CISA exige substituição de edge devices obsoletos

A Cybersecurity and Infrastructure Security Agency (CISA) dos Estados Unidos emitiu uma nova diretiva operacional vinculativa que obriga as agências federais a identificar e remover edge devices de rede que já não recebem atualizações de segurança dos fabricantes.

A agência alerta que equipamentos em fim de vida, como routers, firewalls e switches de rede, representam um risco elevado para os sistemas federais, uma vez que ficam expostos a vulnerabilidades recentemente descobertas e a campanhas de exploração ativa. Segundo a CISA, existe evidência de ataques em larga escala conduzidos por grupos de ameaça avançados que visam especificamente este tipo de dispositivos.

A Binding Operational Directive 26-02 (BOD 26-02) determina a desativação de hardware e software em fim de suporte (end-of-support – EOS) presentes nas redes governamentais, com o objetivo de mitigar riscos de exploração. A diretiva exige ação imediata nos casos em que existam atualizações disponíveis para dispositivos ainda suportados pelos fabricantes, mas que estejam a operar software EOS.

No prazo de três meses, as agências federais devem apresentar um inventário completo de todos os dispositivos incluídos na lista de end-of-support da CISA. Para equipamentos que tenham atingido o fim de suporte antes da emissão da diretiva, o prazo de desativação é de 12 meses. No máximo até 18 meses, todos os edge devices identificados deverão ser substituídos por equipamento com suporte ativo e atualizações de segurança regulares.

A BOD 26-02 obriga ainda à implementação, num horizonte de 24 meses, de processos contínuos de descoberta e inventariação de edge devices, permitindo identificar antecipadamente equipamentos e software próximos do fim de suporte.

Embora a diretiva se aplique apenas às agências do Federal Civilian Executive Branch (FCEB), a CISA recomenda que todas as organizações responsáveis por infraestruturas de rede adotem práticas semelhantes, face ao aumento de ataques direcionados a edge devices expostos.

Em junho de 2023, a CISA já tinha emitido a Binding Operational Directive 23-02, focada na correção de interfaces de gestão expostas ou mal configuradas em dispositivos de rede. No mesmo período, lançou também o Ransomware Vulnerability Warning Pilot, um programa destinado a alertar organizações de infraestruturas críticas sobre dispositivos vulneráveis a ataques ransomware.