sage logo
Speak with an expert
Under attack

Sep 17, 2025

CVE-2022-27255: a vulnerabilidade em CPEs Realtek que voltou a impulsionar DDoS em 2025

Uma vulnerabilidade de 2022 no SIP ALG de CPEs com Realtek eCos (CVE‑2022‑27255) voltou a ganhar relevância agora em 2025. 

 

Pesquisas recentes mostram que ela está sendo explorada em larga escala para criar botnets baseadas em variantes do Mirai, que transformam roteadores e ONTs em vetores de ataques DDoS.

 

O problema afeta diretamente provedores brasileiros, com relatos de picos de upload anormais, clientes impactados e tráfego malicioso saindo em direção a grandes players como OVH, Cloudflare e Alibaba Cloud.

O que é a CVE‑2022‑27255 e por que ela importa?

A falha está relacionada a um estouro de buffer no SIP ALG do SDK Realtek eCos. Ela é explorável via WAN por meio de pacotes SIP malformados (UDP/5060), o que permite execução remota de código sem autenticação, um cenário crítico para qualquer rede.

 

Identificada em 2022 e apresentada na conferência DEF CON, a vulnerabilidade ganhou notoriedade por conta de sua gravidade. Existem provas de conceito (POCs) públicas e até ferramentas que permitem identificar firmwares vulneráveis, o que facilita ainda mais a vida de atacantes.

O que mudou agora (2025): botnet “Gayfemboy”?

Se em 2022 a falha parecia algo restrito a pesquisas acadêmicas, em 2025 ela virou munição para cibercriminosos.

 

Campanhas ativas já exploram o bug para recrutar dispositivos em território brasileiro. A botnet “Gayfemboy”, baseada no clássico Mirai, apresenta algumas características técnicas relevantes:

 

  • Domínios rotativos (ex.: cross-compiling[.]org, i-kiss-boys[.]com, furry-femboys[.]top, twinkfinder[.]nl, 3gipcam[.]com), resolvidos por DNS públicos como 1.1.1.1 e 8.8.8.8 para evitar bloqueios.
  • Comunicação com servidores de C2 em até 15 portas diferentes no mesmo host até conseguir estabelecer conexão.
  • Protocolo com comandos curtos (keep‑alive/reset) e opcodes específicos, como 0x1F para iniciar DDoS, 0x0E para baixar/rodar payloads e 0x1C para abrir shells reversos.

Isso significa que o ataque não é apenas volumétrico, mas também flexível, resiliente e persistente.

O que vimos no Brasil até o momento?

Os impactos no Brasil já são concretos. Provedores relatam desde centenas até milhares de CPEs comprometidas em um único ambiente (em alguns casos, mais de 1.800 dispositivos vulneráveis detectados de uma só vez), e inventários chegando a cerca de 8.000 equipamentos Realtek-based mistos.

 

Entre os sintomas mais comuns estão:

 

  • Picos de upload por cliente, muitas vezes na casa de centenas de Mb/s, com maior impacto em conexões cabeadas e no Wi-Fi 5 GHz.
  • Tráfego malicioso saindo para grandes players globais, como OVH, Cloudflare e Alibaba Cloud.
  • Dispositivos IoT (Hikvision e TV Box) atrás das CPEs mantendo tráfego mesmo após atualização, contribuindo para a amplificação do DDoS.
  • Marcas como Tenda e Shoreline figurando entre as mais afetadas nos relatos de campo.
  • Operações de resposta já em curso, incluindo desligamento de serviços nas CPEs, restrição de acesso à GUI/HTTP via WAN, troca de portas e credenciais, atualização de firmware e uso de TR-069 para telemetria e saneamento em massa.
  • Limitações estruturais do GPON, onde cada ONT reserva ~5 Mb de upstream: em cenários de ataques distribuídos com milhares de nós, qualquer rede sem boas práticas básicas rapidamente satura. 

Esses casos não apenas prejudicam a qualidade da rede para os assinantes, como também transformam os provedores em origem de ataques internacionais, trazendo riscos técnicos, financeiros e reputacionais.

Qual é a cadeia de ataque simplificada?

