# CVE-2022-37055 - D-Link Go-RT-AC750 — Buffer Overflow via CGI (HNAP) > [!critical] P1 — CRÍTICO | CVSS 9.8 | CISA KEV | Dispositivo EOL sem patch oficial > Buffer overflow crítico em roteadores D-Link Go-RT-AC750 permite execução remota de código sem autenticação. Dispositivo em fim de vida (EOL) — sem patch disponível. Exploração ativa confirmada. **CVSS:** 9.8 (Crítico) · **Vendor:** D-Link · **Patch:** Não disponível (EOL) · **CISA KEV:** 2025-12-10 ## Resumo **CVE-2022-37055** é uma vulnerabilidade de buffer overflow encontrada nos roteadores D-Link Go-RT-AC750 (Revisão A e B). A falha ocorre no binário `cgibin` durante o processamento de requisições HNAP (Home Network Administration Protocol) através do endpoint `hnap_main`. Um atacante remoto não autenticado pode explorar a vulnerabilidade para executar código arbitrário no dispositivo. A vulnerabilidade foi publicada em agosto de 2022 e foi adicionada ao catálogo CISA KEV em dezembro de 2025, indicando exploração ativa. O produto afetado está em fim de vida (EOL) e a D-Link não fornece patch — a única mitigação definitiva é a substituição do dispositivo. **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - CISA KEV: Adicionado em 2025-12-10 - Patch oficial: **Não disponível** (dispositivo EOL) - Exploit público: Disponível ## Impacto Técnico A vulnerabilidade de buffer overflow no processo `cgibin` do firmware permite que um atacante: - **Execução de código remoto:** sobrescrever o stack pointer e executar shellcode via requisição HTTP maliciosa ao endpoint HNAP - **Controle total do roteador:** comprometer o dispositivo para interceptar tráfego de rede (man-in-the-middle) - **Botnet:** incorporar o dispositivo a botnets IoT (Mirai e variantes exploram ativamente roteadores domésticos/SOHO) - **Pivô de rede:** utilizar o roteador comprometido para acessar dispositivos na rede interna **Impacto para organizações LATAM/Brasil:** Roteadores D-Link são amplamente utilizados em residências, pequenas e médias empresas no Brasil. Dispositivos SOHO com firmware desatualizado são vetores frequentes de comprometimento em ataques de acesso inicial contra [[market/sectors/governo|governo]] e [[market/sectors/financeiro|pequenas empresas]]. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | D-Link | Go-RT-AC750 Revisão A | Firmware 1.01b03 | Não disponível (EOL) | | D-Link | Go-RT-AC750 Revisão B | Firmware 2.00b02 | Não disponível (EOL) | **Nota:** Produto em fim de vida — D-Link não fornece atualizações de segurança. ## Patch e Mitigação **Patch oficial:** Não disponível — produto EOL. **Ação recomendada pela CISA:** - Substituir o dispositivo por modelo com suporte ativo - Se substituição não for imediata: desconectar da internet ou isolar da rede **Mitigações temporárias:** - Desabilitar acesso remoto à interface de administração - Restringir o acesso à porta 80/443 do roteador a IPs específicos - Colocar o dispositivo atrás de um firewall adicional - Monitorar logs de conexão para tráfego suspeito ao roteador ## Exploração Ativa **Status atual:** Exploração ativa confirmada — adicionado ao CISA KEV em 2025-12-10 **Evidências:** - CISA KEV: Confirmação de exploração em ambiente real em dezembro de 2025 - Buffer overflows em HNAP são explorados por botnets IoT há anos (Mirai e variantes) ## CISA KEV Esta vulnerabilidade foi adicionada ao **CISA Known Exploited Vulnerabilities (KEV) Catalog** em 2025-12-10. - **Recomendação:** Substituir o dispositivo ou descontinuar uso se não houver patch aplicável - **Referência:** [CISA KEV - CVE-2022-37055](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ## Métricas CVSS v3.1 | Métrica | Valor | |---------|-------| | Base Score | 9.8 (Crítico) | | Vetor de Ataque | Rede (Network) | | Complexidade | Baixa (Low) | | Privilégios Necessários | Nenhum (None) | | Interação do Usuário | Nenhuma (None) | | Escopo | Inalterado (Unchanged) | | Impacto Confidencialidade | Alto (High) | | Impacto Integridade | Alto (High) | | Impacto Disponibilidade | Alto (High) | ## Contexto de Ameaça Vulnerabilidades em roteadores SOHO/domésticos são exploradas ativamente por botnets IoT (Mirai, Mozi) e por atores APT como vetor de acesso inicial a redes corporativas. A técnica [[T1584 - Compromise Infrastructure|T1584]] inclui o comprometimento de dispositivos SOHO para criação de infraestrutura de ataque distribuída. ### TTPs MITRE ATT&CK - [[T1190 - Exploit Public-Facing Application|T1190]] — Exploração de aplicação voltada ao público - [[T1584 - Compromise Infrastructure|T1584]] — Comprometimento de infraestrutura (botnets) ## Relevância LATAM/Brasil D-Link possui grande base instalada no Brasil, especialmente em residências e PMEs. Dispositivos EOL sem suporte de segurança representam risco persistente, pois raramente são substituídos proativamente. Campanhas de botnet IoT como [[Mirai]] e variantes têm histórico de comprometimento massivo de roteadores brasileiros. ## IoCs | Tipo | Valor | Fonte | Confiança | |------|-------|-------|-----------| | — | Não disponíveis publicamente | — | — | ## Referências - [NVD - CVE-2022-37055](https://nvd.nist.gov/vuln/detail/CVE-2022-37055) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [D-Link End of Life Products](https://supportannouncement.us.dlink.com/announcement/publication.aspx?id=108) ## Notas Relacionadas **TTPs relacionadas:** [[T1190 - Exploit Public-Facing Application]] · [[T1584 - Compromise Infrastructure]] **Setores em risco:** [[varejo]] · [[governo]] · Pequenas e médias empresas