# DET0818 — Detection of Firmware ## Descrição Adversários de alto nível investigam o firmware de dispositivos de rede, servidores e equipamentos industriais de uma organização-alvo para identificar versões vulneráveis e desenvolver ou adquirir exploits específicos. Dispositivos como roteadores Cisco, firewalls Fortinet, switches e controladores industriais frequentemente expõem sua versão de firmware em banners de serviço, interfaces web de gerenciamento e respostas SNMP, tornando o reconhecimento passivo trivial para atores motivados. Grupos como [[g1017-volt-typhoon]], [[g0096-apt41]] e [[g0034-sandworm]] têm histórico documentado de exploração de firmware para persistência de longa duração em infraestrutura crítica. O comprometimento de firmware é particularmente grave porque persiste através de reinicializações do sistema operacional, sobrevive a reinstalações de software e frequentemente não é monitorado por soluções EDR convencionais que operam em nível de OS. A descoberta de vulnerabilidades em firmware pode ser realizada via análise de versões expostas em respostas Telnet/SSH, interfaces SNMP (`sysDescr`), páginas de login de dispositivos de rede e registros de certificados TLS que incluem informações de versão. A detecção deve incluir monitoramento de acessos a interfaces de gerenciamento de dispositivos de rede (especialmente de IPs externos), alertas para tentativas de leitura de configuração via SNMP community strings padrão, e monitoramento de tráfego de atualização de firmware para identificar modificações não autorizadas. A manutenção de um inventário atualizado de versões de firmware e sua correlação com CVEs conhecidos é um controle preventivo essencial, relacionado a [[t1592-gather-victim-host-information|T1592-gather-victim-host-information]] e [[t1542-pre-os-boot|T1542-pre-os-boot]]. ## Indicadores de Detecção - Acesso a interfaces de gerenciamento de firmware (Telnet, SSH, HTTP admin) por IPs externos não autorizados - Consultas SNMP com community strings padrão (`public`, `private`) a dispositivos de rede - Enumeração de versões de firmware via banners de serviço em dispositivos expostos - Tentativas de download de imagens de firmware de dispositivos via TFTP ou HTTP não autenticado - Acesso a interfaces web de roteadores e switches por IPs fora da rede de gerenciamento - Tráfego de atualização de firmware para destinos externos não reconhecidos - Correlação de versões de firmware expostas com CVEs críticos recentes em CISA KEV ## Técnicas Relacionadas - [[t1592-gather-victim-host-information|T1592-gather-victim-host-information]] — coleta de informações de firmware e hardware - [[t1542-pre-os-boot|T1542-pre-os-boot]] — comprometimento de firmware para persistência pré-OS - [[t1595-active-scanning|T1595-active-scanning]] — varredura de dispositivos para identificar versões de firmware - [[t1190-exploit-public-facing-application|T1190-exploit-public-facing-application]] — exploração de interfaces de gerenciamento expostas - [[t1078-valid-accounts|T1078-valid-accounts]] — uso de credenciais padrão em dispositivos com firmware desatualizado ## Analytics Relacionadas - [[an1950-analytic-1950|AN1950 — Analytic 1950]] --- *Fonte: [MITRE ATT&CK — DET0818](https://attack.mitre.org/detectionstrategies/DET0818)*