A sequência de ataque observada segue o fluxo abaixo:

 

  • Exploração: o atacante envia um pacote malformado via UDP/5060 que estoura o SIP ALG, resultando em execução remota de código (RCE). 
  • Infecção: o dropper baixa o binário malicioso, remove processos concorrentes e pode abrir SSH para persistência, comportamento típico de variantes Mirai-like. 
  • Comunicação com C2 (pull): a CPE inicia conexões para domínios de comando e controle via DNS público (1.1.1.1, 8.8.8.8), tentando até 15 portas diferentes no mesmo host até estabelecer a sessão. 
  • Ação: o C2 dispara floods massivos (UDP, TCP e ICMP) contra alvos globais. No Brasil, operadores reportaram tráfego direcionado para OVH, Cloudflare e Alibaba Cloud durante os picos. 

Como detectar rápido?

Para reduzir o tempo de resposta e aumentar a eficiência da detecção, alguns sinais de alerta e boas práticas devem ser monitorados de forma contínua:

    • Perímetro / NOC
      • Bloqueie ou limite o tráfego UDP/5060 para CPEs diretamente no BNG, CGNAT ou borda. Libere apenas para IPs de VoIP autorizados e, se possível, aplique rate-limit por assinante. (Evita a exploração.)
      • PCAP na borda com foco em udp dst port 5060 ajuda a flagrar tentativas de ataque, qualquer tráfego SIP vindo de fora da lista de VoIP é suspeito. (Comprova a exploração.)
      • Quarentena automática para clientes com upload anômalo ou pps elevado, colocando-os em uma “porta jaula” que libera apenas o portal de regularização e o TR-069.
      • Higienização básica na rede de acesso: habilite uRPF/BCP38 e bloqueios de reflexão conhecidos (SSDP/1900, NTP/123, DNS aberto/53, CLDAP/389, Memcached/11211). 
    • DNS / C2
      • Bloqueie FQDNs de C2 conhecidos e monitore resoluções via 1.1.1.1 e 8.8.8.8 vindas das CPEs. (A botnet usa DNS públicos para manter comunicação.
      • Onde houver FortiGate/FortiGuard, habilite recursos de Botnet C&C domain/IP blocking e DNS Filter para cortar a sessão já na resolução. 

  • CPE / Parque

    • Desative o SIP ALG nas CPEs Realtek e aplique o firmware corrigido publicado pela Realtek.
    • Feche a gestão via Internet (HTTP/HTTPS/Telnet/SSH/TR-069), mantendo acesso apenas por rede interna ou VPN.
    • Use TR-069 para auditar modelo, versão e uptime; aplicar configs (como desligar SIP ALG, trocar credenciais e portas); e forçar reboots em ondas de forma automatizada.

 

Essa combinação de medidas permite não só identificar rapidamente tentativas de exploração, mas também conter a propagação da ameaça e reduzir a superfície de ataque.

Quais são os indicadores úteis para detecção e playbooks?

Na prática, alguns sinais podem acelerar a identificação de CPEs comprometidas e apoiar a criação de playbooks de resposta:

  • Na rede
    • Resoluções DNS para domínios de C2 conhecidos, como: cross-compiling[.]org, i-kiss-boys[.]com, furry-femboys[.]top, twinkfinder[.]nl e 3gipcam[.]com.
    • Fluxos de saída persistentes de uma mesma CPE para o mesmo IP, alternando entre diversas portas, comportamento típico da tática de 15 portas do C2.
    • Picos de upload contínuos e multi-destino vindos de um mesmo assinante, sinalizando tráfego malicioso distribuído. 
  • No endpoint (CPE/IoT)
    • Execução de binários com header UPX alterado (técnica de anti-detecção).
    • Presença de strings suspeitas em memória, como “twinks :3”, já identificadas em variantes da campanha.

Quais são as mitigações recomendadas?

As ações práticas para os provedores incluem:

 

  • Regra de borda: negar tráfego UDP/5060 para CPEs (exceto whitelists de VoIP autorizados) e aplicar rate-limit por assinante.
  • DNS: bloquear domínios de C2 conhecidos e ativar Botnet C&C e DNS Filter em equipamentos de borda. 
  • Higiene de gestão: não expor GUI, SSH, Telnet ou TR-069 na Internet; adotar senhas únicas, uso de portas não-padrão e ACL por origem. 
  • Firmware: aplicar o patch oficial do vendor ou substituir modelos sem correção. O SIP ALG deve ser desativado por padrão. 
  • TR-069 em massa: inventariar os modelos Realtek, aplicar templates de mitigação e realizar reboots escalonados para saneamento em larga escala.
  • DDoS de trânsito: adotar medidas como RTBH/FlowSpec e scrubbing com upstreams durante ondas de ataque. (“Link mitigado” já foi citado por operadores.)
  • IoT atrás da CPE: identificar dispositivos como Hikvision/TV Box e isolar ou bloquear temporariamente para reduzir upload residual. 

