A exploração de vulnerabilidades como vetor inicial de ataques cibernéticos aumentou significativamente na América Latina, segundo o Relatório de Investigações de Violações de Dados (DBIR) 2025, divulgado pela Verizon. O percentual passou para 20% das violações, um crescimento de 34% em relação ao ano anterior, aproximando-se do abuso de credenciais, atualmente o principal vetor de acesso.
Esse aumento está relacionado, em parte, à exploração de vulnerabilidades do tipo Zero Day em VPNs e dispositivos de ponta, onde as soluções tradicionais de detecção e resposta (EDR) apresentam limitações. O DBIR destaca 17 vulnerabilidades críticas (CVEs) que afetam esses dispositivos de perímetro, considerados alvos estratégicos para invasores.
Análise da Tenable Research aponta demora na correção de falhas
Para aprofundar o cenário, a Tenable Research analisou mais de 160 milhões de pontos de telemetria e contribuiu com dados para o DBIR. O estudo, segmentado por setores e regiões, revelou que o tempo médio global para corrigir essas 17 CVEs é de 209 dias, enquanto na América Latina essa média é ligeiramente menor, porém preocupante: 203 dias.
A demora na correção coloca em risco a segurança das organizações, já que a janela média para exploração dessas falhas por invasores é de apenas cinco dias. “Existem pouquíssimas circunstâncias, se houver, em que deixar um dispositivo de ponta exposto a uma vulnerabilidade crítica seja justificável, dada a função desses dispositivos,” alerta Scott Caveza, engenheiro de pesquisa sênior da Tenable.
Setores críticos levam meses para corrigir vulnerabilidades de alto impacto
O relatório destaca casos específicos, como as vulnerabilidades da Citrix CVE-2023-6548 e CVE-2023-6549, que em setores variados levaram mais de 160 dias para serem corrigidas, e o setor mais lento registrou uma média de 288 dias. Na América Latina, a média ficou em 196 dias.
Outro exemplo preocupante são as falhas da Ivanti CVE-2023-46805 e CVE-2024-21887, exploradas ativamente por execução remota de código (RCE). Alguns setores demoraram até 294 dias para aplicar as correções.
Resposta rápida em algumas vulnerabilidades
Nem todas as correções são lentas. Vulnerabilidades como a Fortinet CVE-2024-47575, conhecida como FortiJump, foram tratadas com agilidade, com organizações corrigindo o problema em 2 a 7 dias, e na América Latina a média foi de 8 dias.
A falha na SonicWall CVE-2024-40766, utilizada por grupos de ransomware para acesso inicial, também teve tempos reduzidos de correção: 6 dias para equipes de engenharia, 52 dias para consultoria, e 31 dias em média na América Latina.
A urgência da priorização na segurança dos dispositivos de perímetro
Scott Caveza destaca que o número crescente de vulnerabilidades exige priorização das mais críticas, especialmente aquelas que afetam dispositivos de perímetro, que funcionam como gateways para redes corporativas. “Das 17 vulnerabilidades avaliadas, cada uma impacta alvos valiosos para invasores e frequentemente representa o ponto de entrada para uma violação,” explica.
Embora 54% das organizações tenham aplicado patches completos, o tempo médio de remediação ainda representa um risco elevado para a segurança cibernética regional.
