CISA impõe prazo de 3 dias para correção de vulnerabilidade crítica no Ivanti Sentry
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma diretriz mandando agências federais corrigirem uma vulnerabilidade crítica de execução remota de código no Ivanti Sentry em até 72 horas. Esta é a primeira aplicação da nova diretiva operacional 26-04 da CISA, que prioriza o tempo de resposta com base no risco, não apenas na severidade.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma diretriz operacional vinculativa que exige que as agências federais corrijam uma vulnerabilidade crítica em produtos Ivanti Sentry em um prazo de apenas três dias. Esta medida, anunciada em 12 de junho de 2026, representa a primeira aplicação da nova Diretiva Operacional Vinculativa (BOD) 26-04 da CISA, que muda o foco da resposta a vulnerabilidades de um modelo baseado apenas na severidade para um modelo baseado no risco e na urgência de exploração.
A vulnerabilidade em questão, rastreada como CVE-2026-10520, é uma falha de injeção de comando de sistema operacional (OS command injection) no Ivanti Sentry, um appliance de gateway móvel seguro. A falha possui uma pontuação CVSS máxima de 10.0 e está sendo ativamente explorada por atacantes. A CISA alertou que os atacantes começaram a instalar backdoors em gateways Sentry expostos à internet dentro de 40 horas após a publicação de um exploit de prova de conceito.
O que mudou na prática
A CISA ordenou que todas as agências do Poder Executivo Federal Civil dos EUA apliquem o patch para o CVE-2026-10520 até domingo, 14 de junho de 2026. A nova BOD 26-04 abandona o modelo antigo de cronograma fixo para correção de vulnerabilidades, adotando uma abordagem dinâmica baseada em quatro variáveis operacionais: se o ativo está exposto à internet, se o exploit é automatizável, se o atacante obtém controle total do sistema e se a exploração já foi confirmada em campo.
Sob esta nova diretriz, não há período de carência. Agências que não conseguirem cumprir o prazo devem apresentar uma justificativa formal para a exceção. A CISA enfatiza que, se a correção não for aplicada, a probabilidade de comprometimento é alta, dada a exploração ativa da falha.
Impacto e por que importa
Para empresas brasileiras que utilizam o Ivanti Sentry, esta notícia é um alerta crítico. Embora não estejam diretamente sujeitas às diretrizes da CISA, a exploração ativa e a alta severidade da vulnerabilidade significam um risco imediato e significativo. Organizações que não aplicarem o patch estão vulneráveis a ataques que podem resultar em execução de código arbitrário com privilégios de root, levando a comprometimento total do sistema e vazamento de dados.
Além do risco direto, a postura da CISA sinaliza uma tendência global crescente: a expectativa de respostas de segurança extremamente rápidas para vulnerabilidades críticas que estão sendo exploradas. Reguladores e autoridades de cibersegurança em outros países, incluindo o Brasil (via ANPD e outras instituições), podem adotar abordagens semelhantes no futuro, exigindo que as empresas tenham processos robustos de gestão de vulnerabilidades e patching. A capacidade de identificar e corrigir falhas em poucas horas, e não dias ou semanas, se tornará um diferencial competitivo e uma exigência regulatória.
Empresas que dependem de gateways seguros para acesso móvel e remoto devem revisar urgentemente sua infraestrutura para identificar a presença de Ivanti Sentry e garantir que os patches mais recentes sejam aplicados. A falha de segurança pode permitir que invasores contornem as proteções de rede, acessando sistemas internos e dados confidenciais.
O que monitorar e próximos passos
Verificação Imediata: Empresas brasileiras devem verificar imediatamente se possuem o Ivanti Sentry em sua infraestrutura e qual versão está em uso. É crucial determinar se a vulnerabilidade CVE-2026-10520 afeta seus sistemas.
Aplicação de Patches: Se a vulnerabilidade for confirmada, a aplicação do patch fornecido pela Ivanti deve ser a prioridade máxima. Este processo deve ser tratado com a mesma urgência de uma ameaça ativa, mobilizando equipes de TI e segurança para uma resposta rápida.
Monitoramento de Atividades Suspeitas: Mesmo após a aplicação do patch, é essencial monitorar rigorosamente a rede em busca de quaisquer sinais de comprometimento. A exploração ativa da vulnerabilidade significa que algumas organizações podem já ter sido afetadas antes da correção.
Revisão de Políticas de Segurança: Este incidente deve servir como um catalisador para revisar e fortalecer as políticas internas de gestão de vulnerabilidades e resposta a incidentes, especialmente para sistemas críticos e expostos à internet. A velocidade de resposta da CISA estabelece um novo padrão que as empresas devem se esforçar para alcançar.
Acompanhamento Regulatório: Empresas devem monitorar como agências reguladoras brasileiras, como a ANPD, podem reagir a este tipo de evento e se novas diretrizes de resposta rápida a vulnerabilidades críticas serão implementadas localmente, impactando as obrigações de conformidade.
Fontes consultadas
- Ivanti Sentry Flaw Triggers CISA's First 3-Day Federal Patch Mandate, Already Exploited · SecurityWeek
- Cybersecurity News, Insights and Analysis | SecurityWeek · SecurityWeek
- Vulnerability News - Cybersecurity Dive · Cybersecurity Dive