t1562-013-disable-or-modify-network-device-firewall

# T1562.013 - Disable or Modify Network Device Firewall ## Técnica Pai Sub-técnica de [[t1562-impair-defenses|T1562 - Impair Defenses]] ## Descrição Adversários podem desabilitar completamente os mecanismos de firewall em dispositivos de rede ou adicionar, remover e modificar regras específicas para contornar controles de tráfego. Firewalls em dispositivos de rede - roteadores, switches gerenciados, appliances UTM e firewalls dedicados - constituem o perímetro de segmentação entre zonas de rede e são alvos de alto valor para atacantes que precisam viabilizar comúnicações C2, movimentação lateral ou exfiltração de dados que de outra forma seriam bloqueadas. Ao modificar ou desabilitar essas proteções, o adversário pode abrir canais de comunicação não autorizados sem acionar alertas baseados em detecção de tráfego anômalo - pois o tráfego passa a ser técnicamente "permitido" pelas políticas do próprio dispositivo. Isso é especialmente crítico em ambientes onde firewalls de rede são o único controle de segmentação implantado, como é comum em redes industriais (OT/ICS) e ambientes de pequenas e médias empresas. O acesso ao console de gerenciamento do firewall pode ser obtido por meio de [[t1078-valid-accounts|Contas Válidas]] comprometidas, exploração de vulnerabilidades em interfaces de administração expostas via [[t1190-exploit-public-facing-application|Exploit de Aplicação Pública]] ou pivotamento interno após comprometimento inicial de um host na rede. ## Como Funciona **1. Obtenção de acesso ao console de gerenciamento** O adversário primeiro obtém credenciais administrativas do dispositivo de rede - sejá por força bruta contra interfaces Telnet/SSH/HTTP expostas, reutilização de credenciais padrão de fábrica, credenciais capturadas de um host Windows via LSASS ou exploração de CVEs conhecidos em interfaces web de gerenciamento (comum em firewalls de fabricantes como Fortinet, SonicWall, Zyxel e Palo Alto). **2. Modificação das regras de firewall** Uma vez com acesso privilegiado, o adversário executa uma ou mais das seguintes ações: - Insere regras de *permit any-any* entre segmentos internos, efetivamente desabilitando a segmentação entre VLANs - Adiciona regras de saída que permitem tráfego em portas não convencionais para IPs externos controlados pelo atacante (infraestrutura C2) - Remove ou desabilita regras de bloqueio que antes impediam acesso direto a sistemas críticos (controladores industriais, servidores de backup, sistemas de autenticação) - Modifica ACLs de roteadores para permitir tráfego entre zonas previamente isoladas - Desabilita inspeção stateful ou funcionalidades de IPS/IDS integradas ao dispositivo **3. Persistência das modificações** Em dispositivos Cisco IOS, Juniper JunOS e similares, as configurações modificadas são salvas com `write memory` ou `commit` para sobreviver a reinicializações. Em alguns casos, o adversário também cria usuários backdoor locais no dispositivo para garantir acesso persistente mesmo que as credenciais originais sejam rotacionadas. **4. Encobrimento das alterações** Adversários avançados podem exportar a configuração original, modificá-la e reimportá-la de forma que as mudanças sejam minimamente visíveis em diffs de configuração. Também é comum desabilitar o syslog do dispositivo para o servidor de logging central antes de fazer as modificações, eliminando evidências nos logs. > [!example] Fortinet CVE-2024-47575 (FortiJump) - Exploração em Massa > A vulnerabilidade [[cve-2024-47575|CVE-2024-47575]] no FortiManager, explorada pelo grupo [[unc5820|UNC5820]], foi usada para obter acesso a consoles de gerenciamento de firewall FortiGaté em centenas de organizações globalmente. Uma vez com acesso, adversários podiam modificar políticas de firewall em toda a frota gerenciada a partir de um único ponto de comprometimento - maximizando o impacto da técnica T1562.013 em escala empresarial. > [!example] Zyxel CVE-2023-28771 - Redes SMB no Brasil > Dispositivos Zyxel amplamente usados por PMEs e provedores de internet no Brasil foram afetados por uma vulnerabilidade de injeção de comandos não autenticada. Grupos de ameaça exploraram essa falha para obter shells em dispositivos Zyxel e modificar regras de firewall - transformando equipamentos de rede de empresas brasileiras em nós de infraestrutura de botnet e ponto de pivô para ataques a redes corporativas internas. > [!example] Grandoreiro - Desabilitação de Firewall Windows via Dispositivo Gerenciado > O banking trojan [[s0531-grandoreiro|Grandoreiro]], embora primariamente um malware de endpoint, em algumas variantes executa comandos para modificar regras de firewall do Windows Defender Firewall (via netsh) em dispositivos que também funcionam como roteadores/gateways em redes domésticas e de pequenos escritórios - cenário comum no Brasil onde o mesmo computador serve como gateway da rede local. ## Attack Flow ```mermaid graph TB A[Reconhecimento de infraestrutura de rede] --> B[Identificação de console de gerenciamento exposto] B --> C{Método de acesso} C --> C1[Exploração de CVE em interface web] C --> C2[Credenciais padrão / força bruta SSH] C --> C3[Credenciais obtidas de host comprometido] C1 & C2 & C3 --> D[Acesso administrativo ao dispositivo] D --> E[Modificação das regras de firewall] E --> E1[Inserção de regra permit