- Março 12, 2026
1. Exploração ativa confirmada / muito provável
CVE-2025-64155 — Fortinet FortiSIEM
O CNCS publicou alerta a 19 de janeiro de 2026 para esta falha crítica de OS command injection no serviço phMonitor do FortiSIEM, explorável remotamente e sem autenticação, com impacto de execução de comandos com privilégios elevados. A exposição é especialmente séria porque o FortiSIEM ocupa uma posição de alta confiança na infraestrutura, o que aumenta o risco de movimento lateral, adulteração de logs e evasão na deteção. O CNCS recomendou atualização imediata e, na impossibilidade, limitação da porta TCP/7900 e da exposição à Internet. Fontes de threat research reportaram exploit code público e atividade de exploração logo após a divulgação, elevando substancialmente o risco operacional.
Deve ser considerado como prioridade alta em MSSPs, SOCs, operadores de serviços essenciais e grandes empresas com forte dependência de SIEM on-prem. A combinação “sem autenticação + superfície exposta + função central de segurança” faz desta, uma das exposições mais críticas neste período.
CVE-2026-24858 — FortiCloud SSO / múltiplos produtos Fortinet
O CNCS emitiu alerta a 28 de janeiro de 2026 para esta falha crítica de bypass de autenticação que afeta FortiOS, FortiManager, FortiAnalyzer, FortiProxy e FortiWeb quando o FortiCloud SSO está ativado. A Fortinet confirmou que a vulnerabilidade foi explorada no mundo real por duas contas FortiCloud maliciosas, bloqueadas a 22 de janeiro, tendo inclusive desativado temporariamente o FortiCloud SSO a 26 de janeiro para conter o abuso. O fabricante também publicou IoCs, nomes de contas usadas e indicadores de criação de contas administrativas locais para persistência. A CISA adicionou a CVE ao catálogo KEV a 27 de janeiro de 2026, o que reforça o estatuto de exploração ativa.
Esta foi provavelmente a ameaça com maior urgência tática para ambientes Fortinet em Portugal durante o período, sobretudo em organizações com equipamento de perímetro e gestão exposta. O detalhe importante é que o risco dependia da ativação do FortiCloud SSO, muitas vezes ativado no registo via GUI, o que pode criar exposição involuntária.
CVE-2026-1281 e CVE-2026-1340 — Ivanti Endpoint Manager Mobile (EPMM)
O CNCS publicou alerta a 3 de fevereiro de 2026 para duas vulnerabilidades críticas no Ivanti EPMM que permitem RCE sem autenticação. O CNCS recomenda a aplicação das correções temporárias e a validação de IoCs nos logs. Em paralelo, múltiplas fontes de investigação indicaram que estas falhas estavam a ser exploradas em ataques reais / limitados, e a CISA adicionou pelo menos a CVE-2026-1281 ao catálogo KEV a 29 de janeiro de 2026.
Existe o risco elevado em entidades da administração pública, saúde, banca e grandes empresas que utilizam o MDM/UEM para dispositivos móveis. Em termos de intelligence, estas falhas são críticas porque abrem porta ao comprometimento da camada de gestão móvel, com potencial para campanhas subsequentes de phishing dirigido e roubo de dados.
CVE-2026-1731 — BeyondTrust Remote Support / PRA
O CNCS publicou alerta a 16 de fevereiro de 2026 para esta falha crítica de pré-autenticação / command injection, capaz de levar ao comprometimento completo do sistema. A BeyondTrust confirmou uma cronologia de resposta que inclui deteção de atividade anómala a 31 de janeiro, patches automáticos em 2 de fevereiro, e tentativas iniciais de exploração observadas a 10 de fevereiro. O fornecedor afirmou ainda que a atividade observada se concentrou em ambientes self-hosted, internet-facing e sem patch.
2. Vulnerabilidades críticas relevantes em Portugal, mas sem exploração ativa pública claramente confirmada nas fontes consultadas
IceWarp — vulnerabilidade crítica sem CVE público
O CNCS publicou alerta a 20 de fevereiro de 2026 para uma vulnerabilidade crítica no IceWarp, aplicável a instalações on-premises e cloud, capaz de permitir acesso não autorizado ao servidor em Windows ou Linux. No conjunto de fontes consultadas, não existiu uma confirmação pública robusta da exploração ativa em larga escala durante o período, mas o impacto potencial justifica ação imediata.
Veeam Backup & Replication — várias falhas críticas
A 8 de janeiro de 2026, o CNCS alertou para várias falhas críticas no Veeam Backup & Replication com potencial de RCE e escrita arbitrária de ficheiros em contexto privilegiado. Embora, nas fontes consultadas, não tenha surgido prova forte de exploração ativa em janeiro e fevereiro, trata-se de um vetor de elevado risco porque atinge a infraestrutura de backup, normalmente decisiva em cenários de ransomware.
3. Prioridades CTI para organizações em Portugal naquele bimestre
O padrão dominante em janeiro e fevereiro de 2026 foi claro: os atores maliciosos privilegiaram appliances e plataformas de gestão expostas à Internet, como SIEM, firewalls / gestão Fortinet, MDM móvel e remote support / privileged access. Em termos de intelligence defensiva, isto aponta para uma preferência por alvos com alto valor operacional, amplas permissões e capacidade de servir de ponto de entrada para persistência, desativação de controlos, exfiltração e ransomware.
