Mais um relatório da Tenable reforça os achados do recém-divulgado Data Breach Investigations Report (DBIR) 2025, da Verizon, que apontou um aumento expressivo na exploração de vulnerabilidades como vetor de acesso inicial em violações de dados — agora responsável por 20% dos incidentes, um crescimento de 34% em relação ao ano anterior, rivalizando com o uso de credenciais comprometidas.
A análise da Tenable Research, que contribuiu com dados de mais de 160 milhões de pontos de telemetria para o DBIR, aprofunda a discussão sobre o tempo alarmante de remediação de falhas críticas em dispositivos de perímetro — o elo frágil que continua atraindo grupos de ataque altamente oportunistas.
Tenable Research: Vulnerabilidades críticas na América Latina levam quase 300 dias para serem corrigidas
De acordo com o Relatório de Investigações de Violações de Dados (DBIR – Data Breach Investigations Report) de 2025 divulgado recentemente pela Verizon, a exploração de vulnerabilidades como vetor de acesso inicial aumentou para 20% das violações, um crescimento de 34% em relação ao ano anterior e agora rivaliza com o principal vetor de acesso inicial (abuso de credenciais).
O crescimento se deve em parte à exploração de vulnerabilidades de Zero Day em VPNs e dispositivos de ponta, áreas onde as soluções tradicionais de detecção e resposta de endpoint (EDR) enfrentam limitações. O DBIR se concentra em 17 CVEs que afetam esses dispositivos de perímetro, que continuam sendo alvos valiosos para invasores.
Para se aprofundar nesse risco, a Tenable Research analisou mais de 160 milhões de pontos de dados de telemetria e contribuiu com dados valiosos sobre as vulnerabilidades mais exploradas para o DBIR da Verizon. Também publicou uma análise complementar aprofundada segmentada por setor e região.
Algumas das principais descobertas da Tenable Research incluem:
Correções Lentas: Vulnerabilidades críticas em alvos de alto valor permanecem sem correção por mais de 100 dias.
- O tempo médio global de remediação para essas 17 CVEs é de 209 dias. Na América Latina, a média é de 203 dias.
- Nas vulnerabilidades CVE-2023-6548 e CVE-2023-6549 da Citrix: Até mesmo os três setores mais rápidos levaram mais de 160 dias para corrigir; O setor mais lento teve uma média de 288 dias. Na América Latina a média é de 196 dias.
- Vulnerabilidades Ivanti CVE-2023-46805 e CVE-2024-21887: Apesar da exploração ativa por meio de execução remota de código (RCE), a correção em alguns setores levou em média até 294 dias.
Correções Rápidas: indústrias podem se mobilizar rapidamente:
- Vulnerabilidade Fortinet CVE-2024-47575 (FortiJump), uma vulnerabilidade de violação de autenticação no FortiManager: Organizações de vários setores resolveram esse bug crítico, em média, entre 2 e 7 dias. Na América Latina a média foi de 8 dias.
- Vulnerabilidade SonicWall CVE-2024-40766: usada por grupos de ransomware para obter acesso inicial, essa vulnerabilidade obteve tempos reduzidos de correção no geral: equipe de engenharia resolveu em apenas 6 dias, enquanto a equipe de consultoria levou 52 dias. Na América Latina a média foi de 31 dias.
Para Scott Caveza, engenheiro de pesquisa sênior da Tenable, o número de vulnerabilidades recém-divulgadas continua a aumentar acentuadamente, dando aos defensores cibernéticos uma lista interminável de tarefas a serem resolvidas. Em geral, as vulnerabilidades mais críticas devem estar no topo da lista, especialmente aquelas que afetam dispositivos de perímetro que atuam como um gateway para o ambiente.
“No caso do Verizon DBIR, das 17 vulnerabilidades avaliadas, cada uma impacta alvos valiosos para invasores e frequentemente representa o ponto de entrada para uma violação. Existem pouquíssimas circunstâncias, se houver, em que deixar um dispositivo de ponta exposto a uma vulnerabilidade crítica seja justificável, dada a função desses dispositivos,” analisa Caveza.
O engenheiro destaca, ainda que, embora 54% das organizações tenham alcançado a correção completa dos 17 CVEs, os dados revelaram que o tempo médio para aplicar patches foi de 209 dias, um número alarmante considerando que o tempo médio de exploração por invasores é de apenas cinco dias.
Sobre a Tenable
A Tenable® é a empresa de Exposure Management, que oferece soluções de gerenciamento de exposição ao risco cibernético para descobrir e eliminar as lacunas de segurança cibernética que desgastam o valor, a reputação e a confiança de nossos clientes. A plataforma empresarial de gerenciamento de exposição com tecnologia de IA da Tenable unifica totalmente a visibilidade da segurança, as informações e a tomada de decisões para a superfície de ataque. Dessa forma, as organizações modernas podem se proteger contra qualquer tipo de ataque cibernético a diferentes ambientes, como a nuvem, a infraestrutura crítica ou da TI, entre outros. Ao proteger as empresas da exposição à segurança, a Tenable reduz o risco de negócio para mais de 44 mil clientes em todo o mundo. Saiba mais em pt-br.tenable.com.
Crypto ID: Informação Estratégica sobre Cibersegurança
Há mais de 10 anos, o Crypto ID conecta tecnologia, regulação e segurança com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões. Conheça a coluna Cibersegurança.
Inteligência editorial que orienta cenários
Desde 2014, o Crypto ID oferece conteúdo aprofundado e confiável sobre tecnologia, segurança e regulação, com foco na análise qualificada. Nosso compromisso é entregar conteúdos que informam, provocam reflexão e sustentam decisões.
