# Vulnerabilidade Crítica de Controle de Acesso Descoberta em Gateways de Mensagens da OpenCode Systems ## Resumo Uma vulnerabilidade de segurança significativa foi descoberta no OC Messaging e USSD Gateway da **OpenCode Systems**. A exploração bem-sucedida desta vulnerabilidade poderia permitir que um usuário autenticado de baixo privilégio obtivesse acesso a mensagens SMS fora do escopo de seu tenant autorizado, através de um parâmetro de identificador de empresa ou tenant manipulado. A vulnerabilidade é rastreada como **CVE-2025-70614**. As seguintes versões do OpenCode Systems OC Messaging e USSD Gateway são afetadas: * OC Messaging 6.32.2 (**CVE-2025-70614**) * USSD Gateway 6.32.2 (**CVE-2025-70614**) ## Detalhes da Vulnerabilidade | CVSS | Vendor | Equipment | Vulnerabilities | | :----- | :---------------- | :--------------------------------------------- | :--------------------- | | v3 8.1 | OpenCode Systems | OpenCode Systems OC Messaging and USSD Gateway | Controle de Acesso Inadequado | ### Contexto * **Setores de Infraestrutura Crítica:** Comunicações * **Países/Áreas Implantadas:** Mundialmente * **Localização da Sede da Empresa:** Bulgária --- ## Vulnerabilidades ### CVE-2025-70614 O OpenCode Systems Custom Messaging Gateway 6.32.2 contém uma vulnerabilidade de acesso web que permite que um usuário autenticado ganhe acesso às mensagens de outro usuário autenticado através de um parâmetro de identificador manipulado. [Ver Detalhes do CVE](https://www.cve.org/CVERecord?id=CVE-2025-70614) --- #### Produtos Afetados ##### OpenCode Systems OC Messaging and USSD Gateway **Vendor:** OpenCode Systems **Versão do Produto:** OpenCode Systems OC Messaging: 6.32.2, OpenCode Systems USSD Gateway: 6.32.2 **Status do Produto:** known_affected **CWE Relevante:** [CWE-284 Controle de Acesso Inadequado](https://cwe.mitre.org/data/definitions/284.html) --- #### Métricas ## Recomendações de Mitigação A **Agência de Segurança Cibernética e de Infraestrutura (CISA)** recomenda que os usuários tomem medidas defensivas para minimizar o risco de exploração desta vulnerabilidade. As principais recomendações incluem: * Minimizar a exposição de rede para todos os dispositivos e/ou sistemas de controle, garantindo que não sejam acessíveis pela internet. * Localizar redes de sistemas de controle e dispositivos remotos atrás de firewalls e isolá-los de redes corporativas. * Quando o acesso remoto for necessário, usar métodos mais seguros, como Redes Privadas Virtuais (**VPNs**), reconhecendo que as VPNs podem ter vulnerabilidades e devem ser atualizadas para a versão mais recente disponível. Reconhecer também que a VPN é tão segura quanto os dispositivos conectados. A CISA lembra às organizações que realizem a devida análise de impacto e avaliação de risco antes de implementar medidas defensivas. ## Recursos Adicionais A CISA também fornece uma seção para práticas recomendadas de segurança de sistemas de controle na página ICS em cisa.gov/ics. Vários produtos da CISA detalhando as melhores práticas de defesa cibernética estão disponíveis para leitura e download, incluindo "Improving Industrial Control Systems Cybersecurity with Defense-in-Depth Strategies". A CISA incentiva as organizações a implementarem estratégias de cibersegurança recomendadas para defesa proativa de ativos de ICS. Orientações adicionais de mitigação e práticas recomendadas estão publicamente disponíveis na página ICS em cisa.gov/ics no documento técnico "ICS-TIP-12-146-01B--Targeted Cyber Intrusion Detection and Mitigation Strategies". Organizações que observarem atividades maliciosas suspeitas devem seguir os procedimentos internos estabelecidos e relatar suas descobertas à CISA para rastreamento e correlação com outros incidentes. A CISA também recomenda que os usuários tomem as seguintes medidas para se protegerem de ataques de engenharia social: * Não clique em links da web nem abra anexos em mensagens de e-mail não solicitadas. * Consulte "Recognizing and Avoiding Email Scams" para mais informações sobre como evitar golpes de e-mail. * Consulte "Avoiding Social Engineering and Phishing Attacks" para mais informações sobre ataques de engenharia social. Nenhuma exploração pública conhecida especificamente visando esta vulnerabilidade foi relatada à CISA até o momento. --- ## Agradecimentos Hussein Amer relatou esta vulnerabilidade à CISA. ## Histórico de Revisão | Data | Revisão | Resumo | | :--------- | :------ | :---------------- | | 2026-03-26 | 1 | Publicação Inicial | --- [Ver CSAF](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-085-02.json)