O software de energia PROMOD V, da Hitachi Energy, transmite dados por HTTP sem criptografia, permitindo que atacantes interceptem ou manipulem informações sensíveis em trânsito. A CISA publicou o alerta em 7 de julho de 2026 com nota 7,1 no CVSS; a correção exige atualização para a versão 1.0.11 e ativação de HTTPS no servidor Digipede.
Como a falha funciona
Registrada como CVE-2026-10763, a vulnerabilidade surge porque o PROMOD V usa comunicação HTTP em vez de HTTPS. A causa raiz está na ausência de suporte a HTTPS no servidor Digipede, componente de terceiro que distribui o processamento do produto. Em uma rede onde o invasor consegue posicionar-se entre o usuário e o servidor — o clássico ataque man-in-the-middle —, todo o tráfego trafega em texto plano e fica legível.
O invasor pode então capturar credenciais, sequestrar sessões ativas, alterar dados em trânsito e obter acesso não autorizado a sistemas conectados. A gravidade é classificada como alta (HIGH). A exploração depende de o atacante estar posicionado no mesmo segmento de rede ou de conseguir desviar o tráfego por meio de técnicas como ARP spoofing, DNS poisoning ou comprometimento de roteadores intermediários.
Em redes corporativas mal segmentadas, nas quais o tráfego de OT compartilha caminhos com sistemas de escritório, esse posicionamento é consideravelmente mais fácil. Por isso, a simples presença do PROMOD V em uma rede híbrida já eleva o risco, mesmo sem uma brecha adicional de autenticação.
Por que HTTP é perigoso
HTTP não oferece criptografia nem verificação de identidade do servidor. Em ambientes de tecnologia operacional (OT), onde o PROMOD V roda para análise e previsão do setor elétrico, isso significa que comandos e resultados podem ser adulterados sem deixar rastros óbvios. A tabela resume os vetores exploráveis a partir da falha:
| Vetor de ataque | Consequência prática |
|---|---|
| Captura de tráfego | Roubo de credenciais e tokens |
| Sequestro de sessão | Acesso como usuário legítimo |
| Alteração de dados | Manipulação de resultados |
| Injeção de conteúdo | Redirecionamento malicioso |
Produtos afetados e correção
A falha afeta o PROMOD V nas versões 1.0.10 e anteriores. A Hitachi Energy orienta a atualização para a versão 1.0.11 e a habilitação do HTTPS no servidor Digipede, conforme a seção “Running PROMOD V → Digipede Grid” do guia do usuário 1.0.11. O CWE associado é o 1428 (dependência de HTTP em vez de HTTPS).
O produto é implantado mundialmente no setor de energia, o que amplia o impacto potencial em operadores de rede elétrica que dependem do PROMOD V para planejamento e simulação.
Como proteger sistemas OT
- Ative HTTPS: após atualizar para 1.0.11, configure o servidor Digipede com TLS e certificados válidos.
- Revogue credenciais: considere comprometidas as senhas e tokens transmitidos sobre HTTP antes da correção.
- Isole a rede: mantenha o PROMOD V fora da internet e atrás de firewall, separado da rede corporativa.
- Monitore tráfego: detecção de anomalias e inspeção de conexões não criptografadas ajudam a identificar tentativas de interceptação.
- Use VPN: para acesso remoto, empregue VPN atualizada e restrinja a dispositivos controlados.