Uma vulnerabilidade grave na Wi-Fi Test Suite pode dar a invasores locais não autenticados a capacidade de executar comandos com privilégios elevados em roteadores comerciais. O CERT Coordination Center (CERT/CC) identificou a falha, registrada como CVE-2024-41992, encontrada no código da Wi-Fi Alliance utilizado em roteadores Arcadyan FMIMG51AX000J.
De acordo com o CERT/CC, a vulnerabilidade permite que invasores locais enviem pacotes manipulados à Wi-Fi Test Suite, resultando na execução de comandos arbitrários com permissões de root nos roteadores comprometidos. O alerta, emitido na última quarta-feira, sublinha a gravidade do problema. A Wi-Fi Test Suite é uma ferramenta desenvolvida pela Wi-Fi Alliance para automatizar testes de dispositivos Wi-Fi. Embora parte do código seja de código aberto, o pacote completo é acessível apenas a membros da organização.
A falha foi inicialmente revelada em agosto de 2024 pela SSD Secure Disclosure, que classificou o problema como uma injeção de comando. A vulnerabilidade permite que um invasor mal-intencionado execute comandos com privilégios de root. O pesquisador independente, conhecido pelo pseudônimo “fj016”, foi creditado pela descoberta e pela notificação da falha à Wi-Fi Alliance em abril de 2024. Um exploit de prova de conceito (PoC) também foi disponibilizado para demonstrar a vulnerabilidade.
Se explorada com sucesso, essa falha pode conceder ao invasor controle administrativo completo sobre o roteador, permitindo a alteração de configurações, interrupção de serviços de rede ou até mesmo a reinicialização do dispositivo.
