O software de energia PROMOD V, da Hitachi Energy, transmite dados por HTTP sem criptografia, permitindo que atacantes interceptem ou manipulem informações sensíveis em trânsito. A CISA publicou o alerta em 7 de julho de 2026 com nota 7,1 no CVSS; a correção exige atualização para a versão 1.0.11 e ativação de HTTPS no servidor Digipede.

Como a falha funciona

Registrada como CVE-2026-10763, a vulnerabilidade surge porque o PROMOD V usa comunicação HTTP em vez de HTTPS. A causa raiz está na ausência de suporte a HTTPS no servidor Digipede, componente de terceiro que distribui o processamento do produto. Em uma rede onde o invasor consegue posicionar-se entre o usuário e o servidor — o clássico ataque man-in-the-middle —, todo o tráfego trafega em texto plano e fica legível.

O invasor pode então capturar credenciais, sequestrar sessões ativas, alterar dados em trânsito e obter acesso não autorizado a sistemas conectados. A gravidade é classificada como alta (HIGH). A exploração depende de o atacante estar posicionado no mesmo segmento de rede ou de conseguir desviar o tráfego por meio de técnicas como ARP spoofing, DNS poisoning ou comprometimento de roteadores intermediários.

Em redes corporativas mal segmentadas, nas quais o tráfego de OT compartilha caminhos com sistemas de escritório, esse posicionamento é consideravelmente mais fácil. Por isso, a simples presença do PROMOD V em uma rede híbrida já eleva o risco, mesmo sem uma brecha adicional de autenticação.

Por que HTTP é perigoso

HTTP não oferece criptografia nem verificação de identidade do servidor. Em ambientes de tecnologia operacional (OT), onde o PROMOD V roda para análise e previsão do setor elétrico, isso significa que comandos e resultados podem ser adulterados sem deixar rastros óbvios. A tabela resume os vetores exploráveis a partir da falha:

Vetor de ataque Consequência prática
Captura de tráfego Roubo de credenciais e tokens
Sequestro de sessão Acesso como usuário legítimo
Alteração de dados Manipulação de resultados
Injeção de conteúdo Redirecionamento malicioso

Produtos afetados e correção

A falha afeta o PROMOD V nas versões 1.0.10 e anteriores. A Hitachi Energy orienta a atualização para a versão 1.0.11 e a habilitação do HTTPS no servidor Digipede, conforme a seção “Running PROMOD V → Digipede Grid” do guia do usuário 1.0.11. O CWE associado é o 1428 (dependência de HTTP em vez de HTTPS).

O produto é implantado mundialmente no setor de energia, o que amplia o impacto potencial em operadores de rede elétrica que dependem do PROMOD V para planejamento e simulação.

Como proteger sistemas OT

  • Ative HTTPS: após atualizar para 1.0.11, configure o servidor Digipede com TLS e certificados válidos.
  • Revogue credenciais: considere comprometidas as senhas e tokens transmitidos sobre HTTP antes da correção.
  • Isole a rede: mantenha o PROMOD V fora da internet e atrás de firewall, separado da rede corporativa.
  • Monitore tráfego: detecção de anomalias e inspeção de conexões não criptografadas ajudam a identificar tentativas de interceptação.
  • Use VPN: para acesso remoto, empregue VPN atualizada e restrinja a dispositivos controlados.

Fontes