CISA adiciona falhas do Oracle e outras ao catálogo de vulnerabilidades exploradas
A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA adicionou vulnerabilidades do Oracle, Mozilla, Microsoft Windows, Kernel Linux e Microsoft Internet Explorer ao seu catálogo de Vulnerabilidades Exploradas Conhecidas. Essa ação exige que agências federais abordem essas falhas até 27 de outubro de 2025, para mitigar riscos de explorações em andamento. Entre as adições está uma vulnerabilidade crítica do Oracle corrigida recentemente após exploração por atores de ransomware.
A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) atualizou recentemente seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) ao incluir sete falhas específicas que afetam vários produtos de software. Essas adições abrangem vulnerabilidades no Oracle E-Business Suite, produtos Mozilla, Microsoft Windows, Kernel Linux e Microsoft Internet Explorer.
As vulnerabilidades listadas são:
- CVE-2010-3765: Vulnerabilidade de Execução Remota de Código em Múltiplos Produtos Mozilla
- CVE-2010-3962: Vulnerabilidade de Corrupção de Memória Não Inicializada no Microsoft Internet Explorer
- CVE-2011-3402: Vulnerabilidade de Execução Remota de Código no Microsoft Windows
- CVE-2013-3918: Vulnerabilidade de Escrita Fora dos Limites no Microsoft Windows
- CVE-2021-22555: Vulnerabilidade de Escrita Fora dos Limites no Heap do Kernel Linux
- CVE-2021-43226: Vulnerabilidade de Escalada de Privilégios no Microsoft Windows
- CVE-2025-61882: Vulnerabilidade Não Especificada no Oracle E-Business Suite
Uma entrada notável é a CVE-2025-61882, uma falha crítica com pontuação CVSS de 9.8 nas versões 12.2.3 a 12.2.14 do Oracle E-Business Suite, especificamente no componente de Integração do BI Publisher do Processamento Concorrente do Oracle. Esta semana, a Oracle emitiu um patch de emergência para ela. A vulnerabilidade permite que atacantes remotos não autenticados obtenham controle via HTTP e foi explorada pelo grupo de ransomware Cl0p em ataques de roubo de dados. Especialistas a descrevem como facilmente explorável.
Algumas falhas adicionadas são notavelmente antigas, como a CVE-2013-3918, que remonta a 2013. Essa vulnerabilidade foi inicialmente usada pelo grupo de ameaça persistente avançada responsável pelo ataque Aurora de 2009. Em 2015, a Kaspersky relatou que o ator estatal conhecido como grupo Equation havia capturado e reutilizado o exploit para mirar usuários governamentais no Afeganistão.
Sob a Diretiva Operacional Vinculativa (BOD) 22-01, agências do ramo executivo civil federal devem remediar essas vulnerabilidades do catálogo KEV até as datas devidas especificadas para proteger suas redes. A CISA definiu 27 de outubro de 2025 como o prazo para as agências federais corrigirem elas. Especialistas em segurança instam organizações privadas a revisarem o catálogo e aplicarem patches nos sistemas afetados prontamente para prevenir explorações semelhantes.