A CISA (agência de cibersegurança dos Estados Unidos) publicou alerta documentando três vulnerabilidades de gravidade crítica e alta nos controladores Daktronics VFC-DMP-5000, DMP-5000 e DMP-8000, equipamentos usados em painéis eletrônicos de rodovias e outdoor digital em todo o mundo. A exploração pode conceder acesso root completo a atacantes não autenticados, permitindo alteração de mensagens em sinalização viária e painéis publicitários em tempo real. As falhas foram descobertas pelo pesquisador Thomas Jou, da Universidade de Princeton, e reportadas via plataforma VINCE da CISA.

O que são os controladores afetados

A Daktronics, fabricante sediada em Brookings, Dakota do Sul, produz displays LED em grande escala utilizados em estádios esportivos, aeroportos internacionais, rodovias e painéis de outdoor metropolitanos. Segundo a empresa, seus equipamentos estão presentes em dezenas de países. Os controladores VFC-DMP-5000, DMP-5000 e DMP-8000 gerenciam o conteúdo exibido nesses displays, recebendo atualizações remotas e controlando a programação visual.

Jou identificou múltiplos dispositivos expostos diretamente na internet durante sua pesquisa, sem firewall ou restrição de acesso. Isso permite que qualquer atacante com conexão à rede explore as vulnerabilidades remotamente, sem necessidade de acesso físico ao controlador. A descoberta segue um padrão recorrente em dispositivos de infraestrutura crítica: equipamentos projetados para operação interna acabam expostos por erro de configuração ou falta de segmentação de rede, segundo apontou a CISA no advisory ICSA-26-176-04.

Detalhes técnicos das falhas

O alerta da CISA documenta três vulnerabilidades distintas, cada uma com nível de gravidade e requisito de autenticação próprio. A tabela abaixo resume as características de cada falha:

CVE CVSS Severidade Tipo Acesso
CVE-2026-31928 9,8 Crítica Credenciais padrão de administrador com controles fracos de autenticação Nenhuma
CVE-2026-33560 8,8 Alta Upload de arquivos arbitrário via serviço de arquivos do DMP-5000, sem validação de tipo Autenticado
CVE-2026-28701 7,5 Alta Path traversal que permite escapar do diretório pretendido e enumerar caminhos do sistema Nenhuma

A CVE-2026-31928 é a mais grave das três. Os dispositivos DMP-5000 são enviados de fábrica com uma conta de administrador web padrão que possui controles de autenticação insuficientes e não é obrigatória sua alteração durante a configuração inicial. Durante testes de campo, Jou verificou que a maioria das unidades expostas na internet ainda utilizava essas credenciais padrão. Isso concede acesso root imediato ao sistema, sem necessidade de exploração adicional.

A CVE-2026-33560 afeta o serviço de arquivos do DMP-5000, que expõe funcionalidade de upload de arquivos para usuários autenticados sem validação do tipo de arquivo enviado. Um atacante com acesso ao painel pode carregar arquivos arbitrários, incluindo scripts executáveis ou conteúdo malicioso, diretamente no sistema.

A CVE-2026-28701 permite que usuários autenticados e não autenticados escapem do diretório pretendido pelo controlador e enumerem caminhos arbitrários do sistema de arquivos. Essa falha serve como vetor de reconhecimento, permitindo ao atacante mapear a estrutura do sistema e localizar arquivos sensíveis, como credenciais armazenadas em texto claro.

A combinação das três cria uma cadeia de exploração progressiva. O atacante inicia com a enumeração de arquivos via path traversal, descobre credenciais de administrador, autentica-se com as credenciais padrão e, por fim, utiliza o upload de arquivos para injetar payload persistente no controlador.

Cronologia da divulgação

  • Janeiro de 2026 — Thomas Jou reporta as vulnerabilidades à CISA via plataforma VINCE, sistema coordenado de divulgação de falhas em infraestrutura industrial.
  • Março de 2026 — Daktronics prepara e disponibiliza versões de firmware corrigidas para os controladores afetados, após validação técnica dos reparos.
  • Abril a junho de 2026 — Período de preparação do alerta coordenado entre CISA, pesquisador e fabricante, incluindo notificação a clientes.
  • 30 de junho de 2026 — CISA publica o alerta ICSA-26-176-04 com detalhes técnicos, CVSS e orientações de mitigação.

Jou avaliou que o processo de divulgação responsável funcionou conforme esperado. A Daktronics reconheceu os achados, trabalhou os detalhes técnicos com a CISA e teve versões corrigidas prontas em cerca de dois meses após o relatório inicial, segundo declarou o pesquisador ao SecurityWeek.

Risco à segurança física

O impacto prático das falhas vai além do comprometimento digital. Um atacante com acesso root ao controlador pode alterar qualquer conteúdo exibido no painel — incluindo alertas de trânsito, mensagens de emergência e informações de desvio rodoviário. Em contextos de infraestrutura crítica, a manipulação de sinalização viária pode criar cenários de segurança pública, como desviar tráfego para rotas perigosas ou suprimir alertas legítimos de acidentes.

Jou destacou que a maioria das unidades expostas na internet operava com credenciais padrão de fábrica, sem exigência de alteração durante o processo de instalação. A responsabilidade de isolar os controladores da rede pública recai sobre os operadores dos painéis, conforme observou a CISA no advisory. Dispositivos de infraestrutura industrial frequentemente operam com configurações permissivas por questões de conveniência operacional, criando superfícies de ataque amplas quando expostos.

O que fazer agora

Organizações que operam controladores Daktronics devem aplicar imediatamente as correções de firmware disponibilizadas pela fabricante. A alteração de todas as credenciais padrão de administrador é igualmente prioritária, já que a maioria dos dispositivos expostos ainda utiliza senhas de fábrica. A verificação de exposição à internet é fundamental: controladores não devem ser acessíveis diretamente sem firewall, VPN ou segmentação de rede dedicada.

A CISA recomenda monitoramento de logs de acesso ao painel web dos controladores, restrição de upload de arquivos via políticas de firewall e segmentação rigorosa entre redes de displays e redes corporativas. Operadores de infraestrutura viária devem classificar essas falhas como risco à segurança física, não apenas digital, e tratar a correção com a mesma urgência aplicada a vulnerabilidades em sistemas SCADA ou ICS.

Fontes