De acordo com o Relatório de Investigações de Violações de Dados de 2025, divulgado recentemente pela Verizon, a exploração de vulnerabilidades como vetor de acesso inicial aumentou para 20% das violações, um crescimento de 34% em relação ao ano anterior e agora rivaliza com o principal vetor de acesso inicial, o abuso de credenciais.
O crescimento se deve em parte à exploração de vulnerabilidades de Zero Day em VPNs e dispositivos de ponta, áreas onde as soluções tradicionais de detecção e resposta de endpoint (EDR) enfrentam limitações. Segundo a pesquisa, o DBIR se concentra em 17 CVEs que afetam esses dispositivos de perímetro, que continuam sendo alvos valiosos para invasores.
A Tenable Research analisou mais de 160 milhões de pontos de dados de telemetria sobre as vulnerabilidades mais exploradas para o DBIR da Verizon. Também publicou uma análise segmentada por setor e região.
Algumas das principais descobertas da incluem o tempo médio global de remediação para as 17 CVEs é de 209 dias. Na América Latina, a média é de 203 dias. Já nas vulnerabilidades CVE-2023-6548 e CVE-2023-6549 da Citrix até mesmo os três setores mais rápidos levaram mais de 160 dias para corrigir; O setor mais lento teve uma média de 288 dias. Na América Latina a média é de 196 dias. Segundo os dados a vulnerabilidades Ivanti CVE-2023-46805 e CVE-2024-21887, apesar da exploração ativa por meio de execução remota de código (RCE), a correção em alguns setores levou em média até 294 dias.
Além disso, nas correções rápidas, as quais as indústrias podem se mobilizar rapidamente como a Vulnerabilidade Fortinet CVE-2024-47575 (FortiJump), uma vulnerabilidade de violação de autenticação no FortiManager, as Organizações de vários setores resolveram esse bug crítico, em média, entre 2 e 7 dias. Na América Latina a média foi de 8 dias. Para a Vulnerabilidade SonicWall CVE-2024-40766, usada por grupos de ransomware para obter acesso inicial, essa vulnerabilidade obteve tempos reduzidos de correção no geral, a equipe de engenharia resolveu em apenas 6 dias, enquanto a equipe de consultoria levou 52 dias. Na América Latina a média foi de 31 dias.
