A Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA (CISA) lançou uma ordem obrigatória que obriga as agências federais a identificar e retirar das suas redes os dispositivos de borda – como roteadores, corta-fogos e switches – que já não recebem atualizações de segurança por parte dos seus fabricantes. Com essa medida, a administração busca atajar um risco que, segundo CISA, facilita a exploração sistemática por atores avançados e deixa sistemas críticos expostos a vulnerabilidades recém-descobertas.
O problema fundamental é simples e urgente: Quando uma equipe ou seu software entra em sua etapa de “fin de suporte”, deixa de receber adesivos. Isso torna essa equipe em um alvo permanente para atacantes que buscam vulnerabilidades sem corrigir. A nova directiva, denominada Binding Operational Directive 26-02, obriga as agências federais a agir com prazos concretos: inventariar dispositivos numa lista de fim de suporte em poucos meses, retirar imediatamente aqueles para os quais existem atualizações disponíveis, e completar a substituição de todo o equipamento fora de suporte num prazo mais amplo de meses. Você pode ler o texto da directiva na página oficial da CISA aqui.
A norma divide as ações em fases: primeiro, uma identificação rápida e priorizada de dispositivos vulneráveis; depois, a desinstalação ou atualização imediata de equipamentos onde o fabricante ainda oferece adesivos; a médio prazo, a aposentadoria de hardware que já estava fora de suporte antes da ordem; e finalmente, a implantação de processos contínuos para descobrir e monitorar o inventário da infraestrutura de borda. Em paralelo, CISA encoraja operadores e defensores de redes fora do âmbito federal a aplicar as mesmas recomendações consultando uma folha de informação publicada pela equipe de IC3 disponível aqui.
Por que um foco nos dispositivos de borda? Porque estes aparelhos controlam o fluxo de tráfego entre redes internas e externas; um roteador ou firewall vulnerável pode ser a porta de entrada para uma rede inteira. Além disso, muitas vezes são gerenciados com menos rigor que servidores ou estações de trabalho, instalam-se em ambientes heterogêneos e por vezes permanecem anos sem revisões. Essa combinação transforma-os num vetor atrativo para campanhas automatizadas de exploração e para atores que buscam pivotar para ativos mais valiosos dentro de uma organização.
O mandato é consequência de incidentes e tendências observadas pela própria CISA e pela comunidade de segurança: exploração ampla de dispositivos em fim de vida, ataques direcionados que usam vulnerabilidades sem adesivos ou credenciais fracos, e a existência de campanhas persistentes que aproveitam essas fraquezas para introduzir ransomware, portas traseiras ou roubar informações. A agência tem vindo a emitir directivas semelhantes em anos recentes; por exemplo, em 2023 publicou outra ordem destinada a fechar interfaces de gestão expostas na Internet — um problema relacionado — e em paralelo lançou programas-piloto para alertar organizações críticas sobre riscos de ransomware em seus dispositivos de rede.
O que as organizações podem fazer hoje, mesmo que não sejam agências federais? A primeira medida é simples em conceito, mas exige trabalho: saber o que há conectado à rede. Manter um inventário atualizado e automatizado de equipamentos e versões de software/firmware é a base de qualquer esforço de segurança. A seguir, recomenda-se a segregação do tráfego, a aplicação de controlos de acesso rigorosos para interfaces de gestão, a monitorização com a detecção de intrusões e a confiança em medidas compensatórias (como listas brancas, inspeção profunda de pacotes ou segmentação) enquanto são substituídos equipamentos críticos. CISA e outros organismos oferecem guias e folhas técnicas com medidas concretas; a directiva e a folha de informação do IC3 são bons pontos de partida, e o Marco de Cibersegurança do NIST pode ajudar a priorizar riscos e controles ( NIST Cybersecurity Framework).
Há, no entanto, uma dimensão prática que costuma complicar a execução: custos e gestão do ciclo de vida. As organizações enfrentam orçamentos limitados, contratos de fornecedores e interoperabilidade de sistemas existentes. Por isso, a CISA estrutura a directiva com prazos escalonados: permite priorizar activos mais críticos e aplicar soluções temporárias nos menos urgentes, sempre com a obrigação de chegar a uma infraestrutura suportada. Ainda assim, a agência sublinha que manter equipamentos fora de suporte já não é uma opção aceitável em termos de risco.
A mensagem implícita para o setor privado e para os administradores de TI é clara: Embora a ordem seja obrigatória apenas para certas agências, ninguém deve confiar em dispositivos que não recebem adesivos. Os defensores das redes devem assumir que os atacantes já estão procurando essas portas traseiras, e agir em conformidade. Para aqueles que querem uma cobertura mediática e análise do tema, os meios especializados acompanharam de perto o anúncio; por exemplo, você pode encontrar uma reportagem técnica sobre a ordem e suas implicações na mídia de segurança como BleepingComputer aqui.
No final, esta directiva é uma chamada de atenção: a superfície de ataque não é abstrata, a compõem equipamentos físicos e virtuais com datas de validade. Identificar, corrigir ou substituir, e manter processos contínuos de descoberta — é o caminho para reduzir riscos evitáveis—. As organizações que tomarem estas medidas estarão agora melhor posicionadas para resistir às campanhas de exploração que, segundo a CISA, já estão se mobilizando contra dispositivos de borda em todo o mundo.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...