A agência de cibersegurança americana CISA voltou a ligar os alarmes esta semana ao incluir três falhas graves no seu catálogo Known Exploited Vulnerabilities (KEV), um registro que coleta vulnerabilidades com evidência de exploração ativa. Estas anotações não são meras recomendações: quando a CISA move uma entrada para o KEV geralmente acarretar obrigações imediatas para as agências federais e, na prática, marcam prioridades para as equipes de segurança em todo o mundo. O alerta oficial está disponível no site da CISA ( ver comunicado).
As três falhas adicionadas são diferentes em natureza, mas compartilham algo inquietante: todas permitem que um atacante passe barreiras normais e atinja recursos ou execute código com um impacto considerável. A primeira, registrada como CVE-2021-22054(CVSS 7.5), é uma vulnerabilidade SSRF em Omnissa Workspace One UEM – a plataforma que antes era VMware Workspace One UEM. Em termos simples, um SSRF (Server-Side Request Forgery) permite a um atacante induzir o servidor a fazer pedidos a destinos que normalmente não seriam acessíveis a partir do exterior, com a possibilidade de aceder a dados sensíveis ou a recursos internos. Pesquisas técnicas, como a publicada por Assetnote, descrevem como esta falha pode ser explorada sem autenticação e como se encaixa em campanhas mais amplas.
A segunda vulnerabilidade, CVE-2025-26399(CVSS 9.8) afeta o componente AjaxProxy de SolarWinds Web Help Desk. Trata-se de uma deserialização de dados não confiáveis, um tipo de falha que permite frequentemente a um atacante enviar dados manipulados que, ao serializar no servidor, provocam a execução de comandos. CISA afirma que este vetor foi usado para obter acesso inicial a ambientes objetivos, uma atividade que, segundo relatórios coletados pela agência, está ligada a operações do grupo ransomware conhecido como Warlock.
A terceira entrada é CVE-2026-1603(CVSS 8.6), uma vulnerabilidade em Ivanti Endpoint Manager que permite contornar a autenticação através de rotas ou canais alternativos e, potencialmente, extrair credenciais armazenadas. Por agora, não foram publicados detalhes públicos sólidos sobre técnicas de exploração em massa para esta vulnerabilidade; Ivanti mantém um boletim de segurança sobre a EPM que, segundo as informações disponíveis, ainda não reflecte plenamente o seu estado de exploração.
A decisão de incluir essas falhas no KEV não é puramente descritiva: vem acompanhada de prazos concretos para a ação. CISA exigiu às agências federais do Executivo Civil que corrijam a falha do SolarWinds Web Help Desk antes de 12 de março de 2026, e que apliquem as remediações restantes - a SSRF em Workspace One e a falha em Ivanti - antes de 23 de março de 2026. Estas datas sublinham a urgência: quando uma vulnerabilidade é explorada na natureza, a janela de exposição pode fechar muito rapidamente para quem adesivo e abrir-se perigosamente para quem não o faz.
Por que importa isto fora do perímetro federal? Porque muitas das tecnologias afectadas estão presentes em empresas e fornecedores, e os padrões de ataque observados são frequentemente replicados no sector privado. A combinação de SSRF não autenticada, falhas de deserialização e bypass de autenticação cria uma cadeia de riscos que pode levar desde a filtragem de segredos internos até a execução remota e a posterior implantação de ransomware. CISA resume-se ao destacar que este tipo de vulnerabilidades são vetores comuns para atores maliciosos e representam um perigo real para a “empresa federal”, mas a lógica aplica igual a qualquer organização com exposição similar.
De uma perspectiva prática, a resposta imediata passa por aplicar adesivos oficiais e seguir as recomendações do fornecedor. Para o Workspace One UEM, existe documentação técnica e avisos de segurança publicados pelo fabricante e por investigadores que demonstraram técnicas de exploração; os guias de mitigação incluem frequentemente a atualização para versões adesivos e a revisão de configurações que não deveriam expor interfaces de administração ao exterior. No caso do SolarWinds Web Help Desk, dado o alto CVSS e a confirmação de exploração ativa, a ação rápida é especialmente crítica. E para Ivanti, além de monitorar o boletim oficial, convém limitar o acesso ao serviço de redes não confiáveis e auditar o uso de credenciais armazenadas.
Para além do adesivo, as organizações devem reforçar controlos compensatórios: segmentação de rede para limitar a capacidade de um serviço comprometido de pivotar para outros ativos, registros e telemetria que permitam detectar comportamento incomum ligado a SSRF ou execução remota, e planos de resposta que priorizem ativos expostos. A experiência acumulada mostra que em muitas intrusões iniciais o atacante aproveita uma única falha pública para instalar portas traseiras ou mover lateralmente; interromper esse fluxo reduz o dano potencial.
Se você quiser consultar as fontes primárias sobre estas entradas e a avaliação da CISA, você pode rever o próprio alerta da agência em seu site, catálogo KEV em esta página, e as peças CVE correspondentes: CVE-2021-22054, CVE-2025-26399 e CVE-2026-1603. Para aprofundar a investigação técnica sobre a SSRF no Workspace One UEM, o trabalho de Assetnote É uma leitura recomendável, e as notas do fornecedor sobre adesivos e mitigações estão disponíveis em seus respectivos canais.
A conclusão para qualquer responsável pela segurança é simples e pouco confortável: quando uma vulnerabilidade aparece no KEV, não é um assunto teórico. Requer priorizar adesivos, revisar acessos expostos e preparar a detecção. A ameaça move-se rapidamente e, se não responder com a mesma velocidade, o impacto pode ser severo.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...