A CISA publicou em 30 de junho de 2026 um advisory (ICSA-26-181-06) detalhando múltiplas vulnerabilidades críticas no StoneFly Storage Concentrator, incluindo uma de CVSS 10,0 que permite a atacantes remotos executar comandos arbitrários com privilégios de root sem qualquer autenticação. As falhas afetam appliances de armazenamento corporativo usados em setores críticos como defesa, energia, saúde e serviços financeiros em todo o mundo.
Como funciona a falha crítica
A vulnerável mais severa, CVE-2026-56415 (CVSS 10,0), é uma injeção de comando de sistema operacional no script debug.pl. O endpoint aceita requisições HTTP sem exigir credenciais e processa o conteúdo sem sanitização adequada. Um atacante envia um payload malicioso dentro de uma requisição especialmente forjada, e o sistema o repassa ao shell com privilégios de root, permitindo controle total do appliance.
A exploração é simples: como o alvo não requer autenticação e o ataque ocorre pela rede, qualquer atacante que consiga alcançar a interface web do Storage Concentrator pode comprometê-lo. Esse padrão de injeção de comando sem login é o mesmo que vimos recentemente em RCE sem autenticação no Progress Kemp LoadMaster, onde PoCs surgiram em questão de dias.
Demais falhas do advisory
O advisory reúne várias CVEs com gravidade crescente, e a correção de todas exige atualizar para versões diferentes conforme cada falha:
| CVE | CVSS | Tipo | Versão mínima corrigida |
|---|---|---|---|
| CVE-2026-56415 | 10,0 | Injeção de comando (debug.pl) | 8.0.4.22 |
| CVE-2026-55721 | — | Injeção SQL / XSS | 8.0.4.22 |
| CVE-2026-50040 | — | Acesso não autorizado amplo | 8.0.4.22 |
| CVE-2026-50110 | 9,2 | Credenciais embarcadas hardcoded | 8.0.4.26 |
| CVE-2026-56413 | — | Injeção de comando (ms_service.pl, TCP 9000) | 8.0.4.29 |
A CVE-2026-50110 é particularmente perigosa: credenciais hardcoded para dezenas de serviços internos — bancos de dados, licenciamento, replicação e integrações de terceiros — estão embarcadas em um arquivo de configuração com codificação reversível. Um atacante que obtenha acesso ao arquivo decodifica as senhas e atravessa sistemas interconectados. A CVE-2026-56413 repete o vetor de injeção de comando, agora no serviço ms_service.pl (porta TCP 9000), também sem autenticação e com privilégios de root. Falhas como essa em dispositivos de infraestrutura lembram o caso da pynetdicom sem correção que ameaça hospitais.
Setores críticos no alvo
A CISA classifica o StoneFly Storage Concentrator como equipamento presente em infraestruturas críticas: Base Industrial de Defesa, Energia, Serviços Financeiros, Saúde Pública e Tecnologia da Informação. O produto é implantado em todo o mundo e a sede da fabricante está nos Estados Unidos. A combinação de acesso sem autenticação com privilégios de root torna essas falhas atrativas para movimentação lateral em ambientes corporativos e sequestro de dados de backup.
Como mitigar imediatamente
A recomendação da CISA é atualizar para o StoneFly Storage Concentrator versão 8.0.4.29 ou superior, que corrige todas as CVEs listadas. Como medida provisória, restrinja o acesso à interface web e à porta TCP 9000 apenas a redes de gerenciamento confiáveis, idealmente por trás de VPN com autenticação multifator. Monitore logs do debug.pl e ms_service.pl por requisições anômalas, e considere reverter todas as credenciais de serviços internos após a atualização, dado o risco de exposição da CVE-2026-50110. Isolar os appliances do tráfego de internet direto é essencial até a aplicação do patch.