top of page

CISA inclui novas falhas críticas exploradas ativamente em softwares da Fortinet, Microsoft e Adobe


A Cybersecurity and Infrastructure Security Agency (CISA), agência de segurança cibernética dos Estados Unidos, adicionou recentemente seis vulnerabilidades ao seu catálogo de Known Exploited Vulnerabilities (KEV) — lista que reúne falhas já exploradas por hackers em ataques reais. A inclusão indica um alto nível de risco, exigindo resposta imediata de organizações que utilizam os softwares afetados.


As falhas impactam produtos amplamente utilizados de empresas como Fortinet, Microsoft e Adobe, abrangendo desde soluções corporativas até aplicações presentes no dia a dia de usuários e empresas.


As vulnerabilidades críticas adicionadas ao KEV

Entre as falhas listadas, destaca-se a CVE-2026-21643, que afeta o FortiClient EMS da Fortinet. Trata-se de uma vulnerabilidade de injeção SQL (SQL Injection) com pontuação crítica (CVSS 9.1), que permite a um hacker não autenticado executar comandos arbitrários no sistema por meio de requisições HTTP maliciosas. Esse tipo de falha pode comprometer completamente o ambiente, permitindo acesso a dados sensíveis e controle do sistema.


Outro ponto crítico envolve softwares amplamente utilizados:

  • CVE-2020-9715: vulnerabilidade do tipo use-after-free no Adobe Acrobat Reader, permitindo execução remota de código ao abrir arquivos maliciosos

  • CVE-2023-36424: falha no driver do Windows (Common Log File System) que possibilita elevação de privilégios

  • CVE-2023-21529: vulnerabilidade no Microsoft Exchange Server que permite execução remota de código após autenticação

  • CVE-2025-60710: falha no Host Process do Windows que pode ser explorada para elevação de privilégios locais

  • CVE-2012-1854: vulnerabilidade antiga no Microsoft Visual Basic for Applications (VBA), ainda explorada para execução remota de código


Cadeia de ataque: como essas falhas são exploradas

O uso dessas vulnerabilidades segue um padrão comum observado em campanhas modernas:

  1. Acesso inicial

    Hackers exploram falhas expostas à internet, como a do FortiClient EMS ou Exchange, para obter acesso inicial sem credenciais ou com acesso limitado.

  2. Execução remota de código (RCE)

    Após a exploração, o invasor executa comandos no sistema comprometido, instalando backdoors ou ferramentas de controle remoto.

  3. Escalada de privilégios

    Vulnerabilidades no Windows são utilizadas para elevar privilégios e assumir controle total da máquina.

  4. Movimentação lateral e persistência

    O acesso inicial é expandido para outros sistemas da rede, garantindo persistência e ampliando o impacto do ataque.

  5. Carga maliciosa final

    Em muitos casos, o objetivo final é a implantação de ransomware, exfiltração de dados ou espionagem.


Esse tipo de encadeamento torna ataques mais difíceis de detectar, já que diferentes falhas são utilizadas em conjunto.


Exploração ativa e campanhas recentes

A inclusão da vulnerabilidade da Fortinet no KEV ocorreu após a identificação de tentativas reais de exploração desde março de 2026. Esse tipo de evidência é um dos principais critérios da CISA para classificar falhas como críticas no cenário atual.


Outro destaque envolve a atuação de um grupo identificado como Storm-1175, que tem explorado a falha no Microsoft Exchange (CVE-2023-21529) para distribuir o ransomware Medusa. Esse tipo de operação reforça a ligação direta entre vulnerabilidades conhecidas e campanhas de monetização via extorsão.


Já a vulnerabilidade no VBA, apesar de ter sido descoberta em 2012, continua sendo explorada em ataques direcionados — um exemplo claro de como falhas antigas permanecem relevantes quando não são devidamente corrigidas.


Impacto e resposta obrigatória

Diante da confirmação de exploração ativa, a CISA determinou que todas as agências federais dos Estados Unidos devem aplicar correções até 27 de abril de 2026.


Embora a exigência seja direcionada a órgãos governamentais, o alerta se estende ao setor privado. Empresas que utilizam essas tecnologias devem tratar a atualização como prioridade máxima, especialmente em ambientes expostos à internet.


A recomendação reforça uma tendência clara: o tempo entre a descoberta de uma vulnerabilidade e sua exploração ativa está cada vez menor, reduzindo drasticamente a janela de resposta das organizações.


Tendência: exploração contínua de falhas conhecidas

O crescimento do catálogo KEV reflete uma mudança no comportamento dos hackers. Em vez de depender exclusivamente de vulnerabilidades zero-day, muitos grupos estão focando em falhas já conhecidas — especialmente aquelas que ainda não foram corrigidas em larga escala.


Essa abordagem é altamente eficiente: permite ataques em escala, com menor custo técnico e maior previsibilidade de sucesso.


Além disso, a reutilização de falhas antigas, como no caso do VBA, mostra que a gestão de patches continua sendo um dos maiores desafios de segurança nas organizações.

 
 
300x250.png
Cópia de Cyber Security Brazil_edited.jpg

Cyber Security Brazil desde 2021, atuamos como referência nacional em segurança digital, oferecendo informação confiável, conteúdo especializado e fortalecendo o ecossistema de cibersegurança no Brasil.

Institucional

contato@cybersecbrazil.com.br

(11)97240-7838

INSCREVA SEU EMAIL PARA RECEBER

ATUALIZAÇÕES, POSTS E NOVIDADES

  • RSS
  • Instagram
  • LinkedIn

© 2025 Todos os direitos reservados a Cyber Security Brazil

bottom of page