Inteligência Artificial GranaBit Insight

Palo Alto/CVSS: Falhas encadeadas resultam em root para 13 mil dispositivos.

24/04/2026 7 min GranaBit - Redação feita por IA
meyers_hero.png

Explicado em 3 pontos

  • O que aconteceu: O sistema tradicional de classificação de vulnerabilidades, o Common Vulnerability Scoring System (CVSS), está se mostrando inadequado para proteger empresas contra...
  • Ataques sofisticados, a velocidade com que novas falhas são exploradas e o volume crescente de vulnerabilidades, muitas delas descobertas com a ajuda de inteligência...
  • A crise no gerenciamento de vulnerabilidades se intensificou, como evidenciado pela "Operação Lunar Peek" em novembro de 2024.

O que aconteceu: O sistema tradicional de classificação de vulnerabilidades, o Common Vulnerability Scoring System (CVSS), está se mostrando inadequado para proteger empresas contra ataques cibernéticos modernos. Ataques sofisticados, a velocidade com que novas falhas são exploradas e o volume crescente de vulnerabilidades, muitas delas descobertas com a ajuda de inteligência artificial, estão sobrecarregando as defesas, exigindo uma reavaliação urgente das estratégias de segurança.

A crise no gerenciamento de vulnerabilidades se intensificou, como evidenciado pela “Operação Lunar Peek” em novembro de 2024. Nela, invasores obtiveram acesso administrativo remoto não autenticado e, eventualmente, controle total sobre mais de 13.000 interfaces de gerenciamento expostas da Palo Alto Networks. Apesar de as falhas terem pontuações CVSS individuais que não as classificavam como urgentes para correção, sua combinação permitiu um ataque devastador. Esse cenário levou gigantes da cibersegurança, como a CrowdStrike, a formar a coalizão Project QuiltWorks, em parceria com Accenture, EY, IBM Cybersecurity Services, Kroll e OpenAI, para enfrentar o volume exponencial de vulnerabilidades geradas por modelos de IA.

Especialistas apontam que o CVSS, embora útil para classificar vulnerabilidades isoladas, falha em considerar o contexto do mundo real, como a exploração conjunta de falhas ou a velocidade com que nações-estado as transformam em armas. Adam Meyers, SVP de Operações Contra Adversários da CrowdStrike, destacou que os atacantes encadeiam vulnerabilidades para contornar as classificações de severidade. Peter Chronis, ex-CISO da Paramount, reportou uma redução de 90% em vulnerabilidades críticas ao ir além da priorização focada no CVSS, enquanto Chris Gibson, diretor executivo da FIRST (organização que mantém o CVSS), afirma que usar apenas as pontuações básicas do CVSS para priorização é o método “menos apto e preciso”.

Leia também

O impacto é profundo para empresas e profissionais de segurança, que se veem diante de um paradoxo: nunca houve tanta informação sobre vulnerabilidades (com 48.185 CVEs divulgadas em 2025 e uma projeção de 70.135 para 2026), mas as ferramentas para gerenciar e priorizar essas ameaças estão obsoletas. O National Institute of Standards and Technology (NIST) já anunciou que priorizará apenas as vulnerabilidades mais críticas, como as listadas no catálogo KEV (Known Exploited Vulnerabilities) da CISA, devido ao aumento de 263% nas submissões desde 2020.

Resumo prático: É urgente que as empresas repensem suas estratégias de gerenciamento de vulnerabilidades, indo além das pontuações isoladas para combater ameaças complexas e aceleradas pela IA.

Como isso pode ser usado na prática

Para diretores de segurança e equipes de TI, a adaptação é crucial. As estratégias precisam evoluir para proteger efetivamente os ativos digitais:

  • Auditoria de dependência de falhas encadeadas: Realize uma varredura mensal em todas as vulnerabilidades KEV (Known Exploited Vulnerabilities) no ambiente, buscando falhas secundárias com pontuação CVSS acima de 5.0 que possam ser encadeadas. Qualquer combinação que permita desviar a autenticação para escalar privilégios deve ser tratada como crítica, independentemente das pontuações individuais.
  • Prazos de correção acelerados: Reduza os Acordos de Nível de Serviço (SLAs) para correção de vulnerabilidades KEV em sistemas expostos à internet para 72 horas. Relatórios da CrowdStrike mostram que o tempo médio para exploração de uma falha é de 29 minutos, com o mais rápido em 27 segundos, tornando janelas de correção semanais insustentáveis.
  • Relatórios de envelhecimento de KEV para a diretoria: Crie relatórios mensais detalhando cada vulnerabilidade KEV não corrigida, o número de dias desde sua divulgação e disponibilidade de patch, e o responsável pela correção. A falta de métricas sobre o “envelhecimento” de vulnerabilidades críticas permitiu que ataques como o “Salt Typhoon” explorassem falhas da Cisco com patches disponíveis há mais de um ano.
  • Integração de controles de identidade: Incorpore lacunas de autenticação em help desks e inventários de credenciais de sistemas de IA autônomos (Agentic AI) no mesmo pipeline de relatórios e SLAs das vulnerabilidades de software (CVEs). Quando esses controles ficam em silos separados, na prática, eles carecem de governança.
  • Teste de estresse da capacidade de pipeline: Avalie a capacidade de sua infraestrutura para lidar com um volume 1,5x e até 10x maior de novas vulnerabilidades (CVEs). Projeções indicam que a IA de ponta pode levar o volume anual de vulnerabilidades para além de 480.000. Apresentar essa lacuna de capacidade ao CFO antes do próximo ciclo orçamentário é vital para evitar brechas futuras.

