cve-2026-4585 - RunkIntel

# CVE-2026-4585 - Injeção de Comando OS em Tiandy Easy7 (RCE sem autenticação) > [!critical] CVSS 9.8 - OS Command Injection no endpoint de importação do Tiandy Easy7 Integrated Management Platform (CFTV). RCE sem autenticação, PoC público disponível e sem patch por parte do vendor. Plataforma com presença em mercados emergentes incluindo o Brasil. ## Visão Geral O **CVE-2026-4585** é uma vulnerabilidade de OS Command Injection (CWE-78) encontrada no **Tiandy Easy7 Integrated Management Platform**, plataforma de gerenciamento centralizado de câmeras IP e sistemas de CFTV produzida pela Tiandy, fabricante chinês com presença relevante em mercados emergentes, incluindo o Brasil. A falha reside no endpoint `/Easy7/apps/WebService/ImportSystemConfiguration.jsp` e permite que qualquer atacante remoto execute comandos arbitrários no sistema operacional sem qualquer autenticação. Um PoC público foi divulgado junto com o CVE em março de 2026. O agravante crítico desta vulnerabilidade é a ausência de resposta do vendor: a Tiandy foi notificada via divulgação responsável e não respondeu, resultando na públicação do CVE sem patch disponível. Múltiplas outras vulnerabilidades críticas foram divulgadas simultaneamente no mesmo produto (injeções SQL, stack overflows), indicando ausência de revisão de segurança sistemática. Organizações com o Easy7 em produção devem implementar mitigações de rede imediatas e avaliar substituição da solução enquanto aguardam patch oficial. **CVE-2026-4585** é uma vulnerabilidade do tipo **OS Command Injection (CWE-78)** encontrada no **Tiandy Easy7 Integrated Management Platform** em versões até 7.17.0. A falha reside no endpoint `/Easy7/apps/WebService/ImportSystemConfiguration.jsp`, específicamente no parâmetro `File` do componente Configuration Handler. A vulnerabilidade permite que um atacante remoto **execute comandos arbitrários no sistema operacional sem necessidade de autenticação prévia**, simplesmente enviando uma requisição HTTP manipulada ao endpoint afetado. Um exploit público já foi divulgado e pode ser utilizado por atacantes com baixo nível técnico. **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - EPSS: não disponível (CVE recém-públicado - 2026-03-23) - CISA KEV: não listado - monitorar para adições futuras - Exploit público: **PoC divulgado públicamente** - exploração acessível > **Agravante:** O vendor Tiandy foi notificado antecipadamente e **não respondeu ao relatório**. Não há patch disponível, tornando mitigações alternativas obrigatórias. ## Resumo ```mermaid graph TB A["🔍 CVE-2026-4585 · CVSS 9.8 Tiandy Easy7 - OS Cmd Injection"] --> B["🎯 Localizar Easy7 Exposto Plataforma CFTV acessível sem autenticação"] B --> C["💥 Injeção de Comando OS POST /ImportSystemConfiguration.jsp parâmetro File manipulado"] C --> D["🔧 Shell no Servidor Easy7 Comandos arbitrários no contexto do serviço"] D --> E["🔧 Acesso a Câmeras e IoT Configurações, credenciais acesso a redes OT adjacentes"] E --> F["💀 Comprometimento de CFTV Backdoor persistente sem patch disponível"] classDef critical fill:#c92a2a,stroke:#c92a2a,color:#fff classDef exploit fill:#e67700,stroke:#e67700,color:#fff classDef postexploit fill:#495057,stroke:#343a40,color:#fff classDef impact fill:#1864ab,stroke:#1864ab,color:#fff class A critical class B,C exploit class D,E postexploit class F impact ``` ## Impacto Técnico Um atacante que explore esta vulnerabilidade com sucesso pode: - **Execução de código remoto:** executar comandos arbitrários do sistema operacional no contexto do servidor Easy7 - **Acesso não autorizado:** exfiltrar configurações, credenciais armazenadas e dados de gravações de câmeras - **Persistência:** implantar backdoors no servidor de gerenciamento de vigilância - **Movimento lateral:** utilizar o servidor comprometido como pivô para acessar dispositivos de câmera conectados e redes OT/IoT adjacentes **Impacto para organizações LATAM/Brasil:** [[Tiandy]] é um fabricante chinês de sistemas de CFTV e câmeras IP com ampla presença em mercados emergentes, incluindo o Brasil. O Easy7 é utilizado como plataforma de gerenciamento centralizado por empresas de segurança patrimonial, shoppings, prédios corporativos e infraestruturas críticas. O risco é **alto** dado o exploit público e a ausência de patch - ambientes sem segmentação de rede são especialmente vulneráveis. