A edição de março de 2026 do RTCSec revela um cenário crítico na segurança de comunicações em tempo real, com vulnerabilidades de alto impacto afetando desde protocolos fundamentais como DTLS-SRTP até a emergência de pesquisas de vulnerabilidades impulsionadas por IA. A análise abrange 19 de 33 servidores de mídia WebRTC comprometidos, incluindo gigantes como Webex, Zoom e Discord, além de uma nova geração de ferramentas de ataque que exploram brechas estruturais na segurança de comunicações.
Ruptura na Autenticação DTLS-SRTP: 19 de 33 Servidores Vulneráveis
Pesquisadores da Ruhr University Bochum e do Technology Innovation Institute publicaram na USENIX Security 2026 um estudo devastador sobre falhas na autenticação DTLS-SRTP. Utilizando o framework DTLS-MitM-Scanner (DMS), testaram 24 provedores de serviço em 33 implementações de servidores de mídia. Os resultados: 19 implementações apresentavam vulnerabilidades que permitiam a um atacante completar o handshake DTLS sem possuir a chave privada do certificado. Em 9 casos, confirmaram a capacidade de recuperar dados de mídia a partir de uma posição pura de man-in-the-middle.
Os serviços afetados incluem nomes de peso: Webex (aceitava certificados de cliente vazios, permitindo escuta em chamadas de vídeo – CVE-2025-20215), Discord (duas bypasses de autenticação separadas), Zoom (servidor de mídia não solicitava autenticação do navegador), Steam, Vonage, RingCentral, Zoho (aceitava qualquer certificado de cliente e usava certificado RSA de 512 bits fatorável em 4,5 horas), FreeSWITCH (bug onde fingerprint SDP remoto era sobrescrito durante verificação) e Teams (aceitava certificados vazios ou arbitrários).
WebRTC Skimmer: Bypass Completo de CSP via DataChannels
O Sansec descobriu um skimmer de pagamento que utiliza WebRTC DataChannels para contornar completamente Content Security Policy (CSP). A técnica explora uma limitação fundamental: CSP controla apenas conexões HTTP, enquanto conexões peer WebRTC estão completamente fora de seu escopo. O skimmer constrói SDP localmente, abre um DataChannel para um IP hardcoded sobre UDP criptografado com DTLS, recebe sua carga útil e exfiltrar dados de cartão – sem servidor de sinalização, sem requisições HTTP para domínios suspeitos, nada para WAFs ou CSP detectarem.
Vítimas incluem uma montadora de carros de US$100+ bilhões, um dos 3 maiores bancos dos EUA e uma das 10 maiores redes de supermercados globais. Esta é a primeira vez que se observa a armaização em escala do poder do WebRTC para bypass de controles de segurança tradicionais.
IA na Pesquisa de Vulnerabilidades: “Vulnerability Research Is Cooked”
Thomas Ptacek publicou uma análise contundente sobre como agentes de codificação por IA mudaram fundamentalmente a economia da pesquisa de vulnerabilidades. O trabalho de Nicholas Carlini na Frontier Red Team da Anthropic demonstra um processo quase trivial: baixar código-fonte, apontar Claude para cada arquivo, pedir para encontrar vulnerabilidades exploráveis, então verificar resultados. Carlini apresentou números impressionantes: mais de 500 vulnerabilidades de alta severidade, 22 CVEs no Firefox, e um bug no kernel Linux escondido desde 2003.
Para projetos RTC como Kamailio, Asterisk, pjsip, rtpengine, coturn e FreeSWITCH – grandes codebases C/C++ com décadas de história – isso significa um aumento significativo no volume de relatórios de vulnerabilidades. A startup AISLE, que já encontra vulnerabilidades reais em WebRTC e OpenSIPS, representa a primeira onda desta transformação.
