A Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. EUA (CISA) adicionou recentemente oito vulnerabilidades ao seu catálogo Known Exploited Vulnerabilities (KEV), um sinal claro de que há falhas que já estão sendo explorados ou para os que existe evidência de abuso em ambientes reais. Esta inclusão obriga gestores e responsáveis pela segurança a priorizar adesivos e mitigações: quando CISA marca um problema como “com exploração conhecida”, o risco deixa de ser teórico e passa a ser urgente.
Entre as vulnerabilidades adicionadas há problemas que afetam soluções muito usadas em empresas, desde impressoras e serviços de colaboração até plataformas de gestão e orquestração de redes. Incluem-se, por exemplo, uma falha de autenticação no PaperCut NG/MF (CVE‐2023‐27351) que tem sido historicamente aproveitada em campanhas de ransomware, e várias fraquezas em JetBrains TeamCity e Kentico Xperience que permitem manipulações de rotas ou ações administrativas limitadas. Também estão incluídas três falhas na Cisco Catalyst SD-WAN Manager que, em conjunto, podem permitir desde a sobreposição de ficheiros no sistema até à exposição de credenciais ou informações sensíveis.
A presença de um CVE com pontuação máxima (10.0) relacionado com Quest KACE Systems Management Appliance (CVE-2025-32975) merece especial atenção: uma falha de autenticação que permitiria a um atacante suplantar usuários sem credenciais válidas representa uma via direta para comprometer ambientes gerenciados. Na verdade, fornecedores de detecção e resposta documentaram tentativas de exploração contra appliance SMA sem adesivo, o que sublinha a necessidade de rever e aplicar atualizações quanto antes. Você pode consultar informações gerais sobre advisories de fabricantes nos portais oficiais como o de Quest: support.quest.com.
Em certos casos há já atribuições e rastros sobre campanhas passadas. A exploração da falha em PaperCut (CVE‐2023‐27351) foi ligada em 2023 a um ator chamado Lace Tempest, relacionado com a distribuição de famílias de ransomware como Cl0p e LockBit; isto demonstra como uma vulnerabilidade em um serviço aparentemente periférico — como a gestão de impressão — pode tornar-se a porta de entrada a incidentes de alto impacto. Para entender melhor o contexto de tais campanhas e sua sofisticação, é útil revisar análise e seguimento da atividade por assinaturas de cibersegurança e meios especializados como BleepingComputer.
No que diz respeito à Cisco, a empresa confirmou que tinha um registo de exploração em ambientes reais de pelo menos duas das falhas relatadas no gestor SD-WAN (CVE‐2026‐20122 e CVE‐2026-20128), enquanto para outra (CVE‐2026‐20133) ainda não havia um reconhecimento explícito de abuso generalizado no momento da notificação da CISA. Dado que os três defeitos afetam a mesma plataforma e permitem diferentes formas de elevação de privilégios e informações sensíveis, a recomendação é tratá-los de forma conjunta: aplicar adesivos oficiais e revisar configurações, credenciais e acessos. A página geral do advisories da Cisco é um bom ponto de partida: cisco.com/security-advisories.
Além dos adesivos, as organizações devem reforçar controlos complementares: segmentação de redes para limitar o alcance de exploração, auditoria de acessos e privilégios para detectar contas anómalas, e monitorização de integridade em sistemas críticos para avisar sobre a sobreposição suspeita. Não existe uma única “cura” para estes problemas; trata-se de combinar atualizações, controles de detecção e boas práticas operacionais para reduzir o risco enquanto as correcções são implementadas.
As datas fixadas pela CISA para a correção destas falhas são perentórias para as agências federais civis: as três vulnerabilidades da Cisco devem estar remediadas para 23 de abril de 2026, e o resto para 4 de maio de 2026. Embora esses prazos apliquem diretamente a dependências do governo federal, são um indicador útil para o setor privado sobre a prioridade que deve ser dada: quando o regulador marca um calendário estrito, é porque a ameaça é real e próxima.
Também não é conveniente perder de vista a cadeia mais ampla: quando uma vulnerabilidade num produto gerido ou numa appliance é explorada — como observou Arctic Wolf em campanhas contra SMA sem adesivo — o impacto pode propagar-se através de atualizações mal verificadas, sistemas de gestão e ferramentas de adesivo. Manter inventários detalhados de ativos e verificar rapidamente quais versões estão em uso é tão crítico quanto aplicar os adesivos. Para seguir análises de campanhas e detecções, blogs de provedores de segurança e resposta podem fornecer informações precoces sobre táticas e detecções: arcticwolf.com/blog.
Se você é responsável pela segurança em uma empresa, age nesta ordem: identifica se você está exposto, avalia o risco em função do uso e do acesso aos equipamentos afetados, aplica as atualizações oficiais dos fornecedores e, entretanto, endurece controles de acesso e monitoramento. Mantenha também canais de comunicação abertos com seus fornecedores e revisa as páginas oficiais de advisories de cada fabricante para confirmar as instruções específicas de mitigação; sites centrais de referência são os portais de segurança dos fabricantes e a própria lista de CISA: Known Exploited Vulnerabilities Catalog.
Em suma, a entrada destas oito vulnerabilidades na KEV não é uma simples atualização de registro: é um lembrete de que o panorama de ameaças continua ativo e que a janela entre a divulgação de uma falha e sua exploração pode ser muito curta. A combinação de patches, visibilidade e controles básicos de ciberhigiene é a melhor defesa contra essas ameaças, e a prioridade deve ser real e medida em dias, não em semanas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...