protheus - RunkIntel

# Protheus > ERP · Vendor: [[totvs/_totvs|Totvs]] · Segmento: medio e grande porte ## Visão Geral O **Protheus** é o principal produto ERP da [[totvs/_totvs|Totvs]], dominante no segmento de empresas de médio e grande porte no Brasil. Desenvolvido na linguagem proprietária **ADVPL** (Advanced Protheus Language), o Protheus é um ERP modular com mais de 40 módulos funcionais cobrindo finanças, logística, manufatura, RH, fiscal e CRM. Com implantação tipicamente on-premise ou híbrida (nuvem privada), o Protheus é o backbone operacional de empresas do [[financial|setor financeiro]], [[retail|varejo]], [[manufacturing|indústria]], [[healthcare|saúde]] e [[government|setor público]], incluindo entidades do **Sistema S** (Senac, Sebrae, Sesc) confirmadas como afetadas no incidente [[s1180-blackbyte-ransomware|BlackByte]] de 2024. **Dados do produto:** - Versao atual: 12.1.2310 (release trimestral) - Linguagem: ADVPL (proprietária) + TLPP (nova geração) - Deploy: On-premise, híbrido, SaaS (crescente) - Banco de dados suportados: Oracle, SQL Server, DB2, Ctree - Integracao: REST APIs, Web Services SOAP, EDI ## Superficie de Ataque ### Vetores criticos | Vetor | Descrição | Risco | |-------|-----------|-------| | Acesso remoto (VPN/RDP) | Suporte técnico via acesso remoto por integradores | Alto | | REST APIs expostas | Endpoints `/rest/` sem autenticação adequada em configurações legadas | Alto | | ADVPL custom code | Customizações sem code review introduzem vulnerabilidades | Médio | | Integradores (canal) | 3.000+ parceiros com acesso privilegiado a ambientes de produção | Alto | | Atualizações atrasadas | Ciclo de update lento por conta de customizações; versões desatualizadas | Alto | ### Módulos de maior risco CTI - **Finanças (SIGAFIN)**: Acesso a dados bancários, contas a pagar/receber - **Fiscal (SIGAFIS)**: NF-e, SPED, dados tributários sensíveis - **RH / Folha (SIGAGPE)**: CPF, salário, dados pessoais de funcionários - relevância LGPD crítica - **Compras (SIGACOM)**: Dados de fornecedores, contratos ## Incidente BlackByte - Setembro 2024 No ataque de setembro de 2024 ao grupo [[totvs/_totvs|Totvs]], o grupo [[s1180-blackbyte-ransomware|BlackByte]] obteve acesso provavel a diretorios contendo dados de clientes Protheus, incluindo contratos e documentos financeiros de entidades do **Sistema S**. O vetor de acesso inicial foi provavelmente credenciais VPN comprometidas - técnica consistente com o modus operandi documentado do BlackByte pela [[talos-intelligence|Cisco Talos]]. ## TTPs Relevantes - [[t1078-valid-accounts|T1078]] - Credenciais válidas para VPN de suporte - [[t1059-001-powershell|T1059.001]] - Execução via PowerShell em ambientes Windows Server - [[t1021-remote-services|T1021]] - Movimento lateral via RDP - [[t1486-data-encrypted-for-impact|T1486]] - Ransomware BlackByte - [[t1041-exfiltration-over-c2-channel|T1041]] - Exfiltração pre-ransomware (dupla extorsao) ## Recomendacoes de Defesa 1. Restringir acesso VPN de integradores a jánelas de manutenção específicas (MFA obrigatorio) 2. Auditar regularmente endpoints REST do Protheus expostos - remover `/rest/` sem autenticação 3. Implementar EDR em servidores de aplicação Protheus (Windows Server) 4. Revisar permissoes de usuarios ADVPL com acesso a módulos financeiros e fiscal 5. Manter atualizacoes do Protheus em no máximo 2 releases de defasagem ## Notas Relacionadas **Vendor:** [[totvs/_totvs|Totvs]] **Incidente:** [[s1180-blackbyte-ransomware|BlackByte Ransomware]] **TTPs:** [[t1078-valid-accounts|T1078]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1021-remote-services|T1021]] **Regulacoes:** [[lgpd|LGPD]] · [[esocial|eSocial]] · [[sped|SPED]] > [!latam] Relevância para Brasil e LATAM > O Protheus é o ERP líder no mercado brasileiro de médio e grande porte, com presença em práticamente todos os setores da economia. Por armazenar dados financeiros, fiscais (NF-e, SPED), de RH e pessoais de milhões de brasileiros, é um alvo de altíssimo valor para grupos de ransomware com estratégia de dupla extorsão. O incidente BlackByte de setembro de 2024 comprovou que servidores Protheus são alvos reais - e que o modelo de canal da Totvs (3.000+ integradores com acesso remoto) cria uma superfície de ataque difícil de controlar. Organizações brasileiras com Protheus devem priorizar MFA para acesso VPN de integradores e monitoramento de comportamento em servidores de aplicação. **Setores afetados:** [[financial|financeiro]] · [[government|governo]] · [[healthcare|saúde]]