Análise Principal
Segurança & Risco5 min

CISA adiciona falha de 2008 em Cisco IOS ao catálogo de exploração ativa

Roteador Cisco 871 empoeirado em prateleira de closet de telecomunicações sob luz fluorescente, com cabo ethernet ainda conectado.

A CVE-2008-4128 volta ao radar 18 anos depois: interface HTTP administrativa em roteadores Cisco 871 legados segue produzindo cadeia de CSRF explorável em larga escala.

A CISA adicionou na segunda-feira (13) a vulnerabilidade CVE-2008-4128 ao Known Exploited Vulnerabilities Catalog, o registro federal americano de falhas com evidência de exploração ativa. A brecha é uma cadeia de cross-site request forgery (CSRF) na interface HTTP administrativa do Cisco IOS 12.4, presente nos roteadores Cisco 871 Integrated Services Routers, ainda em operação em escala global 18 anos depois da divulgação inicial.


O ataque explora chamadas específicas via URI da interface administrativa. Um atacante que consiga fazer um administrador autenticado acessar uma página maliciosa executa comandos como show privilege e alias exec no dispositivo sem autenticação adicional, o que abre a superfície para elevação de privilégio e reconfiguração remota. Segundo a advisory da CISA, o vetor é frequente em varreduras oportunísticas contra edge routers legados, e o padrão observado sugere reutilização em campanhas atuais.


Por que uma falha de 2008 volta em 2026


O Cisco 871 saiu de linha há mais de uma década. Ainda assim, a base instalada global sobrevive em filiais de pequenas e médias empresas, em provedores regionais de última milha e, principalmente, em ambientes de tecnologia operacional (OT), onde a substituição depende de janelas de manutenção industrial. Sob a Binding Operational Directive 22-01, agências civis federais dos EUA têm prazo padrão de três semanas para remediar depois que um item entra no KEV. Fora do governo americano, o registro vira gatilho contratual para auditorias, apólices de ciber seguro e contratos de MSSP em todo o mundo.


O caso amplia um padrão que preocupa CISOs desde o ano passado. CVEs antigos voltam ao ciclo de exploração porque o hardware não sai. A Cisco não emitiu patch novo para o CVE-2008-4128, e a mitigação oficial continua sendo desabilitar a interface HTTP administrativa (no ip http server), migrar administração para HTTPS/SSH e restringir acesso por ACL. Em ambientes que dependem da interface web para gerenciar por scripts, isso significa reescrever automações rodando há uma década.


Efeito prático em Nova York, Frankfurt e São Paulo


Nos Estados Unidos, a inclusão no KEV cria obrigação imediata para o executivo federal civil. Sob a nova Binding Operational Directive 26-04, publicada em maio, agências precisam integrar cada entrada aos scorecards de risco em 48 horas e reportar remediação ao dashboard da CISA. Para o CISO federal, a linha operacional já está clara: varrer o inventário atrás de Cisco 871, verificar se o HTTP admin está ligado, aplicar a mitigação ou substituir.


Na Alemanha, o BSI trata alertas americanos do KEV como referência de facto desde 2023, embora sem obrigação legal correspondente. Bancos regionais e Sparkassen com redes de agência historicamente compraram Cisco 871 nos anos 2000, e a atualização do KEV vira insumo para os testes de resiliência do DORA, mandatórios para o setor financeiro europeu desde janeiro. Operadores de OT em energia, na Espanha e na Itália, entram no mesmo raio.


No Brasil, o CTIR Gov e a ANPD tratam entradas do KEV como referência técnica, com pouca automação sobre grandes empresas privadas. O ponto de dor real fica em MSPs de médio porte que atendem varejo e cooperativas de crédito, onde o Cisco 871 sobreviveu em pontos de venda e agências rurais. Auditores de PCI DSS 4.0 já pedem evidência explícita de mitigação para qualquer CVE listado no KEV em relatórios trimestrais.


O que o CISO deve fazer agora


Três passos operacionais. Primeiro, varredura ativa por Cisco 871 e IOS 12.4 no inventário. Segundo, desabilitar ip http server em qualquer instância remanescente e mover administração para SSH restrito por ACL. Terceiro, reforçar monitoramento de saída para chamadas de URI conhecidas do exploit, alimentando o SIEM com IOCs específicos.


O aviso subjacente não é sobre um CVE de 2008. É sobre um pipeline em que a superfície de ataque paga não é o firmware novo, e sim o kit que ninguém troca. Enquanto os fornecedores empurram novas linhas para o data center, invasores voltam ao perímetro corporativo antigo, onde o custo político de trocar equipamento continua alto e o ciclo de manutenção continua o mesmo.

Análise Principal