Depois do patch: o que realmente falta para sua borda estar protegida

Em um cenário em que ataques a Cisco ASA/FTD, SonicWall SSL-VPN, Fortinet e F5 se tornaram rotina, a borda corporativa deixou de ser somente um ponto de acesso. Ela se transformou em um território contestado, e extremamente valioso, para qualquer atacante que queira entrarsilenciosamente em uma empresa. A consequência é clara: a prática de simplesmente “aplicar o patch e seguir em frente” se tornou insuficiente e, em muitos casos, ilusória. 

Quando fabricantes divulgam um novo CVE crítico, o mercado reage com urgência. As equipes de TI correm para atualizar firmwares, reiniciar appliances e informar que “a correção está aplicada”, mas a cadeia de ataque moderna mostra um fenômeno que pouca gente enxerga: muitas invasões começam antes da divulgação do CVE, continuam durante o processo de atualização e permanecem ativas mesmo depois do patch. O que deveria representar um ponto final na vulnerabilidade, muitas vezes é apenas o marco zero de uma investigação que nunca foifeita. 

A linha do tempo desses incidentes é reveladora. Em diversas campanhas detectadas recentemente, invasores exploraram vulnerabilidades de VPN e firewall muito antes de elas se tornarem públicas. O caso da operação ArcaneDoor, envolvendo dispositivos Cisco, é emblemático: meses de exploração silenciosa antes do anúncio oficial. O mesmo se repetiu com SonicWall, explorado por grupos como o Akira ransomware, que em vários ataques aproveitou fraquezas pré-existentes em configurações de MFA, seeds de OTP reaproveitados e portais expostos. Quando o CVE finalmente é divulgado, os atacantes já estão um passo à frente e, com o apoio crescente de automação e IA, começam a varrer a internet em busca de versões vulneráveis em questão de horas. 

É nesse momento que muitas empresas cometem um erro decisivo: tratam o patch como o fim do processo. Na prática, ele é apenas o início. 

Um dispositivo de borda atualizado não revela, por si só, o que realmente importa: se ele estava exposto antes do patch, se já foi comprometido, se credenciais foram capturadas, se sessões persistentes foram criadas ou se configurações foram adulteradas. A experiência recente com appliances de VPN e firewall mostra que atacantes deixam rastros que sobrevivem à atualização, permanecem ativos e continuam fornecendo acesso privilegiado mesmo em dispositivos “corrigidos”. 

Por isso, empresas maduras não se limitam a atualizar. Elas validam. A validação pós-patch é o elemento que separa uma resposta responsável de uma resposta apenas reativa. É um processo que começa verificando se o patch realmente foi aplicado, e isso não é tão óbvio quantoparece. Casos recentes envolvendo Cisco mostraram que milhares de dispositivos declarados como “atualizados” ainda rodavam versões vulneráveis ou builds incorretos, algo que só foi descoberto quando órgãos como a CISA começaram a exigir comprovação detalhada de versão. 

Depois da confirmação, a investigação se desloca para o comportamento do dispositivo antes e depois da atualização. É aqui que logs se tornam cruciais. Revisar autenticações de VPN, movimentos administrativos, alterações de privilégio e acessos realizados em horários e localidades incomuns é a única forma de reconstruir o histórico e entender se o patch foi aplicado em um ambiente limpo ou em um já contaminado. Em muitos compromissos envolvendo SonicWall, por exemplo, atacantes configuraram MFA próprio em contas existentes, o que permitiua continuidade do acesso mesmo após o firmware atualizado, um ataque que só se revela ao examinar eventos de autenticação e de mudança de configuração. 

Outro ponto crítico é a higienização das credenciais. A atualização de firmware não invalida senhas expostas, tokens reaproveitados, integrações LDAP frágeis ou seeds de OTP já comprometidos. Em incidentes recentes, exatamente esses elementos permitiram que ataquescontinuassem, com logins legítimos e silenciosos, dias ou semanas depois do patch. 

A atualização também não corrige mudanças manuais ou artefatos inseridos pelo invasor. Apenas confrontar a configuração atual com um baseline confiável revela contas desconhecidas, regras novas de firewall, políticas mais permissivas ou parâmetros de logging desativados, ajustes frequentemente utilizados por invasores para manter a persistência. 

Quando a validação técnica termina, resta ainda a parte mais importante: integrar a borda ao ciclo contínuo de detecção e resposta. Patching e validação resolvem o passado; o SOC/MDR resolve o futuro. Sem visibilidade em tempo real dos eventos de VPN, administração, inspeção, IPS e anomalias de tráfego, o ambiente permanece vulnerável a novas tentativas de exploração, e a maioria das empresas só descobre essas tentativas quando elas já deram certo. 

O SOC moderno precisa ser capaz de correlacionar sinais: um login de VPN vindo de um ASN incomum, uma mudança de configuração em horário não usual, o reaparecimento de tentativas de exploração de um CVE recém-publicado, um pico de falhas de login ou um bloqueio de IPS contra um payload direcionado. Esses eventos, vistos isoladamente, são apenas ruído. Correlacionados, são indicadores claros de atividade maliciosa. E, cada vez mais, é essa capacidade de conectar pontos que define quem detecta uma invasão antes que ela se torne um incidente. 

A verdade é simples, mas transformadora: o patch corrige a falha; a validação descobre o dano; o monitoramento contínuo evita o próximo ataque. Tratar atualização como ação isolada é perpetuar um ciclo de vulnerabilidade. Tratar a borda como parte de um ecossistema contínuo de segurança é elevar a empresa a um patamar real de resiliência. 

O setor aprendeu isso da forma mais dura. E quem internalizar essa lição agora estará melhor preparado para o que vem pela frente, porque a borda, por mais exposta que seja, não precisa ser frágil. Ela precisa ser visível, validada e continuamente monitorada. 

Na Setrix, acreditamos que a segurança não termina no patch. Ela começa exatamente depois dele. 

Fontes 

CISA – Emergency Directive ED 25-03: Identify and Mitigate Potential Compromise of Cisco Devices (2025). 

Cisco – Continued Attacks Against Cisco Firewalls e boletins sobre CVE-2025-20333 / CVE-2025-20362 (2025). 

TechRadar Pro – Around 50,000 Cisco firewalls are vulnerable to attack, so patch now (2025). 

Reuters – US sounds alarm over hackers targeting Cisco security devices (2025). 

CISA, FBI e parceiros – #StopRansomware: Akira Ransomware (2025). 

SonicWall – Product Notice: Improper Access Control Vulnerability in SonicOS (CVE-2024-40766), 2024–2025. 

Rapid7 – Critical Improper Access Control Vulnerability Affecting SonicWall Devices (CVE-2024-40766) (2024). 

TechRadar Pro – This long-exposed SonicWall flaw is being used to infect organizations with Akira ransomware – so patch now e SonicWall VPN accounts breached by Akira ransomware – and even those using MFA are at risk (2025). 

Darktrace – Inside Akira’s SonicWall Campaign: Darktrace’s Detection and Response (2025). 

Canadian Centre for Cyber Security – Alert: SSL VPN vulnerability impacting Gen 7 SonicWall Firewalls (CVE-2024-40766) (2025). 

NIST – SP 800-40 Rev. 4: Guide to Enterprise Patch Management Planning – Preventive Maintenance for Technology (2022).