A Cybersecurity and Infrastructure Security Agency (CISA), agência de defesa cibernética dos Estados Unidos, emitiu uma Binding Operational Directive obrigando todas as agências civis federais a remover ou substituir dispositivos de rede que já atingiram o fim de suporte (end-of-life) dentro de 12 meses — após constatar que esses equipamentos vulneráveis estão sendo amplamente explorados por hackers em campanhas persistentes de ataque.
De acordo com o comunicado oficial, os dispositivos afetados incluem balanceadores de carga, firewalls, roteadores, switches, pontos de acesso sem fio, aparelhos de segurança de rede e dispositivos IoT, que não recebem mais atualizações de segurança dos fabricantes. Esses aparelhos, por estarem na fronteira das redes, são especialmente visados por agentes maliciosos, oferecendo pontos de entrada para comprometer sistemas governamentais.
Diretivas e prazos
Segundo a CISA, as agências federais terão os seguintes prazos para cumprir a nova ordem:
- 3 meses: inventariar todos os dispositivos que constam na lista de fim de suporte e reportar à CISA.
- 12 meses: descomissionar e substituir todos os dispositivos já sem suporte por equipamentos que recebem atualizações de firmware e segurança.
- 18 meses a 24 meses: estabelecer processos de gestão contínua do ciclo de vida de dispositivos de borda para evitar que equipamentos obsoletos permaneçam nas redes.
A diretiva faz parte de um esforço mais amplo para reduzir o risco de ataques cibernéticos em sistemas críticos do governo, após campanhas de exploração de dispositivos sem suporte que comprometeram redes públicas e privadas por todo o mundo. Dispositivos antigos são frequentemente explorados por atores com ligações a grupos patrocinados por estados, que utilizam falhas conhecidas para ganhar acesso e persistência em redes federais e corporativas.
Riscos de segurança e impacto
A CISA destacou que equipamentos que não recebem mais suporte de seus fabricantes — ou seja, que estão em fim de vida — não devem permanecer em redes corporativas ou governamentais, pois representam um risco crítico de segurança. A remoção desses dispositivos é vista como prática fundamental de “higiene cibernética”, essenciais para enfrentar ameaças modernas e proteger ativos digitais críticos.
A agência afirmou que irá auxiliar as organizações no processo e acompanhar o progresso das agências federais para garantir conformidade com os prazos estipulados, reforçando que a medida não foi motivada por um incidente específico, mas por um padrão também reforçado por relatórios públicos de campanhas de ataque que exploram dispositivos obsoletos.
Fonte: The Record
