CISA alerta para aumento de vulnerabilidades exploradas em ambientes reais

A Agência de Cibersegurança e Segurança das Infraestruturas dos Estados Unidos (CISA) expandiu significativamente o seu Known Exploited Vulnerabilities Catalog (KEV), que passou a incluir 1.484 vulnerabilidades ativamente exploradas até dezembro de 2025. O número representa um marco relevante nos esforços do governo norte-americano para mitigar falhas de segurança exploradas no mundo real.

Lançado em novembro de 2021 com 311 vulnerabilidades, o catálogo KEV tem crescido de forma consistente ao longo dos últimos quatro anos. Só em 2025, foram adicionadas 245 novas falhas, o que corresponde a um aumento de 20% face ao ano anterior e a um ritmo superior ao registado em 2023 e 2024. A evolução reflete um cenário de ameaças cada vez mais ativo e sofisticado.

O catálogo KEV é um instrumento central da Binding Operational Directive 22-01, que obriga as agências federais civis dos EUA a corrigirem vulnerabilidades listadas dentro de prazos definidos. As falhas com CVE atribuído a partir de 2021 devem ser mitigadas no prazo de duas semanas após a inclusão, enquanto vulnerabilidades mais antigas têm um prazo máximo de seis meses.

Ao contrário de abordagens baseadas apenas em pontuações CVSS, o catálogo KEV foca-se exclusivamente em vulnerabilidades para as quais existe evidência comprovada de exploração ativa. Cada entrada inclui informação detalhada sobre o produto afetado, descrição da falha, ações de mitigação exigidas e prazos de correção.

Um dos dados mais preocupantes do relatório de 2025 é o peso das vulnerabilidades exploradas em campanhas de ransomware. Cerca de 304 falhas do catálogo, o equivalente a 20,5%, foram associadas a grupos de ransomware. Só em 2025, 24 novas vulnerabilidades adicionadas foram confirmadas como exploradas por este tipo de ameaças, incluindo falhas críticas em produtos da Oracle e do ecossistema React.

A Microsoft lidera a lista de fornecedores mais afetados, com 350 vulnerabilidades no catálogo KEV, quase um quarto do total. Seguem-se a Apple, Cisco, Adobe e Google. Em particular, a Microsoft soma cem vulnerabilidades associadas a ransomware, refletindo a ampla adoção das suas plataformas em ambientes empresariais.

As vulnerabilidades mais comuns incluem validação incorreta de inputs, injeção de comandos no sistema operativo e corrupção de memória, categorias que continuam a ser exploradas apesar de décadas de investigação em segurança. Falhas associadas à desserialização de dados não confiáveis também registaram um aumento relevante em 2025.

O crescimento do catálogo KEV em 2025 incluiu ainda um número elevado de vulnerabilidades antigas, algumas com mais de uma década, demonstrando que falhas antigas continuam a ser reutilizadas por atacantes. A vulnerabilidade mais antiga adicionada este ano data de 2007, enquanto o registo mais antigo do catálogo remonta a 2002.

Entre as adições de maior impacto em 2025 destacam-se falhas em produtos amplamente utilizados, como o Oracle E-Business Suite, Microsoft Windows, Cisco IOS e Meta React Server Components, algumas das quais exploradas poucas semanas após a divulgação pública.

A CISA sublinha que, embora as obrigações formais do catálogo se apliquem às agências federais, todas as organizações são fortemente incentivadas a utilizar o KEV como referência para priorização de correções. Ao focar-se em falhas efetivamente exploradas, o catálogo oferece uma base prática para reduzir a superfície de ataque.

Com 1.484 vulnerabilidades na lista e um ritmo de crescimento acelerado, o catálogo KEV tornou-se uma das principais fontes de inteligência acionável para equipas de segurança. A CISA defende que a correção atempada destas falhas, aliada a uma gestão rigorosa de patches e ativos, é essencial para reforçar a resiliência face às ciberameaças mais relevantes de 2025 e dos anos seguintes.