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Tiandy | Easy7 Integrated Management Platform | ≤ 7.17.0 | Não disponível | **Endpoint vulnerável:** `/Easy7/apps/WebService/ImportSystemConfiguration.jsp` **Parâmetro afetado:** `File` (Configuration Handler) **CVEs relacionados na mesma plataforma Tiandy Easy7:** - [[cve-2026-4567|CVE-2026-4567]] - stack overflow em Tenda A15 (família de dispositivos relacionada) - [[cve-2026-3818|CVE-2026-3818]] - SQL Injection em Easy7 CMS (`GetDBData.jsp`) - CVE-2026-4288 - SQL Injection em Easy7 (`getDevDetailedInfo`) - CVE-2026-4289 - SQL Injection em Easy7 (`getRecByTemplateId`) > Múltiplas vulnerabilidades críticas foram divulgadas simultaneamente na plataforma Easy7, indicando ausência de revisão de segurança sistemática no produto. ## Patch e Mitigação **Patch oficial:** - **Não disponível.** O vendor não respondeu ao relato responsável de divulgação. - Acompanhar atualizações no site oficial da Tiandy. **Mitigações temporárias** (recomendadas imediatamente): - Isolar o servidor Easy7 em VLAN segregada, sem acesso direto à Internet - Restringir acesso ao endpoint `/Easy7/apps/WebService/` por ACL de firewall ou WAF - Bloquear todo acesso não autorizado à porta HTTP/HTTPS do Easy7 Management Platform - Ativar logging de todas as requisições para `/Easy7/apps/WebService/` para detectar tentativas de exploração - Avaliar substituição ou desativação de instâncias expostas públicamente ## Exploração Ativa **Status atual:** PoC público disponível - exploração em larga escala não confirmada, mas risco elevado **Evidências:** - Exploit público divulgado com o CVE - disponível para uso por atacantes oportunistas - Vendor sem resposta - ausência de patch aumenta janela de exposição indefinidamente - Tiandy Easy7 possui presença global, aumentando superfície de ataque **Grupos de ameaça utilizando:** - Nenhum grupo APT específico confirmado - risco principal de exploração por atores oportunistas e ransomware ## CISA KEV Esta vulnerabilidade **não está listada** no CISA KEV Catalog. Monitorar atualizações caso exploit público seja amplamente utilizado em ataques. ## Notas Relacionadas **CVEs relacionados:** [[cve-2026-4567|CVE-2026-4567]] · [[cve-2026-3587|CVE-2026-3587]] · [[cve-2026-3910|CVE-2026-3910]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190]] · [[t1059-command-scripting-interpreter|T1059]] · [[t1021-remote-services|T1021]] **Setores em risco:** [[segurança-física]] · [[infraestrutura-crítica]] · [[government]] **Técnica MITRE:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] > [!latam] A Tiandy é um fornecedor de câmeras IP e sistemas de CFTV com ampla presença em shoppings, condomínios, prédios corporativos e infraestruturas críticas no Brasil. Sistemas de CFTV frequentemente carecem de segmentação de rede e são gerenciados por empresas de segurança patrimonial com baixa maturidade em cibersegurança. Com PoC público e sem patch disponível, o risco de exploração oportunista é elevado. ## Mitigações Recomendadas - [[m1030-network-segmentation|M1030 - Network Segmentation]] - Isolar o servidor Easy7 em VLAN segregada sem acesso à internet - [[m1037-filter-network-traffic|M1037 - Filter Network Traffic]] - Bloquear acesso ao endpoint `/Easy7/apps/WebService/` por ACL de firewall ou WAF - [[m1042-disable-or-remove-feature-or-program|M1042 - Disable or Remove Feature or Program]] - Desabilitar o serviço de importação de configuração se não utilizado - [[m1047-audit|M1047 - Audit]] - Monitorar logs de requisições ao endpoint afetado para detectar tentativas de exploração ## Referências - [NVD - CVE-2026-4585](https://nvd.nist.gov/vuln/detail/CVE-2026-4585)