Falha crítica no PX4 permite sequestro de drones em voo

A CYVIATION, empresa especializada em cibersegurança aeronáutica, divulgou em 7 de abril uma vulnerabilidade crítica no PX4 Autopilot — o software de controle de voo open-source mais usado no mundo. A falha, identificada como CVE-2026-1579 e com nota CVSS 9.8 em 10, permite que qualquer pessoa conectada à mesma rede Wi-Fi assuma o controle total de um drone durante o voo, sem autenticação.

A Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos (CISA) emitiu um advisory oficial classificando a falha como ameaça de alto risco. Não há registros confirmados de exploração real até o momento, mas a severidade exige ação imediata de todos que operam drones com PX4.

O PX4 é uma plataforma de controle de voo open-source desenvolvida sob o guarda-chuva da Dronecode Foundation, projeto vinculado à Linux Foundation. É a principal escolha de desenvolvedores, pesquisadores e empresas que precisam de personalização — ao contrário de firmwares proprietários, o PX4 é auditável, configurável e gratuito.

Para entender o papel da controladora de voo no funcionamento de um drone — o componente de hardware onde o PX4 é instalado —, veja nosso guia Como funciona um drone.

O protocolo de comunicação utilizado pelo PX4 é o MAVLink (Micro Air Vehicle Link), um padrão que troca mensagens entre o drone e a estação de controle em solo. É exatamente nesse protocolo que a CVE-2026-1579 reside.

Por padrão, o PX4 Autopilot aceita comandos via interface MAVLink sem exigir nenhuma forma de autenticação. Isso significa que qualquer dispositivo conectado à mesma rede que o drone pode enviar comandos como se fosse o controlador legítimo — sem senha, sem certificado, sem verificação de identidade.

Um atacante na mesma rede Wi-Fi do piloto pode:

• Injetar comandos de navegação, alterando a rota ou provocando uma queda
• Executar comandos arbitrários via acesso remoto ao shell do sistema
• Desativar a função de retorno automático (Return to Home)
• Assumir controle total do sistema embarcado

A CYVIATION descreveu a brecha como um drone que "não possui senha digital nem assinatura para verificar a origem dos comandos que recebe". Essa ausência de autenticação básica foi suficiente para uma pontuação de 9.8 no sistema CVSS — quase o máximo possível.

O PX4 é amplamente utilizado em drones FPV de longa distância (veja o que é FPV), plataformas de inspeção industrial, drones de mapeamento e fotogrametria, sistemas de pesquisa acadêmica e projetos de entrega autônoma. Qualquer drone construído sobre uma controladora Pixhawk, Holybro Durandal ou hardware similar que rode PX4 está potencialmente exposto.

Drones DJI não são afetados. A DJI usa firmware proprietário com camadas de autenticação e criptografia próprias. A CVE-2026-1579 é específica ao PX4 Autopilot open-source. Se você opera um Mavic, Mini, Air, Avata ou qualquer modelo DJI com o aplicativo DJI Fly, este aviso não se aplica ao seu equipamento.

Drones com firmware proprietário de outras marcas — Autel, Skydio, Parrot — também não são afetados diretamente por esta CVE. O risco se concentra em drones customizados, de pesquisa e de desenvolvimento que rodam PX4 em hardware aberto.

As mitigações recomendadas pela CYVIATION e pela CISA são de configuração — não exigem troca de hardware. Para quem usa PX4 no Brasil:

1. Ativar o MAVLink 2.0 message signing. Esse recurso garante que o drone só aceite comandos assinados por fontes autorizadas. A configuração é feita via QGroundControl. A documentação oficial do PX4 disponibiliza um guia de hardening em docs.px4.io/main/en/middleware/mavlink.html.

2. Isolar a rede de operação. Nunca conecte o sistema de controle a redes Wi-Fi públicas ou compartilhadas. Prefira redes dedicadas e isoladas para as operações.

3. Minimizar a exposição da interface MAVLink. Configure firewalls no sistema embarcado e desative portas abertas desnecessárias.

4. Manter o PX4 atualizado. O projeto PX4, sob a Dronecode Foundation, foi notificado pela CYVIATION em 3 de abril. Acompanhe o repositório oficial para atualizações de segurança.

Não há confirmação de exploração ativa da falha no Brasil ou em outros países. A CYVIATION informou que continua investigando outras plataformas de controle de voo em busca de vulnerabilidades similares.

Fontes: DroneDJ | GBHackers | Security Online (CVE-2026-1579) | CISA Advisory