A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu recentemente uma nova rodada de diretivas obrigatórias de segurança cibernética, exigindo que todas as agências civis federais investiguem e removam exaustivamente equipamentos e software de rede de ponta que tenham cessado o suporte do fornecedor, incluindo roteadores, firewalls, gateways VPN e switches desatualizados. As autoridades reguladoras enfatizaram que esses dispositivos periféricos em “fim de vida” se tornaram uma das principais entradas para hackers estaduais penetrarem nas redes governamentais e devem ser corrigidos dentro de um tempo limitado.

O documento, intitulado “Diretiva Operacional Vinculativa 26-02”, foi emitido conjuntamente pela CISA e pelo Escritório de Gestão e Orçamento da Casa Branca. O objetivo é resolver uma fraqueza proeminente e de longa data no sistema de TI federal: infraestrutura de perímetro de rede desatualizada e sem correção. A CISA observa que, em muitos ataques, os adversários não dependem de credenciais roubadas ou de e-mails de phishing, mas primeiro procuram roteadores e firewalls mais antigos que não são atualizados há anos e não são mais mantidos para ganhar uma posição nas redes governamentais.
De acordo com a nova diretriz, as agências federais são obrigadas a atualizar imediatamente os dispositivos que ainda estão dentro do ciclo de suporte do fabricante e devem substituir quaisquer dispositivos que tenham encerrado o suporte dentro de 12 meses. No prazo de 3 meses a partir da data de entrada em vigor da diretiva, as agências devem completar um inventário exaustivo de todos os dispositivos periféricos e indicar quais deles excederam o período de suporte do fabricante. No ano seguinte, as agências relevantes precisam retirar esses equipamentos de "fim de serviço" passo a passo e desenvolver planos de substituição simultaneamente para evitar que o novo lote de equipamentos entre novamente no estado fora da garantia no curto prazo.
A diretriz estabelece ainda um prazo de 18 meses, quando todos os dispositivos não suportados deverão ser completamente removidos das redes do governo federal. Para evitar o “ressurgimento”, o documento também exige que as agências estabeleçam um mecanismo de rastreamento contínuo para garantir que equipamentos obsoletos após a limpeza não sejam reconectados silenciosamente ao ambiente de rede.
Madhu Gottumukkala, diretor interino da CISA, disse que a mudança era “atrasada” e “inevitável”. Durante anos, a CISA monitorou como os invasores estão explorando dispositivos de rede que não recebem mais atualizações de segurança para violar sistemas governamentais que já possuem proteções modernas de endpoint em vigor. Nick Andersen, diretor executivo assistente de segurança cibernética da CISA, também destacou que tanto as organizações de hackers patrocinadas pelo Estado quanto os grupos de ataque com fins lucrativos estão cada vez mais visando esses equipamentos antigos e explorando vulnerabilidades em firmware desatualizado para se intrometer. Uma vez bem-sucedidos, eles podem se mover lateralmente pela rede, roubar dados ou interferir em operações comerciais críticas.
O diretório Known Exploited Vulnerabilities mantido pela CISA documentou vários ataques relacionados a equipamentos de rede descontinuados, incluindo uma vulnerabilidade relacionada a roteadores D-Link descontinuados divulgada em dezembro. A agência também citou um ataque estatal em 2025 atribuído à China, que utilizou extensivamente equipamentos de rede mais antigos para realizar espionagem cibernética.
Embora a directiva seja obrigatória para as agências civis federais, não impõe sanções financeiras ou jurídicas directas. A CISA e o Gabinete de Gestão e Orçamento exercerão pressão através do acompanhamento do progresso e da apresentação de relatórios públicos sobre o desempenho, mas, na prática, as agências executarão frequentemente essas "diretivas operacionais agrupadas" como tarefas de segurança de alta prioridade.
Para apoiar os esforços de implementação, a CISA estabeleceu uma "Lista de dispositivos de borda de fim de serviço" interna de modelos de dispositivos comumente encontrados em ambientes federais que estão se aproximando ou ultrapassando a vida útil de suporte do fabricante. Por razões de segurança, esta lista não será tornada pública para evitar fornecer pistas de direcionamento a potenciais atacantes. Para agências fora do sistema administrativo federal – incluindo governos estaduais e locais e empresas privadas – a CISA recomenda que se comuniquem proativamente com os fabricantes de equipamentos para compreender os ciclos de suporte e o status de risco dos equipamentos que utilizam.