Um edifício alemão andou a funcionar nos disjuntores
Em Outubro de 2021, uma instalação de dimensão média de uma empresa alemã de engenharia perdeu os interruptores da luz. Não a luz, os interruptores. Os trabalhadores iam ao quadro eléctrico e accionavam os disjuntores à mão, porque os comandos do próprio edifício já não respondiam. O controlo dos estores desapareceu da mesma maneira. Várias centenas de componentes KNX estavam nas paredes e nos tectos sem fazer absolutamente nada, e três quartos deles ficaram fora de serviço.
A Limes Security, a empresa austríaca que documentou o caso, apurou o que tinha acontecido. Os atacantes tinham alcançado o barramento KNX através da internet, tinham descarregado os equipamentos e depois definiram eles próprios a chave BCU. A chave é a fechadura do barramento. Quem a define, detém-na. O proprietário não a detinha.
Todos os fabricantes contactados pela empresa disseram o mesmo: nenhuma reposição é possível, os equipamentos estão inutilizados. A substituição integral foi orçamentada em mais de 100.000 EUR só de equipamento. A Limes Security acabou por recuperar a chave a extrair a memória do processador e a restringir o espaço de força bruta o suficiente para a pesquisa chegar ao fim. O caso é conhecido como KNXlock, e nunca foi pedido qualquer resgate.
A decisão que a CISA tomou a 15 de Julho
A 15 de Julho de 2026 a CISA acrescentou o CVE-2023-4346 ao seu catálogo de vulnerabilidades exploradas conhecidas, publicado na versão de catálogo 2026.07.16 a 16 de Julho às 17:00:15Z. O prazo de correcção é 29 de Julho de 2026. São catorze dias. Outros registos da mesma leva de Julho receberam três dias.
A falha está no protocolo KNX da KNX Association, em concreto na Connection Authorization Option 1. Está classificada como CWE-645, um bloqueio de conta excessivamente restritivo, e apresenta CVSS 7.5 HIGH com o vector AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H. Essa pontuação é real e não a leitura de um fornecedor: o NVD mantém uma primária de 7.5 emitida por [email protected]. A CISA regista a utilização conhecida em campanhas de ransomware como desconhecida. O CVE foi publicado a 29 de Agosto de 2023 e alterado pela última vez a 16 de Julho de 2026.
Nada no problema de fundo é novo, e o texto que o descreve também não. O aviso ICSA-23-236-01 da CISA é um documento de 2023, reportado por Felix Eberstaller, da Limes Security. O KNXlock é um incidente de 2021. O único facto novo é a inclusão no KEV e o relógio que lhe vem agarrado. O que mudou foi a exigência de correcção, não a vulnerabilidade.
Não há correcção, e é esse o ponto
Nenhuma actualização de software resolve isto. O aviso da CISA delimita a exposição a equipamentos KNX que usam a Connection Authorization Option 1 Style nos quais não está actualmente definida qualquer chave BCU, todas as versões. Leia com atenção. A condição não é uma versão antiga de firmware. A condição é uma definição vazia.
O remédio é definir a chave BCU. É uma acção de configuração executada durante o comissionamento, no ficheiro de projecto do integrador, no barramento físico. Não chega por um ciclo de correcções. Não pode ser instalada a partir de uma consola de gestão. É invisível para as ferramentas que a sua equipa de segurança já opera, porque essas ferramentas procuram versões e isto não é um problema de versão.
Os próprios metadados do aviso dizem o resto em voz alta. Países e áreas de instalação: Europa. Sede da empresa: Bélgica. Sector: Critical Manufacturing. Uma varredura da Alpha Strike Labs, realizada em 2023, encontrou mais de 16.000 sistemas potencialmente vulneráveis na área DACH. Esse número tem três anos e deve ser lido como um retrato de 2023, não como a contagem de hoje.
Porque sobreviveu três anos
A falha é organizativa, não técnica. Definir uma chave BCU cabe a quem comissionou o edifício. É um integrador ou um prestador de manutenção, a trabalhar a partir de um ficheiro de projecto, muitas vezes com anos, frequentemente ao abrigo de um contrato que fechou na entrega. Essa pessoa não está na sua equipa de segurança e em muitos casos já não atende as suas chamadas.
Assim, a constatação aterra numa fila de informática onde ninguém é dono do remédio. A equipa de segurança vê o aviso e não pode agir. A equipa de manutenção pode agir e nunca vê o aviso. Nessa costura passaram três anos. A MITRE acrescentou a técnica ao ATT&CK for ICS como T0892, Change Credential, na Primavera de 2023, o que deu nome ao método sem dar nome ao responsável.
O modelo de perda também explica o abandono. A maior parte dos orçamentos de segurança é construída à volta de um pagamento ou de um dever de protecção de dados, e este modo de falha não tem nenhum dos dois. Ninguém pediu dinheiro à empresa alemã e não se moveu qualquer dado pessoal. O atacante limitou-se a definir a chave, os fabricantes confirmaram que não havia caminho de volta, e a factura de equipamento ainda assim ultrapassou os 100.000 EUR.
O prazo não o vincula, a exposição continua a vincular
Sejamos claros quanto ao âmbito. A data de 29 de Julho de 2026 decorre da Binding Operational Directive BOD 26-04 da CISA e vincula as agências civis federais dos Estados Unidos. Não vincula juridicamente um proprietário europeu. Se o seu património está em Frankfurt ou em Manchester, nenhuma directiva americana o obriga a fazer o que quer que seja até essa data.
A assimetria é a notícia. Os edifícios são esmagadoramente europeus, a norma é europeia, a sua associação fica na Bélgica, e o prazo vinculativo é americano. Na nossa leitura, o ponto de ligação europeu é a NIS2 e não a data da CISA, e apresentamos isso como leitura nossa e não como lei. Os deveres da NIS2 dependem do seu sector e das suas obrigações de gestão de risco, e um barramento de automação de edifícios alcançável a partir da internet é um facto de gestão de risco, seja qual for o calendário que siga.
A acção cabe numa frase e não vai para a informática. Pergunte ao seu integrador de edifícios ou ao prestador de manutenção duas coisas: o barramento KNX é alcançável a partir da internet, e alguma vez foi definida uma chave BCU no comissionamento. Se a resposta à segunda for não, ou se ninguém encontrar o ficheiro de projecto para lha dar, está dentro do âmbito que a CISA descreveu e está a um caminho alcançável pela internet do desfecho de Outubro de 2021.
Leia a seguir: Um token falso abre cada PC que a ferramenta gere | As suas sementes MFA saíram antes da correção