DVRTC: Laboratório Vulnerável para Segurança RTC
A Enable Security lançou o DVRTC (Damn Vulnerable Real-Time Communications), um ambiente de laboratório intencionalmente vulnerável para aprendizado de segurança RTC. O primeiro cenário, pbx1, implanta uma stack VoIP completa com Kamailio, Asterisk, rtpengine, coturn, Nginx e MySQL usando Docker Compose, cobrindo 12 caminhos de ataque através de 7 exercícios guiados. Inclui enumeração SIP, análise de tráfego, RTP bleed, cracking de credenciais, vazamentos de digest SIP, abuso de relay TURN e mais.
Advisories Críticos em PJSIP: Stack Buffer Overflow em Codecs de Áudio
Seis advisories de segurança foram publicados para pjproject este mês, todos afetando versão 2.16 e anteriores. O mais severo é um stack buffer overflow crítico no parsing de payload RTP para codecs Opus, Speex e Silk (CVE-2026-29068), acionado quando um payload RTP contém mais frames que o buffer pode suportar.
Dois use-after-free de alta severidade também foram divulgados: um no manuseio de sessão ICE (CVE-2026-32942) causado por condições de corrida entre callbacks assíncronos e destruição de sessão, e outro no handler de subscription de presença (CVE-2026-28799) acionado durante unsubscription via SUBSCRIBE com Expires=0. Três vulnerabilidades adicionais incluem heap buffer overflow no parser DNS, out-of-bounds read no parsing SIP multipart e heap OOB read no unpacketizer VP9 RTP.
Cadeia de Vulnerabilidades FreePBX: Comprometimento Total Não Autenticado
Noah King da Horizon3 AI apresentou na AstriCon 2026 uma cadeia de vulnerabilidades FreePBX que permite comprometimento total de host não autenticado em sistemas usando o tipo de autenticação “web server”. A cadeia inclui: bypass de autenticação (CVE-2025-66039) onde passar um header de autorização básica com quaisquer credenciais base64-encoded bypassava login completamente; path traversal e upload de arquivo (CVE-2025-61678) no upload de “custom firmware” do Endpoint Manager; e SQL injection (CVE-2025-61675) em múltiplos parâmetros do Endpoint Manager permitindo escrita no banco de dados.
Vulnerabilidades WebRTC em Navegadores: Chrome e Firefox Sob Ataque
Chrome 146 corrige quatro vulnerabilidades WebRTC de alta severidade: stack buffer overflow (CVE-2026-4444), dois use-after-free (CVE-2026-4445, CVE-2026-4446) e heap buffer overflow (CVE-2026-4463), todas creditadas ao mesmo pseudônimo. Firefox 149/ESR 140.9 corrige três vulnerabilidades de sinalização WebRTC: um DoS (CVE-2026-4704) e dois problemas de comportamento indefinido (CVE-2026-4705, CVE-2026-4718), todos creditados a uma equipe incluindo Nicholas Carlini “usando Claude da Anthropic” – exemplos concretos da tendência de pesquisa de vulnerabilidades impulsionada por IA.
Conferências e Comunidade: OpenSIPS Summit e Kamailio World
OpenSIPS Summit 2026 ocorre de 28 de abril a 1 de maio em Bucareste, Romênia, seguido pelo Kamailio World 2026 em 7-8 de maio em Berlim. Ambas as conferências terão apresentações sobre DVRTC, com foco em extensões para OpenSIPS, FreeSWITCH e rtpproxy no OpenSIPS Summit, e na stack original DVRTC com integração Homer para visualização de ataques em tempo real no Kamailio World.
O cenário de março de 2026 demonstra uma convergência perigosa: vulnerabilidades fundamentais em protocolos críticos, ferramentas de ataque que exploram brechas arquiteturais, e uma aceleração exponencial na descoberta de vulnerabilidades através de IA. Para a comunidade RTC, a mensagem é clara: a segurança de comunicações em tempo real nunca foi tão complexa, crítica e sob pressão.
Análise baseada no RTCSec newsletter – March 2026 edition. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário