CISA KEV fecha 2025 com 1.484 vulnerabilidades exploradas

CISA encerrou 2025 com 1.484 vulnerabilidades confirmadamente exploradas em ataques reais, após adicionar 245 novas entries ao catálogo Known Exploited Vulnerabilities (KEV) — um crescimento de cerca de 20% em um ano, o maior desde 2021. Desse total, 24 falhas foram ligadas a campanhas de ransomware, incluindo bugs de alto impacto em Citrix, Oracle E‑Business Suite e diversos fornecedores de infraestrutura crítica.​

Crescimento do KEV e “velhas” falhas ainda em jogo

O KEV passou de 1.239 vulnerabilidades no fim de 2024 para 1.484 no fim de 2025, consolidando‑se como a lista de referência do governo dos EUA para bugs que realmente estão sendo explorados e não apenas teóricos. Embora a maioria das 245 entradas adicionadas em 2025 sejam falhas recentes, CISA também incluiu 94 vulnerabilidades divulgadas em 2024 ou antes, mostrando que brechas antigas continuam relevantes no arsenal dos atacantes.​

Ransomware, CitrixBleed 2 e Oracle EBS

Entre as 24 vulnerabilidades associadas a ransomware, se destacam o CitrixBleed 2 (CVE‑2025‑5777), usado para comprometer appliances Citrix de acesso remoto, e as falhas críticas em Oracle E‑Business Suite (CVE‑2025‑61882 e CVE‑2025‑61884), que permitem acesso não autenticado a dados sensíveis. CISA também registrou exploração de novas falhas em produtos de Fortinet, Ivanti, Microsoft, Mitel, SAP e SonicWall, reforçando que VPNs, aplicações corporativas e equipamentos de borda seguem como alvos prioritários de grupos de extorsão.​

Tipos de vulnerabilidade mais comuns em 2025

Análise da Cyble sobre as adições de 2025 mostra que os tipos de bug mais frequentes foram OS command injection, desserialização de dados não confiáveis, path traversal, use‑after‑free, out‑of‑bounds write, XSS, code injection e autenticação inadequada. Esses padrões refletem tanto falhas clássicas de programação quanto problemas em componentes modernos (APIs, frameworks web, bibliotecas de serialização) explorados em cadeias de ataque cada vez mais automatizadas.​

“Velharias” perigosas ainda no KEV

A entrada mais antiga adicionada ao KEV em 2025 foi a CVE‑2007‑0671, uma falha de execução remota de código no Microsoft Office, mostrando que documentos maliciosos continuam atuais como vetor inicial de ataque. No catálogo como um todo, a vulnerabilidade mais antiga segue sendo a CVE‑2002‑0367, uma falha de elevação de privilégio no smss.exe do Windows NT/2000 já associada a campanhas de ransomware, evidenciando o impacto de sistemas legados não corrigidos.​

Como usar o KEV na defesa

CISA recomenda que agências federais, empresas e desenvolvedores acompanhem de perto o KEV para priorizar correções, hardening e monitoramento em torno de vulnerabilidades que já têm exploração comprovada. Em vez de tratar todos os CVEs como iguais, o catálogo ajuda a orientar esforços de patching e detecção para os alvos que adversários de fato estão mirando, em linha com listas como a de “Top 25” vulnerabilidades mais perigosas mantida pela MITRE.