A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) aposentou 10 Emergency Directives emitidas entre 2019 e 2024, alegando que as ações exigidas foram concluídas ou agora estão cobertas pela Binding Operational Directive 22-01.
Segundo a CISA, trata-se do maior número de Emergency Directives encerradas simultaneamente pela agência.
“Por determinação legal, a CISA emite Emergency Directives para mitigar rapidamente ameaças emergentes, minimizando seu impacto ao limitar a duração dessas diretrizes ao tempo estritamente necessário”, explica a agência.
Após uma revisão completa das diretivas ativas, a CISA concluiu que as ações requeridas foram implementadas com sucesso ou agora estão englobadas pela Binding Operational Directive (BOD) 22-01, intitulada *Reducing the Significant Risk of Known Exploited Vulnerabilities*.
A BOD 22-01 utiliza o catálogo Known Exploited Vulnerabilities (KEV) da agência para informar órgãos federais civis sobre falhas ativamente exploradas e estabelecer prazos para aplicação dos patches necessários.
As Emergency Directives têm o objetivo de tratar riscos urgentes e permanecem vigentes apenas pelo tempo necessário.
A lista completa das Emergency Directives encerradas inclui:
- ED 19-01: Mitigar Manipulação da Infraestrutura de DNS
- ED 20-02: Mitigar Vulnerabilidades do Windows relativas ao Patch Tuesday de janeiro de 2020
- ED 20-03: Mitigar Vulnerabilidade no Servidor DNS do Windows do Patch Tuesday de julho de 2020
- ED 20-04: Mitigar Vulnerabilidade de Elevação de Privilégio no Netlogon do Patch Tuesday de agosto de 2020
- ED 21-01: Mitigar Comprometimento do Código SolarWinds Orion
- ED 21-02: Mitigar Vulnerabilidades do Microsoft Exchange On-Premises
- ED 21-03: Mitigar Vulnerabilidades do Produto Pulse Connect Secure
- ED 21-04: Mitigar Vulnerabilidade no Serviço Windows Print Spooler
- ED 22-03: Mitigar Vulnerabilidades do VMware
- ED 24-02: Mitigar Riscos Significativos de Comprometimento do Sistema de E-mail Corporativo Microsoft por Atores Estatais
Muitas dessas diretivas trataram vulnerabilidades rapidamente exploradas, que hoje estão incluídas no catálogo KEV da CISA.
Segundo a BOD 22-01, órgãos civis federais são obrigados a aplicar patches nas vulnerabilidades listadas no KEV dentro dos prazos definidos pela agência.
Para falhas identificadas antes de 2021, o prazo padrão é de até seis meses; para vulnerabilidades mais recentes, o limite é de duas semanas.
Em casos de alto risco, a CISA pode estabelecer prazos ainda mais curtos para correção.
Um exemplo recente exigiu que órgãos federais atualizassem dispositivos Cisco vulneráveis aos CVEs 2025-20333 e 2025-20362 em até um dia, devido à exploração ativa dessas falhas.
Com essa atualização, a CISA reforça seu compromisso de garantir a segurança do ambiente digital federal por meio da gestão ágil e eficiente de vulnerabilidades críticas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...