nulltropic

NULLTROPIC

DTLS-SRTP falha em Webex Zoom Discord

Março de 2026 foi um mês de ruptura para a segurança de comunicações em tempo real. Pesquisadores demonstraram uma falha fundamental na autenticação DTLS-SRTP que afeta gigantes como Webex, Zoom e Discord, enquanto um skimmer de pagamentos baseado em WebRTC DataChannels mostrou como contornar completamente as políticas de segurança de conteúdo (CSP). Paralelamente, o lançamento do laboratório vulnerável DVRTC e a análise de Thomas Ptacek sobre o impacto da IA na pesquisa de vulnerabilidades sinalizam uma mudança de paradigma na ofensiva e na defesa.

Ruptura na Autenticação DTLS-SRTP: 19 de 33 Servidores Vulneráveis

Uma pesquisa apresentada na USENIX Security 2026 expôs uma falha crítica na autenticação DTLS-SRTP em toda a ecossistema WebRTC. Usando um framework de teste man-in-the-middle chamado DTLS-MitM-Scanner (DMS), a equipe testou 33 implementações de servidores de mídia de 24 provedores. Os resultados são graves: 19 implementações apresentavam vulnerabilidades que permitiam a um atacante completar o handshake DTLS sem possuir a chave privada do certificado. Para 9 delas, foi confirmada a capacidade de recuperar dados de mídia a partir de uma posição pura de MitM.

Os serviços afetados incluem nomes de grande porte:

  • Webex (CVE-2025-20215): Aceitava certificados de cliente vazios, permitindo a escuta de chamadas de videoconferência.
  • Discord: Duas bypasses de autenticação separadas foram encontradas (out/2022 e fev/2024), resultando em bug bounty.
  • Zoom: O servidor de mídia da aplicação web não solicitava autenticação do navegador. Corrigido após reporte, classificado como alta severidade.
  • Steam, Vonage, RingCentral: Não solicitavam ou validavam certificados de cliente, vazando dados RTP imediatamente.
  • Zoho: Aceitava qualquer certificado de cliente e usava um certificado RSA de 512 bits fatorado em 4,5 horas.
  • FreeSWITCH (usado pelo BigBlueButton v2.4): Aceitava qualquer certificado devido a um bug onde a fingerprint SDP remota era sobrescrita durante a verificação. O PR de correção de 2023 nunca foi mesclado.
  • Teams: Aceitava certificados vazios ou arbitrários, mas não foi observado vazamento de mídia RTP. A Microsoft considerou fora de escopo.

O PoC contra o Webex é particularmente revelador: após completar o handshake com um certificado vazio, o atacante solicitava mídia usando o protocolo Multistreaming da Cisco e recebia o stream de áudio da chamada, descriptografável em tempo real. O usuário legítimo continuava aparecendo como participante normal para os demais.

Skimmer de Pagamentos WebRTC Bypassa CSP com DataChannels

A Sansec descobriu um skimmer de pagamentos que utiliza WebRTC DataChannels para exfiltrar dados de cartões de crédito de sites de e-commerce, contornando completamente as Content Security Policies (CSP). A técnica explora uma limitação fundamental: o CSP controla apenas conexões HTTP, enquanto conexões peer-to-peer do WebRTC estão totalmente fora de seu escopo.

O skimmer constrói SDP localmente, abre um DataChannel para um IP hardcoded via UDP criptografado com DTLS, recebe sua carga maliciosa e exfiltra os dados. Não há servidor de sinalização, nem requisições HTTP para domínios suspeitos, deixando WAFs e CSP ineficazes. Entre as vítimas estão uma montadora de carros avaliada em mais de US$ 100 bilhões, um dos 3 maiores bancos dos EUA e uma das 10 maiores redes de supermercados globais.

IA na Pesquisa de Vulnerabilidades: “A Cozinha Está Pronta”

Thomas Ptacek publicou um artigo intitulado “Vulnerability Research Is Cooked”, argumentando que agentes de IA de codificação já mudaram radicalmente a economia da descoberta de falhas. O trabalho de Nicholas Carlini na Frontier Red Team da Anthropic ilustra o processo: baixar código-fonte, apontar o Claude para cada arquivo, pedir para encontrar vulnerabilidades exploráveis e verificar os resultados. Carlini relatou mais de 500 vulnerabilidades de alta severidade encontradas dessa forma, incluindo 22 CVEs no Firefox e um bug no kernel Linux escondido desde 2003.

Para a comunidade RTC, isso significa que codebases grandes em C/C++ como Kamailio, Asterisk, pjsip, rtpengine e FreeSWITCH – com décadas de histórico e gerenciamento de memória complexo – são alvos ideais para essa abordagem automatizada. O aumento no volume de vulnerabilidades divulgadas em projetos como pjsip (seis advisories este mês) e FreePBX (presença constante nos últimos boletins) pode ser um sinal inicial desta nova realidade.

