VPNs e firewalls sob ataque: o novo perímetro invisível das empresas

Durante anos, a VPN corporativa foi vista como uma camada confiável de acesso remoto. Os firewalls de borda, por sua vez, eram o escudo intransponível que separava o “dentro” e o “fora” da rede, mas esse modelo entrou em colapso. Em 2025, o perímetro digital das empresas praticamente desapareceu, e aquilo que restou se tornou a porta de entrada preferida dos cibercriminosos. 

De SonicWall a Fortinet, passando por Palo Alto, Ivanti e Citrix, praticamente todos os grandes fabricantes de appliances de VPN e firewall registraram vulnerabilidades críticas exploradas de forma ativa nos últimos meses. Em alguns casos, os exploits foram usados em ataques de ransomware em menos de 48 horas após a divulgação pública do CVE. 

O problema não é apenas técnico: ele é estrutural. VPNs e gateways precisam estar expostos à internet para permitir conexões legítimas e isso transforma qualquer falha, atraso de atualização ou configuração fraca em um ponto de comprometimento direto. O perímetro, que antes representava proteção, agora se tornou o campo de batalha. 

O caso SonicWall: quando a borda vira a porta principal 

Em outubro, campanhas do grupo Akira ransomware miraram dispositivos SonicWall SSL-VPN, explorando combinações perigosas de firmware desatualizado, autenticação MFA mal configurada e exposição do “Virtual Office Portal”. O ataque não exigia e-mails fraudulentos, downloads ou scripts: bastava encontrar o equipamento vulnerável, autenticar-se com credenciais válidas (ou forjadas) e se mover lateralmente pela rede. 

Casos semelhantes ocorreram com Fortinet FortiOS (CVE-2024-21762), Palo Alto PAN-OS (CVE-2024-3400) e Ivanti Connect Secure, todos permitindo execução remota de código ou bypass completo de autenticação. Na prática, o atacante não precisamais enganar o usuário. Ele engana o perímetro. 

Por que o “edge corporativo” se tornou o alvo nº 1 

Superfície previsível e exposta 

Diferente de endpoints ou usuários, appliances de borda são fáceis de mapear. Um simples scanner identifica milhares de instâncias idênticas, com a mesma versão de firmware. Isso facilita a automação dos ataques. 

Tempo de exploração cada vez menor 

Hoje, o intervalo médio entre o disclosure de uma vulnerabilidade crítica e a exploração ativa é inferior a 24 horas. Ou seja, o tempo de resposta da TI corporativa nunca precisou ser tão curto. 

Identidade como novo perímetro 

Quando o gateway usa autenticação LDAP, SSO ou MFA fraco, uma falha de borda se transforma rapidamente em uma falha de identidade. O atacante entra pela VPN, mas rouba as credenciais do domínio. 

Persistência e stealth 

Em muitos incidentes, mesmo após o patch, artefatos maliciosos permanecem nos appliances (backdoors, tarefas agendadas, contas ocultas). O perímetro comprometido continua vulnerável por meses. 

O que funciona de verdade 

1. Patching sem procrastinação 

As falhas de VPN e firewall são o tipo de vulnerabilidade que não pode esperar o próximo ciclo de manutenção. Atualizações críticas devem ser tratadas como emergências operacionais. Configure alertas automáticos e mantenha inventário preciso dos appliances de borda. 

2. MFA resistente a phishing 

Autenticação baseada em OTP (one-time password) é insuficiente. Adote MFA com chaves FIDO2/WebAuthn e bloqueie o acesso de métodos herdados, como SMS ou TOTP exposto em LDAP. Um segundo fator vulnerável é um convite aberto. 

3. Endurecimento e segmentação 

Reduza o impacto de uma invasão inevitável. Limite o portal externo por IP, região ou grupo de usuários, elimine políticas “Default” e use ACLs por aplicação. O objetivo é diminuir o “blast radius”, o alcance que um atacante teria caso entre. 

4. Monitoramento contínuo e caça proativa 

Registros de logins anômalos, picos de tráfego e movimentação lateral são os primeiros sinais de que algo está errado. Integrar a VPN e o firewall ao MDR/XDR permite reagir em minutos, não em dias. Se a borda for explorada, é o monitoramento que vai evitar o colapso total. 

5. Backup imutável e plano de contingência 

Ataques modernos visam não somente criptografar dados, mas destruir backups. Teste sua restauração, isole cópias offline e garanta snapshots imutáveis. Uma empresa preparada não depende de sorte. 

O futuro do perímetro é a visibilidade 

O perímetro físico já não existe. Em seu lugar, surgiu um perímetro lógico, formado por identidades, conexões e fluxos de dados. Ele é invisível, dinâmico e, se não for monitorado em tempo real, totalmente vulnerável. 

A nova fronteira da segurança é garantir que cada ponto de conexão seja tratado como um ativo crítico, e que os mecanismos de acesso (VPN, firewall, API Gateway, SASE) sejam gerenciados com o mesmo rigor aplicado a servidores e bancos de dados. 

Blindar o perímetro digital hoje não é reforçar muros, é ganhar visibilidade sobre o que atravessa os portões. 

Descubra como blindar o seu perímetro digital 

A Setrix ajuda empresas de todos os portes a fortalecer sua borda corporativa com políticas de MFA avançadas, segmentação granular e segurança ofensiva. 

Entre em contato agora mesmo. 

Fontes 

Huntress – Akira Ransomware Targeting SonicWall VPN Devices (out. 2025). 

Barracuda SOC Threat Radar – Akira Campaigns and SonicWall Exploitation (21 out 2025). 

SonicWall Advisories – Security Notice on SSL-VPN Vulnerabilities (out. 2025). 

Fortinet PSIRT – CVE-2024-21762 – FortiOS SSL-VPN RCE Exploited in the Wild (fev. 2024). 

Palo Alto Networks Unit 42 – PAN-OS GlobalProtect Command Injection (CVE-2024-3400) (abr. 2024). 

Ivanti Advisory – Connect Secure and Policy Secure Vulnerabilities 2024 (jan.–mar. 2024). 

Citrix Security Bulletin – CVE-2023-4966 (“CitrixBleed”) – Exploited in the Wild (out. 2023). 

CISA & FBI – Joint Advisory AA25-268A: Ransomware Activity via VPN Devices (set.–out. 2025). 

Microsoft Security Blog – Patch Tuesday October 2025: 176 CVE Fixes Including 84 EoP (15 out 2025). 

Relatório KnowBe4 – Phishing Benchmark América do Sul 2025