Um intruso publicado no dia 21 de outubro o seu Índice de Gerenciamento de Exposição de 2025, que monitora as vulnerabilidades mais críticas enfrentadas por pequenas e médias empresas (PMEs) e como as respostas dessas organizações estão evoluindo ao longo do tempo. O Índice fornece às PMEs insights de segurança que historicamente estavam restritos a orçamentos corporativos enormes e consultores externos.
“Para pequenas e médias empresas, a segurança cibernética é um desafio estrutural – elas enfrentam o mesmo cenário de vulnerabilidades que as grandes empresas, mas com menos recursos, orçamentos menores e equipes mais enxutas”, disse Chris Wallis, CEO da Intruder. “Como resultado, os ataques cibernéticos podem ser muito mais devastadores para as PMEs e podem fazer com que uma organização inteira perca seu sustento. A Intruder está divulgando este relatório para fornecer conhecimento eficaz e prático, porque a segurança cibernética não deve ser um luxo reservado para aqueles com os bolsos mais fundos.”
A conclusão mais crucial do Índice é como as PMEs em 2025 continuarão a lidar com ameaças de segurança cibernética há muito conhecidas e vulnerabilidades na superfície de ataque devido à ascensão da IA. Embora o ToolShell de dia zero tenha conquistado o primeiro lugar, muitos PMEs continuam ameaçados por vulnerabilidades divulgadas há um, dois ou até três anos, mas que não foram corrigidas em seus ambientes. O fornecimento assistido por IA é simplificado pela barreira técnica para hackers, e escrever novos exploits para CVEs mais antigos se tornou mais fácil e rápido. Isso o ritmo dos ataques e torna mais “econômico” perseguir essas vulnerabilidades.
Descobertas adicionais incluem:
- Problemas críticos estão sendo corrigidos mais rapidamente: incidentes de alto perfil em 2025 estão tornando o custo do atraso mais difícil de ser ignorado pelas organizações. 89% das vulnerabilidades críticas identificadas foram corrigidas em 30 dias, uma melhoria de 14% em relação aos níveis de correção de 2024.
- O tamanho importante: organizações maiores (51 a 2.000 funcionários) levam na mídia 17 dias para resolver vulnerabilidades críticas devido a processos complexos e demorados de emissão de ingressos, aprovações e testes, que atrasam o lançamento de correções, mesmo quando as vulnerabilidades são bem compreendidas. Organizações menores podem agir com agilidade, resolvendo problemas sem burocracia em uma média de 14 dias.
- Os setores de software e financeiro corrigem mais rapidamente: As organizações de software corrigem vulnerabilidades críticas mais rapidamente do que qualquer outro setor, em média 13 dias, provavelmente devido às infraestruturas modernas e às pressões de exigência dos compradores corporativos. As organizações de serviços financeiros são as segundas mais rápidas, com problemas críticos resolvidos em uma média de 22 dias, provavelmente devido às realidades do setor: regulamentação rigorosa e orçamentos de segurança relativamente grandes.
As PMEs estão cada vez mais em risco
O ano de 2025 mostrou como a exposição surge de múltiplas frentes. A entrega da Vibe criou novos riscos, pois algumas equipes apressaram-se a produzir o código gerado por IA sem revisão suficiente para detectar lacunas ou erros. A rápida adoção da nuvem proporciona agilidade, mas também introduz novos vetores de ataque. A TI continua paralelamente a expor dados sensíveis e expandir as superfícies de ataque sem supervisão suficiente. E fornecedores de PMEs, frequentemente parte de cadeias de suprimentos críticas, continuam sendo pontos de entrada perigosos para invasores que buscam vantagem sobre organizações maiores – como visto nas interrupções de voos no Reino Unido e na Europa em setembro de 2025 em Heathrow e no ataque cibernético que paralisou as linhas de produção da Jaguar Land Rover.
Em 2024, os clientes do Intruder registraram uma mídia de 474 vulnerabilidades críticas e de alta gravidade. Este ano, as organizações esperam um número semelhante de vulnerabilidades críticas, com 198, mas a previsão é de que a mídia de vulnerabilidades de alta gravidade aumente de 281 para 334. Diante dessa superfície de ataque em expansão, equipes de TI sobrecarregadas podem ter dificuldade para priorizar aquilo que representa o maior risco.
As cinco principais vulnerabilidades em 2025
Milhares de CVEs são publicados a cada ano, mas apenas uma fração se torna alvo de exploração generalizada ou apresenta impacto real e sério. A equipe de segurança do Intruder prevê as vulnerabilidades atuais mais perigosas com base em sua prevalência em ambientes de PMEs, probabilidade de exploração e chance de impacto real.
- Apache Tomcat RCE (CVE-2025-24813): O CVE crítico mais comum em propriedades de clientes, um exemplo clássico de uma vulnerabilidade de aplicativo impactante e amplamente distribuído.
- ToolShell (CVE-2025-53770): O ToolShell se destacou porque a exploração traz pouca sofisticação e havia uma lacuna entre a divulgação e a disponibilidade do patch, da qual os invasores rapidamente se aproveitaram. A falha na aplicação do patch em poucos dias significou que muitas organizações já estavam em um cenário pós-exploração.
- Palo Alto Auth Bypass (CVE-2025-0108): Esta vulnerabilidade destaca um tema recorrente: quando os controles de autenticação em interfaces de gerenciamento falham, os invasores obtêm acesso imediato a dispositivos críticos para a segurança. Patches anteriores se mostraram insuficientes, e os invasores encontraram novas maneiras de explorar o processamento de operações por diferentes tecnologias.
- Apache mod_rewrite RCE (CVE-2024-38475): Apesar de ter sido divulgado em 2024 — e ter sido o CVE mais comumente observado no ano passado — ele ainda é relevante, pois módulos de servidor web amplamente implantados continuam sendo alvos interessantes e os invasores adotam bugs rapidamente da camada de aplicativo em seus kits de ferramentas.
- Vulnerabilidades de Perímetro da Fortinet (CVE-2024-55591 e CVE-2025-32756): A Fortinet especializa vulnerabilidades críticas em suas linhas de produtos, o que se destaca por que os dispositivos de borda são os principais alvos: eles são específicos para a internet, amplamente implantados e detêm as chaves para o acesso à rede. Para a maioria das empresas, a mudança rápida de fornecedores de hardware não é realista, portanto, a aplicação rápida de patches e controles compensatórios são as únicas defesas viáveis.
Para elaborar este relatório, a Intruder analisou as superfícies e infraestruturas de ataque de milhares de clientes e compilou os insights em um pacote abrangente, monitorando como pequenas e médias empresas (1 a 2.000 funcionários) estão expostas a vulnerabilidades de segurança, como e por que suas respostas variam e o que pode ser aprendido com esses padrões. O relatório completo do Índice de Gerenciamento de Exposição de 2025 está disponível para download aqui.