Essas medidas, combinadas, ajudam a reduzir tanto a superfície de ataque quanto o poder de amplificação de redes comprometidas, garantindo maior estabilidade operacional.

Quais são os riscos colaterais e pontos de atenção?

Mesmo após aplicar medidas de mitigação iniciais, alguns fatores de risco permanecem e precisam ser considerados pelos provedores:

 

  • CGNAT não protege: como o tráfego do C2 é outbound (a própria CPE inicia a sessão), a botnet consegue operar normalmente mesmo atrás do NAT. 
  • Sintomas podem desaparecer após reboot: variantes Mirai-like caem temporariamente após reinicialização da CPE, mas voltam a se manifestar se a vulnerabilidade não for corrigida com atualização de firmware ou desativação do SIP ALG.
  • Limitações do GPON: cada ONT reserva cerca de 5 Mb/s de upstream, o que significa que milhares de nós transmitindo em paralelo, mesmo em taxas baixas (1 Mb/s cada), são suficientes para saturar PONs ou até o core da rede. 

O que os operadores brasileiros já fizeram para conter o problema?

Algumas medidas práticas já foram aplicadas por provedores no Brasil e mostraram bons resultados no controle da ameaça:

 

  • Desligar serviços não utilizados nas CPEs, restringir o acesso à GUI via WAN, alterar portas e credenciais padrão, além de manter atualizações constantes.
  • Acompanhar estatísticas LAN/WAN e dados de RADIUS/TR-069 para identificar rapidamente dispositivos que apresentam tráfego anômalo (“quem fala demais”).
  • Bloquear ou monitorar dispositivos IoT vulneráveis, como câmeras Hikvision e TV Box, que continuam gerando upload mesmo após a atualização da CPE, contribuindo para a recorrência do problema.

Como a Sage pode ajudar?

Na Sage Networks, acompanhamos de perto os impactos da CVE-2022-27255 e outras falhas que transformam redes de provedores em alvos e origens de ataques DDoS.

 

Nosso time de especialistas atua lado a lado com ISPs em todo o Brasil para implementar medidas práticas de mitigação, desde o bloqueio de vetores de ataque na borda até o uso de TR-069 para saneamento em massa de CPEs vulneráveis.

 

Além disso, oferecemos soluções Anti-DDoS em diferentes camadas (local, nuvem e SOC dedicado), garantindo mais resiliência para sua operação e preservando a qualidade do serviço entregue ao assinante final.

Conclusão

A CVE-2022-27255 ressurgiu como uma das principais ameaças para provedores brasileiros em 2025.


O fato de uma vulnerabilidade “antiga” voltar a ser explorada em larga escala demonstra como falhas conhecidas podem se tornar críticas quando não há atualização contínua e monitoramento adequado.

 

O cenário reforça a importância de ações rápidas, coordenadas e permanentes: bloquear portas vulneráveis, manter firmware atualizado, desativar funções inseguras e usar automação (via TR-069) para corrigir o parque de CPEs em massa.

 

Mais do que proteger a própria infraestrutura, essas medidas evitam que redes brasileiras sejam usadas como plataforma de DDoS global, preservando a reputação e a sustentabilidade do ecossistema de ISPs.

Clique aqui e fale agora com os especialistas da Sage Networks para entender como proteger sua infraestrutura de forma rápida e eficaz.

💬 FALE COM UM ESPECIALISTA AGORA

COMPARTILHE

Você também pode gostar

Pessoa digitando em um laptop com tela mostrando código verde, representando o que é DDoS e ataques cibernéticos.

DDoS: O que é, impactos e como funciona?

Read article
IPV sage networks post blog scaled pdalvoftmwvovyfwtibonakwkug

Relembre: Por que você deveria dar mais importância ao IPv6

Read article
procuradora colocou um telefone para receber den ncias osbre cortes dos servi os de utilidades p bicas e telecomunica es scaled pausfuaczyybxbapbgruwagpyrmxdlnvk

Cuba corta a internet: isso pode acontecer no Brasil?

Read article

TIRE SUAS DÚVIDAS NO WHATSAPP

Preencha seu nome, empresa, telefone e segmento para falar agora mesmo com um de nossos consultores.