DVRTC: Laboratório Vulnerável para Segurança RTC

A Enable Security lançou o DVRTC (Damn Vulnerable Real-Time Communications), um ambiente de laboratório intencionalmente vulnerável para aprendizado prático de segurança em VoIP e WebRTC. O primeiro cenário, pbx1, implanta uma stack VoIP completa com Kamailio, Asterisk, rtpengine, coturn, Nginx e MySQL via Docker Compose, cobrindo 12 vetores de ataque em 7 exercícios guiados.

Os exercícios incluem enumeração SIP, análise de tráfego, RTP bleed, quebra de credenciais, vazamento de digest SIP, abuso de relay TURN e mais. Uma instância ao vivo está disponível em pbx1.dvrtc.net, com o código-fonte no GitHub. O projeto será apresentado nas conferências OpenSIPS Summit (abril/maio) e Kamailio World (maio).

Cadeia de Vulnerabilidades no FreePBX: Bypass Auth, Path Traversal, SQLi e RCE

No AstriCon 2026, Noah King da Horizon3 AI detalhou a descoberta de uma cadeia de vulnerabilidades no FreePBX que levava ao comprometimento total do host sem autenticação em sistemas usando o tipo de autenticação “web server”:

  • Bypass de Autenticação (CVE-2025-66039): Com auth type definido como “web server”, passar um cabeçalho de autorização básica com qualquer credencial em base64 bypassava o login.
  • Path Traversal e Upload de Arquivo (CVE-2025-61678): O upload de “firmware customizado” no Endpoint Manager podia ser abusado com path traversal para dropar uma webshell PHP em /var/www/html.
  • Injeção SQL (CVE-2025-61675): Múltiplos parâmetros no Endpoint Manager eram injetáveis, permitindo criar usuários admin ou plantar comandos via cron_jobs.

Além disso, quatro vulnerabilidades autenticadas foram divulgadas este mês em módulos do FreePBX: duas injeções de comando no módulo de gravações (CVE-2026-28287, CVE-2026-28209) e duas injeções SQL nos módulos logfiles e CDR (CVE-2026-28284, CVE-2026-28210).

Advisories e Atualizações de Segurança

PJSIP: Seis advisories para versões 2.16 e anteriores, incluindo um buffer overflow crítico na análise de payload RTP para codecs Opus, Speex e Silk (CVE-2026-29068), dois use-after-free de alta severidade no manuseio de sessão ICE (CVE-2026-32942) e no handler de subscription de presença (CVE-2026-28799), um heap buffer overflow no parser DNS (CVE-2026-32945), e dois out-of-bounds reads na análise multipart SIP (CVE-2026-33069) e no unpacketizer VP9 RTP (CVE-2026-34235).

Asterisk: Lançadas versões 21.12.2 e certified-22.8-cert2, corrigindo quatro vulnerabilidades do pjproject, incluindo os use-after-free CVE-2026-32942 e CVE-2026-28799.

Kamailio: Aviso de pré-divulgação recomenda atualização para versões 6.1.1, 6.0.6 ou 5.8.8 devido a várias CVEs a serem publicadas, com potencial alto impacto dependendo da implantação.

Navegadores: Chrome 146 corrige quatro vulnerabilidades de alta severidade no WebRTC (CVE-2026-4444 a CVE-2026-4463). Firefox 149/ESR 140.9 corrige três vulnerabilidades de sinalização WebRTC (CVE-2026-4704, CVE-2026-4705, CVE-2026-4718), creditadas a uma equipe “usando Claude da Anthropic”.

Outros: Vulnerabilidades divulgadas em Cisco Contact Center/Webex (XSS), Avaya Call Management System (RCE crítica), dispositivos Poly (impersonation via chaves de teste extraídas), Mumble (OOB array access) e Viber (fingerprint TLS identificável no modo Cloak).

Conclusão: Um Mês de Rupturas e Novos Paradigmas

Março de 2026 expôs falhas fundamentais em protocolos considerados seguros (DTLS-SRTP), demonstrou técnicas de evasão avançadas (WebRTC vs. CSP) e marcou o início de uma era onde a IA redefine a pesquisa ofensiva. A resposta defensiva deve evoluir com a mesma velocidade: priorização baseada em exploração ativa, hardening de infraestrutura crítica de mídia, e adoção de ferramentas práticas como o DVRTC para capacitação contínua. A segurança RTC nunca foi tão complexa – e nunca foi tão crítica.

Análise baseada na newsletter RTCSec news de março de 2026 da Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.

N00-AI

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *