Falhas CVSS 9.8 na Hikvision e Rockwell Automation entram no catálogo KEV da CISA
6 de Março de 2026

A U.S.Cybersecurity and Infrastructure Security Agency (CISA) incluiu, na última quinta-feira, duas vulnerabilidades críticas que afetam produtos da Hikvision e da Rockwell Automation em seu catálogo Known Exploited Vulnerabilities (KEV), evidenciando exploração ativa dessas falhas.

As vulnerabilidades são:

- CVE-2017-7921 (pontuação CVSS: 9,8): falha de autenticação incorreta que impacta diversos produtos da Hikvision, permitindo que invasores escalem privilégios no sistema e acessem informações sensíveis.

- CVE-2021-22681 (pontuação CVSS: 9,8): vulnerabilidade relacionada a credenciais protegidas de forma insuficiente, presente em vários sistemas da Rockwell Automation, como Studio 5000 Logix Designer, RSLogix 5000 e controladores Logix.

Essa falha permite que um usuário não autorizado com acesso à rede do controlador ignore o mecanismo de autenticação, altere configurações e modifique o código da aplicação.

A inclusão do CVE-2017-7921 no catálogo KEV ocorre mais de quatro meses após o SANS Internet Storm Center divulgar tentativas de exploração contra câmeras Hikvision vulneráveis.

Por outro lado, não há relatos públicos recentes de ataques envolvendo o CVE-2021-22681 .

Diante da exploração ativa dessas falhas, a CISA recomenda que as agências da Federal Civilian Executive Branch (FCEB) atualizem seus sistemas para as versões mais recentes até 26 de março de 2026, conforme determina a Binding Operational Directive (BOD) 22-01.

“Esses tipos de vulnerabilidades são vetores comuns em ataques maliciosos e representam riscos significativos para o ambiente federal”, destacou a CISA.

Embora a BOD 22-01 seja obrigatória apenas para as agências federais civis, a CISA reforça que todas as organizações priorizem a correção rápida das vulnerabilidades listadas no catálogo KEV como parte das melhores práticas de gerenciamento de vulnerabilidades, para reduzir a exposição a ciberataques.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...