS 10 da Ubiquiti e os zero-days do Google Chrome em 2026 reforçam o padrão de exploração rápida de falhas críticas não corrigidas.

Como se proteger

  • Atualize o firmware imediatamente: a AVer liberou correção no portal oficial de download do fabricante.
  • Isole as câmeras da internet: mantenha os dispositivos apenas em VLANs de IoT/videoconferência, atrás de firewall, sem exposição pública.
  • Use VPN para acesso remoto: nunca exponha a interface web diretamente; priorize acesso via VPN atualizada.
  • Monitore tráfego anômalo: configure alertas para requisições HTTP suspeitas e conexões de saída não esperadas das câmeras.
  • Audite inventário de dispositivos: identifique todos os modelos PTC na rede e confirme versão do firmware aplicado.

Fontes