# CVE-2026-3587 - WAGO Managed Switches: Backdoor CLI Permite Acesso Root Remoto > [!critical] CVSS 10.0 - Funcionalidade oculta (backdoor) em 15 modelos de switches WAGO permite acesso root remoto sem autenticação. Afeta infraestrutura crítica e redes OT/ICS industriais. Patch disponível desde 23 de março de 2026. ## Visão Geral O **CVE-2026-3587** é uma vulnerabilidade do tipo Hidden Functionality (CWE-912) — essencialmente um backdoor de fábrica — identificada em 15 modelos de switches gerenciados da WAGO GmbH & Co. KG. A falha permite que qualquer atacante remoto obtenha acesso root completo ao sistema operacional Linux do dispositivo sem qualquer autenticação, explorando uma função oculta da interface CLI restrita. O advisory CERT@VDE (VDE-2026-020) foi públicado em 23 de março de 2026 com patches disponíveis para todos os modelos afetados. Switches WAGO são componentes críticos em redes industriais (OT/ICS), conectando PLCs, HMIs e sensores de processo. O comprometimento de um switch nessa posição pode permitir modificação de configurações de roteamento, disrupção de comúnicações industriais e pivotamento para dispositivos de controle operacional. Em setores como [[energy]] e manufatura, o impacto pode ir além da perda de dados — afetando diretamente a operação física de processos industriais. A WAGO lançou firmware corrigido para todos os 15 modelos afetados. **CVE-2026-3587** é uma vulnerabilidade do tipo Hidden Functionality (CWE-912) identificada em 15 modelos de switches gerenciados da **WAGO GmbH & Co. KG**, afetando as séries Lean Managed Switch e Industrial Managed Switch. A falha permite que um atacante remoto **não autenticado** explore uma função oculta na interface CLI restrita do dispositivo, escapando do ambiente controlado e obtendo **acesso root completo ao sistema operacional Linux subjacente** - sem qualquer requisito de autenticação ou interação do usuário. A vulnerabilidade foi divulgada públicamente em 23 de março de 2026 pela CERT@VDE (Advisory VDE-2026-020) com patch disponível para todos os modelos afetados. **Pontuação de risco:** - CVSS v3.1: **10.0** (Crítico - score máximo possível) - EPSS: **não disponível** (CVE públicada em 23/03/2026 - aguardar primeira pontuação) - CISA KEV: não listado - monitorar inclusão dada a severidade máxima - Exploit público: não confirmado no momento da públicação ## Resumo ```mermaid graph TB A["🔍 CVE-2026-3587 · CVSS 10.0<br/>WAGO Switches - Backdoor CLI"] --> B["🎯 Reconhecimento<br/>Scan Shodan/Censys<br/>porta Telnet/SSH exposta"] B --> C["💥 Acesso CLI Restrita<br/>Função oculta no menu CLI<br/>sem autenticação"] C --> D["🔧 Escape do Ambiente<br/>Saída da shell restrita<br/>para root Linux"] D --> E["🔧 Controle OT/ICS<br/>Modificar VLANs, ACLs<br/>Roteamento industrial"] E --> F["💀 Comprometimento Total<br/>Pivô para PLCs e HMIs<br/>Persistência via firmware"] classDef critical fill:#c92a2a,stroke:#c92a2a,color:#fff classDef exploit fill:#e67700,stroke:#e67700,color:#fff classDef postexploit fill:#495057,stroke:#343a40,color:#fff classDef impact fill:#1864ab,stroke:#1864ab,color:#fff class A critical class B,C exploit class D,E postexploit class F impact ``` ## Impacto Técnico Um atacante que explore esta vulnerabilidade com sucesso pode: - **Comprometimento total do dispositivo:** obter shell root no sistema Linux do switch sem autenticação - **Escape de ambiente restrito:** sair da CLI limitada projetada para conter operações de usuário - **Controle de infraestrutura de rede:** modificar tabelas de roteamento, ACLs, VLANs e configurações de segurança - **Movimentação lateral em redes OT/ICS:** usar o switch como pivô para acessar PLCs, HMIs e outros dispositivos na rede industrial - **Negação de serviço:** desabilitar interfaces de rede e interromper comúnicações industriais críticas - **Persistência:** implantar backdoors permanentes no firmware do switch comprometido **Impacto para organizações LATAM/Brasil:** Switches WAGO são utilizados em ambientes de tecnologia operacional (OT) nos setores de [[energy]], [[manufatura]] e [[critical-infrastructure|critical-infrastructure]] no Brasil. Redes industriais frequentemente possuem ciclos de patching mais lentos que ambientes de TI - a janela de exposição pode ser extensa. O impacto de um switch comprometido em ambiente de [[energy]] pode ter consequências operacionais diretas. