CISA determina que agências federais removam dispositivos obsoletos em até um ano

A agência de defesa cibernética dos Estados Unidos, Cybersecurity and Infrastructure Security Agency (CISA), determinou que todas as agências civis federais removam dispositivos de hardware e software em fim de vida útil (end-of-life) no prazo máximo de 12 meses. A medida foi motivada pelo aumento de campanhas de exploração conduzidas por hackers sofisticados, incluindo grupos com vínculos a Estados-nação.

A diretriz operacional, emitida na última quinta-feira, obriga as agências a eliminarem qualquer dispositivo que não conte mais com suporte oficial do fabricante, incluindo atualizações de firmware e correções de segurança. Segundo a diretora interina da CISA, Madhu Gottumukkala, dispositivos sem suporte representam um risco significativo e não devem permanecer conectados a redes corporativas do governo.

De acordo com a CISA, hackers têm explorado de forma crescente dispositivos de borda (edge devices) que não recebem mais atualizações de segurança. Entre os equipamentos citados estão balanceadores de carga, firewalls, roteadores, switches, pontos de acesso sem fio, appliances de segurança, além de dispositivos IoT posicionados na borda da rede. Esses ativos são considerados alvos preferenciais por estarem diretamente expostos à internet e integrados a sistemas críticos de autenticação e gestão de identidades.

Durante coletiva com a imprensa, Nick Andersen, diretor executivo assistente de cibersegurança da CISA, afirmou que os ataques direcionados a esses dispositivos incluem atores com ligações a governos estrangeiros, embora não tenha especificado quais países ou incidentes motivaram diretamente a publicação da diretriz. Segundo ele, a decisão não está relacionada a um único ataque, mas sim ao reconhecimento de que dispositivos obsoletos representam um risco estrutural contínuo.

O cronograma definido pela CISA estabelece que, em até três meses, as agências federais deverão enviar um inventário completo de todos os dispositivos em fim de vida presentes em suas redes, com base em uma lista oficial de equipamentos mantida pela própria agência. Após um ano, todos esses dispositivos deverão ser descomissionados. Em até dois anos, as organizações também precisarão implementar processos contínuos de descoberta e monitoramento para identificar novos ativos que entrem em estado de obsolescência.

Além da remoção, as agências estão obrigadas a atualizar os equipamentos ainda suportados e substituir dispositivos obsoletos por soluções que recebam atualizações de segurança regulares. A CISA informou que criou uma lista específica de dispositivos de borda em fim de serviço (EOS Edge Device List), mas destacou que esse documento não será divulgado publicamente por razões de segurança.

A agência ressaltou ainda que dispositivos de borda continuam sendo um dos principais vetores de acesso inicial utilizados por invasores. Nos últimos anos, grupos ligados a países como China e Rússia exploraram falhas críticas em produtos de fabricantes como Barracuda, Ivanti e Fortinet, utilizando esses equipamentos como ponto de entrada para movimentação lateral em redes governamentais e corporativas.

Em comunicado oficial, a CISA alertou que os Estados Unidos enfrentam campanhas cibernéticas persistentes, frequentemente viabilizadas por dispositivos sem suporte que permanecem conectados ao perímetro das redes. Segundo a agência, essas campanhas são constantes, de grande escala e representam uma ameaça significativa aos ativos federais.