A CISA publicou em 30 de junho de 2026 um advisory (ICSA-26-181-06) detalhando múltiplas vulnerabilidades críticas no StoneFly Storage Concentrator, incluindo uma de CVSS 10,0 que permite a atacantes remotos executar comandos arbitrários com privilégios de root sem qualquer autenticação. As falhas afetam appliances de armazenamento corporativo usados em setores críticos como defesa, energia, saúde e serviços financeiros em todo o mundo.

Como funciona a falha crítica

A vulnerável mais severa, CVE-2026-56415 (CVSS 10,0), é uma injeção de comando de sistema operacional no script debug.pl. O endpoint aceita requisições HTTP sem exigir credenciais e processa o conteúdo sem sanitização adequada. Um atacante envia um payload malicioso dentro de uma requisição especialmente forjada, e o sistema o repassa ao shell com privilégios de root, permitindo controle total do appliance.

A exploração é simples: como o alvo não requer autenticação e o ataque ocorre pela rede, qualquer atacante que consiga alcançar a interface web do Storage Concentrator pode comprometê-lo. Esse padrão de injeção de comando sem login é o mesmo que vimos recentemente em RCE sem autenticação no Progress Kemp LoadMaster, onde PoCs surgiram em questão de dias.

Demais falhas do advisory

O advisory reúne várias CVEs com gravidade crescente, e a correção de todas exige atualizar para versões diferentes conforme cada falha:

CVE CVSS Tipo Versão mínima corrigida
CVE-2026-56415 10,0 Injeção de comando (debug.pl) 8.0.4.22
CVE-2026-55721 Injeção SQL / XSS 8.0.4.22
CVE-2026-50040 Acesso não autorizado amplo 8.0.4.22
CVE-2026-50110 9,2 Credenciais embarcadas hardcoded 8.0.4.26
CVE-2026-56413 Injeção de comando (ms_service.pl, TCP 9000) 8.0.4.29

A CVE-2026-50110 é particularmente perigosa: credenciais hardcoded para dezenas de serviços internos — bancos de dados, licenciamento, replicação e integrações de terceiros — estão embarcadas em um arquivo de configuração com codificação reversível. Um atacante que obtenha acesso ao arquivo decodifica as senhas e atravessa sistemas interconectados. A CVE-2026-56413 repete o vetor de injeção de comando, agora no serviço ms_service.pl (porta TCP 9000), também sem autenticação e com privilégios de root. Falhas como essa em dispositivos de infraestrutura lembram o caso da pynetdicom sem correção que ameaça hospitais.

Setores críticos no alvo

A CISA classifica o StoneFly Storage Concentrator como equipamento presente em infraestruturas críticas: Base Industrial de Defesa, Energia, Serviços Financeiros, Saúde Pública e Tecnologia da Informação. O produto é implantado em todo o mundo e a sede da fabricante está nos Estados Unidos. A combinação de acesso sem autenticação com privilégios de root torna essas falhas atrativas para movimentação lateral em ambientes corporativos e sequestro de dados de backup.

Como mitigar imediatamente

A recomendação da CISA é atualizar para o StoneFly Storage Concentrator versão 8.0.4.29 ou superior, que corrige todas as CVEs listadas. Como medida provisória, restrinja o acesso à interface web e à porta TCP 9000 apenas a redes de gerenciamento confiáveis, idealmente por trás de VPN com autenticação multifator. Monitore logs do debug.pl e ms_service.pl por requisições anômalas, e considere reverter todas as credenciais de serviços internos após a atualização, dado o risco de exposição da CVE-2026-50110. Isolar os appliances do tráfego de internet direto é essencial até a aplicação do patch.

Fontes