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | WAGO | Lean Managed Switch 852-1812 | Anterior a V1.2.1.S1 | V1.2.1.S1 | | WAGO | Lean Managed Switch 852-1813 | Anterior a V1.2.1.S1 | V1.2.1.S1 | | WAGO | Lean Managed Switch 852-1816 | Anterior a V1.2.1.S1 | V1.2.1.S1 | | WAGO | Industrial Managed Switch 852-303 | Anterior a V1.2.8.S1 | V1.2.8.S1 | | WAGO | Industrial Managed Switch 852-1305 | Anterior a V1.2.8.S1 | V1.2.8.S1 | | WAGO | Industrial Managed Switch 852-1505 | Anterior a V1.2.8.S1 | V1.2.8.S1 | | WAGO | Industrial Managed Switch 852-602 | Anterior a V1.0.6.S1 | V1.0.6.S1 | | WAGO | Industrial Managed Switch 852-603 | Anterior a V1.0.6.S1 | V1.0.6.S1 | | WAGO | Industrial Managed Switch 852-1605 | Anterior a V1.0.6.S1 | V1.0.6.S1 | **Total:** 15 modelos afetados entre as séries Lean Managed e Industrial Managed Switch. ## Patch e Mitigação **Patch oficial:** - Advisory: [CERT@VDE - VDE-2026-020](https://certvde.com/de/advisories/VDE-2026-020) - Data de públicação do advisory: 23 de março de 2026 - Atualizações de firmware disponíveis para todos os modelos afetados **Como aplicar:** 1. Identificar o modelo exato e versão de firmware atual de cada switch WAGO no inventário 2. Acessar o portal de suporte WAGO para download do firmware atualizado correspondente 3. Realizar backup completo da configuração do switch antes de iniciar a atualização 4. Aplicar o firmware via interface de gerenciamento web ou portal de suporte WAGO 5. Verificar que a versão pós-atualização corresponde à versão com fix listada na tabela acima 6. Testar conectividade e todas as configurações de rede após a atualização **Mitigações temporárias** (para quando patch imediato não for possível): - Restringir acesso à interface CLI do switch por VLAN de gerenciamento dedicada com ACL restritiva - Desabilitar acesso remoto à CLI (SSH/Telnet) nos switches que não necessitem de gerenciamento remoto - Implementar monitoramento de sessões CLI e alertas para comportamento anômalo - Isolar os switches afetados em segmentos de rede com acesso estritamente controlado - Aplicar o princípio de least privilege e autenticação multifator nas contas de acesso ## Exploração Ativa **Status atual:** sem evidência de exploração ativa confirmada - vulnerabilidade divulgada em 23/03/2026 **Avaliação de risco:** O CVSS 10.0 (score máximo) combinado com ausência de requisitos de autenticação e escopo alterado (S:C) torna esta vulnerabilidade extremamente crítica caso um exploit público seja desenvolvido. O CWE-912 (Hidden Functionality) indica presença deliberada de backdoor, elevando ainda mais a preocupação de segurança. **Contexto de atores de ameaça:** Grupos com foco histórico em infraestrutura crítica e redes OT/ICS - como os que operam em setores de [[energy]] e [[government]] - têm interesse estratégico em comprometer equipamentos de switching industrial. A disponibilidade de um exploit permitiria acesso privilegiado a redes segmentadas que normalmente são difíceis de alcançar. **Campanhas associadas:** nenhuma confirmada até o momento. ## CISA KEV Esta vulnerabilidade **não está listada** no CISA KEV Catalog. Dada a severidade máxima (CVSS 10.0), o impacto em [[industrial]] e [[critical-infrastructure|critical-infrastructure]], e a ausência de autenticação requerida, a inclusão futura no KEV é provável caso exploração ativa seja confirmada. Recomenda-se tratar com urgência equivalente a uma entrada KEV. ## Notas Relacionadas **CVEs relacionados:** [[cve-2025-31277|CVE-2025-31277]] · [[cve-2026-24061|CVE-2026-24061]] **TTPs associadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1068-exploitation-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] · [[t1133-external-remote-services|T1133 - External Remote Services]] **Setores em risco:** [[industrial]] · [[critical-infrastructure|critical-infrastructure]] · [[energy]] · [[manufatura]] · [[government]] **Referência oficial:** [CERT@VDE Advisory VDE-2026-020](https://certvde.com/de/advisories/VDE-2026-020) > [!latam] Switches WAGO estão presentes em plantas industriais brasileiras dos setores de energia, água e manufatura. Redes OT no Brasil têm ciclos de atualização lentos e frequentemente carecem de segmentação adequada. Um atacante com acesso à rede de gerenciamento poderia comprometer switches sem autenticação, com potencial impacto operacional direto sobre processos industriais críticos. ## Mitigações Recomendadas - [[m1051-update-software|M1051 - Update Software]] - Atualizar firmware de todos os modelos afetados conforme tabela de versões corrigidas - [[m1030-network-segmentation|M1030 - Network Segmentation]] - Isolar switches WAGO em VLAN de gerenciamento OT sem acesso direto à internet - [[m1035-limit-access-to-resource-over-network|M1035 - Limit Access to Resource Over Network]] - Restringir acesso SSH/Telnet à CLI por ACL