Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA
O que é Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA?
Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISALista mantida pela CISA norte-americana que reúne CVEs com evidências credíveis de exploração ativa no mundo real, associadas a prazos de remediação obrigatórios para as agências civis federais dos EUA e amplamente usada pelas empresas como sinal de priorização.
O Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA é uma lista mantida pela Cybersecurity and Infrastructure Security Agency dos EUA que reúne vulnerabilidades para as quais a CISA possui evidências credíveis de exploração ativa no mundo real. O KEV foi lançado em novembro de 2021 no âmbito da Binding Operational Directive 22-01, que torna obrigatória a remediação dos CVEs listados para as agências do poder executivo civil federal dos EUA (FCEB) dentro de um prazo estabelecido (normalmente de duas a três semanas). Cada entrada inclui o CVE, o fabricante/produto, uma descrição curta, a ação exigida, a data-limite, a data de inclusão e — desde 2024 — uma marcação indicando se a falha é sabidamente usada em campanhas de ransomware.
Os critérios de inclusão são deliberadamente rígidos: um CVE só é adicionado quando possui um identificador CVE atribuído, existem evidências confiáveis de exploração ativa (não apenas uma prova de conceito pública ou atividade de varredura) e há uma remediação clara, como um patch do fabricante. É justamente essa exigência que torna o KEV valioso — ela filtra os ~40,000 CVEs publicados a cada ano até a pequena fração que os atacantes efetivamente transformam em armas. O catálogo cresceu de 1,239 entradas no fim de 2024 para 1,484 no fim de 2025 (245 adicionadas naquele ano, um aumento de ~20%), abrangendo sistemas operacionais, appliances de rede, VPNs, ferramentas RMM, softwares de produtividade, navegadores e ICS. Zero-days de rápida propagação em dispositivos de borda, como o CVE-2024-3400 do PAN-OS e a cadeia do Ivanti Connect Secure (CVE-2023-46805 + CVE-2024-21887), foram adicionados poucos dias após a divulgação pública.
Apesar de seu escopo formal restrito ao âmbito federal dos EUA, o KEV tornou-se o sinal de priorização de fato em todo o setor — os programas corporativos de gestão de vulnerabilidades e as seguradoras cibernéticas tratam a inclusão no KEV como um marcador de "aplicar o patch imediatamente", e as plataformas ASPM/CSPM exibem o status KEV ao lado da severidade CVSS, da probabilidade do EPSS (Exploit Prediction Scoring System) e da acessibilidade do código. Consumir o feed JSON/CSV legível por máquina permite às equipes escalar automaticamente qualquer ativo que execute um produto listado no KEV.
flowchart TD
A[Novo CVE publicado] --> B{Atende aos 3 critérios do KEV?}
B --> C[Identificador CVE atribuído]
B --> D[Evidências confiáveis de exploração ativa]
B --> E[Remediação clara disponível]
C & D & E -->|Todos sim| F[Adicionado ao KEV Catalog]
B -->|Algum não ex. só PoC| G[Não adicionado]
F --> H[BOD 22-01: prazo FCEB definido]
F --> I[Empresas + seguradoras tratam como corrigir agora]
F --> J[Alimenta ASPM/CSPM com EPSS + CVSS + acessibilidade]
style F fill:#27ae60,color:#fff
style G fill:#7f8c8d,color:#fff● Exemplos
- 01
A CVE-2024-47575 'FortiJump' do FortiManager é adicionada ao KEV no mesmo dia em que a Mandiant publica o artigo; as agências FCEB têm um prazo rígido para aplicar o patch.
- 02
Uma política corporativa de priorização de patches obriga a remediar qualquer CVE listado no KEV em até sete dias, independentemente do CVSS, do EPSS ou da criticidade do ativo.
● Perguntas frequentes
O que é Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA?
Lista mantida pela CISA norte-americana que reúne CVEs com evidências credíveis de exploração ativa no mundo real, associadas a prazos de remediação obrigatórios para as agências civis federais dos EUA e amplamente usada pelas empresas como sinal de priorização. Pertence à categoria Vulnerabilidades da cibersegurança.
O que significa Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA?
Lista mantida pela CISA norte-americana que reúne CVEs com evidências credíveis de exploração ativa no mundo real, associadas a prazos de remediação obrigatórios para as agências civis federais dos EUA e amplamente usada pelas empresas como sinal de priorização.
Como se defender contra Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA?
As defesas contra Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA?
Nomes alternativos comuns: KEV, Vulnerabilidades Exploradas Conhecidas.