CISA marca falha crítica no Oracle E-Business Suite como já explorada e força prazo para federal

Com CVSS 9.8 e exploração ativa em massa, a CVE-2026-46817 no Oracle EBS entrou no catálogo KEV da CISA, com prazo de 21 dias para agências federais aplicarem o patch.
O que foi adicionado ao KEV
A Cybersecurity and Infrastructure Security Agency incluiu em 15 de julho a CVE-2026-46817, falha crítica no Oracle E-Business Suite, no catálogo de Known Exploited Vulnerabilities. O bug, classificado com CVSS 9.8, está no componente File Transmission do produto Oracle Payments dentro do EBS. Um invasor não autenticado, com apenas acesso HTTP à instância, consegue executar código com privilégios elevados sem interação do usuário. As versões afetadas vão de 12.2.3 a 12.2.15, o que cobre a maior parte dos deploys em produção.
A Oracle publicou correção para a falha no Critical Security Patch Update de maio de 2026. Segundo levantamento da BleepingComputer, mais de 900 instâncias do Oracle EBS estão hoje expostas à internet aberta, das quais uma parcela ainda opera versões não corrigidas. As primeiras tentativas de exploração ativa foram registradas no fim de semana anterior à inclusão no KEV, com atores que combinam varredura em massa por instâncias vulneráveis e escalação para persistência.
O problema real: patching é lento em EBS
Oracle EBS não é software que se atualiza no sábado à tarde. Instâncias reais rodam customizações profundas em folha de pagamento, tesouraria, contas a pagar e integração com Hyperion, R12 personalizado, Fusion Middleware e conectores para bancos e órgãos reguladores. Cada aplicação de CPU exige testes de regressão que atravessam múltiplas áreas funcionais e frequentemente encontram breakage em código customizado. Por experiência conhecida do setor e pesquisa do Ponemon Institute publicada em anos anteriores, o intervalo médio entre lançamento de CPU e adoção em produção nas empresas Fortune 500 fica entre 3 e 6 meses.
É esse gap que os invasores exploram. Entre a publicação do CPU em maio e a inclusão no KEV em 15 de julho, os defensores tiveram cerca de dois meses, e uma parcela relevante não terminou o trabalho. Os federais americanos agora têm 21 dias, contados de 15 de julho, para aplicar o patch ou desligar a instância exposta, conforme diretriz BOD 22-01 da CISA. O prazo não vale para o setor privado nem para operações fora dos Estados Unidos, mas serve como referência de tempo mínimo aceitável.
Onde a exposição pesa fora dos Estados Unidos
Oracle EBS é a espinha dorsal financeira de uma parcela significativa das grandes companhias em três geografias distintas. Nos Estados Unidos, a base histórica cobre varejo, energia, defesa e o próprio governo federal, com várias agências ainda operando EBS 12.2. No Reino Unido, autarquias públicas e serviços vinculados ao NHS operam sobre EBS. Na Ásia, Índia é o maior mercado de EBS fora dos EUA, cobrindo grandes conglomerados como Tata e Reliance.
O Brasil aparece na conta pela via de bancos, mineradoras e utilities. Várias das maiores instituições financeiras e industriais do país rodam módulos financeiros ou de supply chain sobre EBS 12.2, e algumas dessas exposições estão indexadas em ferramentas públicas como Shodan e Censys. Nenhuma dessas instituições publicou até o fechamento deste texto se aplicou o CPU de maio, o que é operação de rotina que normalmente não vira comunicado, mas nesta janela específica ganhou peso porque o vetor é remoto, sem autenticação, com CVSS 9.8. O caminho responsável para um CISO brasileiro nesta manhã é confirmar com o time de operações Oracle a versão exata de cada instância, verificar exposição de perímetro, e se qualquer instância aparecer no Shodan com versão anterior a 12.2.15 corrigida, tratar como incidente ativo até prova em contrário.
O padrão que se repete
Nada disso é novidade em forma. Movidos por lentidão estrutural de patching em ERP financeiro, invasores esperam a janela entre CPU e adoção, varrem, exploram, monetizam. Foi o roteiro nas falhas do SAP NetWeaver de 2020, do Oracle WebLogic de 2021 e do BIG-IP F5 de 2023. O componente novo em 2026 é o tempo de exploração comprimido. Entre publicação e primeiras varreduras automatizadas, o intervalo caiu de semanas para dias, provavelmente pelo mesmo motivo que as equipes defensivas ganharam velocidade com IA: análise de patch diff, geração de POC e empacotamento em ferramenta ofensiva também ficaram mais rápidos.
Para o CISO, a aritmética que fica é simples. A janela de calmaria pós-CPU está encolhendo, e a organização que só planeja aplicação para o próximo ciclo trimestral está sistematicamente atrás do adversário. Não é discussão sobre CVSS pontual. É sobre cadência.