A correção de vulnerabilidades críticas na América Latina pode demorar até quase 300 dias para acontecer, de acordo com levantamento feito pela Tenable Research, divulgado recentemente. A lentidão gera preocupação em meio a um cenário de ataques cibernéticos cada vez mais ágeis.
Baseada em informações divulgadas pelo Relatório de Violações de Dados (DBIR) de 2025 da Verizon, a análise da empresa de cibersegurança também aponta que a exploração de vulnerabilidades como vetor de acesso inicial cresceu para 20% das violações. Isso representa um aumento de 34% em relação a 2024, colocando o método atrás apenas do abuso de credenciais.
Lentidão nas correções
Na pesquisa, foram avaliadas 17 vulnerabilidades críticas em alvos de alto valor para invasores. Os especialistas da Tenable Research descobriram que:
- O aumento na exploração de vulnerabilidades se deve, em parte, às falhas de dia zero em VPNs e dispositivos de ponta;
- Em média, os alvos demoraram 209 dias para lançar correções, globalmente, com a média da América Latina ficando em 203 dias;
- Nas vulnerabilidades CVE-2023-6548 e CVE-2023-6549 da Citrix, os setores mais rápidos gastaram mais de 160 dias para corrigir e os mais lentos chegaram a 288 dias, com a América Latina gastando 196 dias, em média;
- As vulnerabilidades CVE-2023-46805 da Ivanti e CVE-2024-21887 demoraram até 294 dias para serem corrigidas, mesmo com a exploração acontecendo por meio da execução remota de código.
O estudo também destaca que, de uma maneira geral, as falhas críticas permanecem ao menos 100 dias sem qualquer solução, o que pode ser um grande risco para todos os envolvidos. Elas deveriam ser prioridade, especialmente quando afetam dispositivos de entrada para ambientes protegidos.
As Vulnerabilidades e Exposições Comuns (CVEs) são um sistema que identifica e cataloga as brechas de segurança publicamente conhecidas em software e hardware. Por meio desta identificação, as empresas afetadas conseguem divulgar de maneira mais organizada as soluções para os problemas registrados.
A importância de agir rapidamente
Conforme o engenheiro de pesquisa sênior da Tenable, Scott Caveza, 54% das empresas corrigiram completamente as 17 vulnerabilidades críticas analisadas, mas gastaram uma média de 209 dias para solucionar os problemas. Ele classifica essa demora como alarmante, uma vez que invasores gastam apenas cinco dias, em média, para explorar as brechas.
“No caso do Verizon DBIR, das 17 vulnerabilidades avaliadas, cada uma impacta alvos valiosos para invasores e frequentemente representa o ponto de entrada para uma violação. Existem pouquíssimas circunstâncias, se houver, em que deixar um dispositivo de ponta exposto a uma vulnerabilidade crítica seja justificável, dada a função desses dispositivos”, afirmou, em comunicado.
Em situações específicas, as organizações conseguiram agir rapidamente, como no caso envolvendo a CVE-2024-47575, vulnerabilidade de violação no FortiManager. O bug crítico foi solucionado entre dois e sete dias após a descoberta, dependendo da região — a média foi de oito dias na América Latina.
Já na vulnerabilidade CVE-2024-40766, explorada por grupos de ransomware, a correção da equipe de engenharia surgiu em apenas seis dias, enquanto o time de consultoria gastou 52 dias para lançar o patch de correção. Na América Latina, a média foi de 31 dias.
Gostou do conteúdo? Mantenha-se atualizado no TecMundo e interaja com a gente nas nossas redes sociais.
Redirecionando…