A CISA emitiu a Emergency Directive 24-01 exigindo que agências civis federais dos Estados Unidos mitiguem vulnerabilidades no Ivanti Connect Secure e no Ivanti Policy Secure. A decisão responde à exploração ativa e ampla de falhas nesses appliances por atores maliciosos, segundo a agência.1

Embora a diretiva seja obrigatória apenas para agências federais civis, a CISA recomenda que todas as organizações que usam os produtos adotem as medidas com urgência. Esse tipo de alerta tem efeito prático além do governo: fornecedores, bancos, hospitais, indústrias e empresas com acesso remoto dependem de appliances VPN e de controle de política como portas críticas de entrada.

Appliances de acesso remoto viram alvo de alto valor

As vulnerabilidades citadas pela CISA, CVE-2023-46805 e CVE-2024-21887, permitem que invasores avancem lateralmente na rede, extraiam dados e estabeleçam persistência. A gravidade aumenta porque esses produtos ficam expostos na borda, muitas vezes conectando usuários remotos, terceiros e administradores a sistemas internos.1

Um appliance comprometido não é apenas mais um servidor vulnerável. Ele pode operar como ponto de confiança para identidade, sessão, túnel e segmentação. Quando esse ponto é tomado, a organização precisa considerar risco de credenciais capturadas, web shells, movimentação lateral e acesso persistente mesmo após correções superficiais.

A diretiva formaliza uma postura que times de segurança já conhecem em incidentes de borda: patching isolado pode ser insuficiente. É preciso verificar indicadores de comprometimento, revisar logs, rotacionar segredos, avaliar persistência e decidir se o equipamento pode voltar ao ar com confiança.

A diretiva transforma urgência em obrigação

A CISA baseia a medida em quatro fatores: exploração ampla por múltiplos atores, presença dos produtos no ambiente federal, potencial elevado de comprometimento de sistemas de informação e impacto possível de uma invasão bem-sucedida. A agência também afirma que vai acompanhar e apoiar a aderência das agências às ações exigidas.2

Essa combinação mostra por que diretivas emergenciais são diferentes de comunicados comuns. Elas reduzem espaço para postergação. Quando uma vulnerabilidade na borda já está sendo explorada, cada hora de exposição amplia a chance de invasão, captura de credenciais e criação de acessos alternativos.

Para organizações privadas, o caminho operacional deve começar por inventário. É preciso localizar instâncias de Ivanti Connect Secure e Policy Secure, confirmar versões, aplicar mitigação do fornecedor, procurar sinais de comprometimento e preservar evidências caso haja suspeita de invasão.

Segurança de borda precisa de resposta completa

O incidente reforça uma pressão sobre arquiteturas de acesso remoto. VPNs e gateways continuam necessários em muitos ambientes, mas não podem ser tratados como caixas estáticas com atualização ocasional. Eles precisam entrar em rotinas de gestão de exposição, monitoramento contínuo, autenticação forte, segmentação e resposta a incidentes.

Também há uma lição de governança. Produtos de borda devem ter donos claros, janelas de manutenção rápidas, playbooks de isolamento e critérios de retorno ao serviço. Quando a CISA usa uma diretiva emergencial, o sinal para o mercado é que o risco já deixou a categoria de vulnerabilidade abstrata e entrou na de ameaça operacional em curso.

  1. CISA, "CISA Issues Emergency Directive Requiring Federal Agencies to Mitigate Ivanti Connect Secure and Policy Secure Vulnerabilities", 19 jan. 2024.
  2. CISA, "ED 24-01: Mitigate Ivanti Connect Secure and Ivanti Policy Secure Vulnerabilities", 19 jan. 2024.