Entenda a tecnologia

No centro deste desafio estão termos e conceitos fundamentais para a cibersegurança:

  • CVE (Common Vulnerabilities and Exposures): São identificadores padrão para vulnerabilidades de segurança de software publicamente conhecidas. Cada CVE representa uma falha de segurança específica em um sistema.
  • CVSS (Common Vulnerability Scoring System): É um sistema aberto e amplamente utilizado para atribuir pontuações de severidade a vulnerabilidades de segurança de software, geralmente variando de 0 a 10. Ele avalia características técnicas de uma única vulnerabilidade, como sua complexidade de ataque e impacto, mas não considera seu potencial de ser encadeada com outras falhas ou a probabilidade de exploração real.
  • KEV (Known Exploited Vulnerabilities): O catálogo de Vulnerabilidades Conhecidas e Exploradas da CISA (Agência de Segurança Cibernética e de Infraestrutura dos EUA) lista falhas que já foram ativamente exploradas por agentes maliciosos no mundo real. Priorizar as KEVs é crucial, pois elas representam ameaças imediatas e comprovadas.
  • Zero-day: Refere-se a uma vulnerabilidade de software que é explorada por cibercriminosos antes que o desenvolvedor tenha conhecimento dela ou antes que um patch (correção) seja publicamente disponibilizado.
  • IA Autônoma (Agentic AI): São sistemas de inteligência artificial que podem operar de forma independente, tomar decisões e realizar ações para atingir um objetivo. Estes sistemas, ao carregarem suas próprias credenciais e permissões, criam novas “superfícies de identidade” que precisam ser protegidas e monitoradas contra vulnerabilidades, algo que os sistemas CVSS tradicionais não cobrem.
  • Aceleração da descoberta por IA: Ferramentas como o Claude Mythos Preview da Anthropic demonstraram a capacidade de IA de descobrir vulnerabilidades de forma autônoma e em larga escala. Por exemplo, o Mythos encontrou uma falha de 27 anos no OpenBSD TCP SACK com um custo de computação inferior a US$ 20.000 (equivalente a cerca de R$ 120.000,00 em conversão direta). Esta capacidade pode aumentar exponencialmente o volume de vulnerabilidades descobertas anualmente, forçando as equipes de segurança a se adaptarem a um ritmo sem precedentes.
  • Limitações e riscos: A principal limitação do CVSS reside em seu design, que pontua vulnerabilidades individualmente, ignorando cenários de “encadeamento” de falhas que, juntas, podem levar a um ataque completo. Além disso, o sistema não aborda lacunas de processo humano na gestão de identidade (como falhas no help desk para verificação de senha) nem o volume avassalador de novas vulnerabilidades que as atuais infraestruturas de cibersegurança não conseguem processar, como o NIST já observou.

Oportunidades no mercado

Este cenário, embora desafiador, cria novas e significativas oportunidades. Empresas de cibersegurança podem inovar, desenvolvendo soluções mais inteligentes que utilizem inteligência artificial para identificar padrões de exploração, prever ataques encadeados e automatizar a resposta. Há uma demanda crescente por serviços de consultoria especializados que ajudem as organizações a reestruturar suas prioridades de correção, incorporando inteligência de ameaças em tempo real e análise de risco contextualizada.

Profissionais de segurança podem se especializar em “gerenciamento de postura de risco” que vai além do CVSS, focando na probabilidade de exploração e no impacto real para o negócio. Para as empresas, a adoção de uma abordagem mais proativa e baseada em risco, integrando a gestão de identidade e processos humanos na estratégia de vulnerabilidades, não é apenas uma questão de conformidade, mas uma vantagem competitiva crucial em um cenário de ameaças cada vez mais dinâmico. A capacidade de responder rapidamente e de forma inteligente às vulnerabilidades pode significar a diferença entre a continuidade dos negócios e perdas milionárias.

Movimentos como esse indicam como a inteligência artificial está sendo incorporada de forma cada vez mais prática nos negócios.

Hashtags: #CVSS #PaloAlto #CVEs #GerenciamentoDeVulnerabilidades #CadeiaDeAtaques #AcessoRoot #GranaBit #InteligenciaArtificial #IA #Produtividade #Inovação

Quer entender a IA de verdade? Acompanhe o GranaBit e fique por dentro das aplicações que estão transformando o mercado.

Fonte: venturebeat.com (Adaptação: GranaBit)

Leia também