any-any] E --> E2[Abertura de portas para C2 externo] E --> E3[Remoção de bloqueios entre segmentos] E1 & E2 & E3 --> F[Persistência das mudanças] F --> F1[write memory / commit] F --> F2[Criação de usuário backdoor local] F1 & F2 --> G[Encobrimento de evidências] G --> G1[Desabilitar syslog remoto] G --> G2[Limpar logs locais do dispositivo] G1 & G2 --> H[Objetivos viabilizados] H --> H1[Comúnicação C2 desbloqueada] H --> H2[Movimentação lateral irrestrita] H --> H3[Exfiltração de dados sem bloqueio] ``` ## Exemplos de Uso > [!example] APT38 (Lazarus Group Financial Operations) > O [[g0082-apt38|APT38]], braço financeiro do [[g0032-lazarus-group|Lazarus Group]] responsável por bilhões de dólares em roubos a instituições financeiras, documentadamente modifica firewalls de rede em bancos-alvo para abrir canais de comunicação com sua infraestrutura SWIFT fraudulenta. Em ataques a bancos no Bangladesh (2016) e em instituições sul-americanas, o grupo utilizou acesso privilegiado à rede interna para modificar ACLs em roteadores de borda, permitindo exfiltração de dados de transações SWIFT sem acionamento de alertas de DLP. ## Detecção > [!tip] Estrategia de Detecção > A detecção eficaz requer centralização de logs de configuração de dispositivos de rede via Syslog/SNMP. Sem logs estruturados dos dispositivos, modificações de firewall são práticamente invisíveis. Priorize a habilitação de logging detalhado em todos os dispositivos de rede e correlacione mudanças de configuração com jánelas de mudança aprovadas. **Sigma - Modificação de Regra de Firewall via CLI de Dispositivo de Rede** ```yaml title: Modificação Não Autorizada de Regra de Firewall em Dispositivo de Rede status: experimental logsource: category: network_device product: generic detection: selection: EventType: configuration_change Command|contains: - 'permit any any' - 'no ip access-list' - 'delete firewall policy' - 'set security policy' - 'no firewall enable' filter_change_window: ChangeWindow: true condition: selection and not filter_change_window level: high tags: - attack.defense_evasion - attack.t1562.013 ``` **Sigma - Acesso SSH a Dispositivo de Rede Fora do Horário Comercial** ```yaml title: Acesso Administrativo a Dispositivo de Rede em Horário Anômalo status: experimental logsource: category: authentication product: network_device detection: selection: EventType: login_success Protocol: - SSH - Telnet - HTTPS Hour|lt: 6 selection2: Hour|gt: 22 condition: selection or selection2 level: medium tags: - attack.defense_evasion - attack.t1562.013 - attack.initial_access - attack.t1078 ``` **Fontes de dados recomendadas:** - Syslog centralizado de todos os dispositivos de rede (Cisco IOS, Juniper JunOS, Fortinet, Palo Alto) - SNMP traps para alterações de configuração - Comparação periódica de configuração via ferramentas de Network Configuration Management (Oxidized, Rancid, Ansible) - Alertas de autenticação em consoles de gerenciamento (TACACS+, RADIUS) - NetFlow/IPFIX para detecção de novos fluxos de tráfego em portas ou segmentos anteriormente bloqueados ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1047 | [[m1047-audit\|M1047 - Audit]] | Implante Network Configuration Management (NCM) com comparação automática de configurações (diff). Alertas devem ser emitidos para qualquer mudança fora de jánelas de manutenção aprovadas. Ferramentas como Oxidized ou Ansible Vault podem armazenar snapshots de configuração e detectar desvios. | | M1018 | [[m1018-user-account-management\|M1018 - User Account Management]] | Aplique o princípio de menor privilégio em todos os dispositivos de rede. Use TACACS+ ou RADIUS com autenticação multifator para acesso administrativo. Elimine contas locais genéricas (admin, cisco, guest) e use contas nominais com rastreabilidade. Segmente o acesso de gerenciamento em uma VLAN dedicada out-of-band. | | M1051 | [[m1051-update-software\|M1051 - Updaté Software]] | Mantenha firmware de dispositivos de rede atualizado. Vulnerabilidades em interfaces web de gerenciamento de firewalls (Fortinet, SonicWall, Zyxel, Cisco ASA) são frequentemente exploradas para obter acesso inicial. Subscreva-se a advisories dos fabricantes e priorize patches de CVEs com CVSS ≥ 8.0 em interfaces de gerenciamento. | ## Contexto Brasil/LATAM > [!warning] Alta Relevância para Infraestrutura Crítica Brasileira > O Brasil possui uma das maiores superfícies de ataque em dispositivos de rede na América Latina, com milhões de equipamentos de rede expostos à internet - muitos sem atualizações de firmware há anos. Provedores de acesso regionais (ISPs de médio porte) e PMEs frequentemente operam com equipamentos Mikrotik, Zyxel, TP-Link e Intelbras sem monitoramento centralizado de configuração, tornando-os alvos fáceis para modificações silenciosas de firewall. O setor financeiro brasileiro é alvo recorrente de grupos como o [[g0082-apt38|APT38]] que, após comprometer redes de bancos, modificam firewalls internos para viabilizar comúnicações com sistemas SWIFT fraudulentos. O Banco Central do Brasil e a Febraban possuem requisitos de segmentação de rede para participantes do SPB (Sistema de Pagamentos Brasileiro), mas a fiscalização do cumprimento técnico desses requisitos é variável. Em ambientes industriais brasileiros (energia, petróleo e gás, saneamento), a convergência IT/OT criou cenários onde firewalls de rede são o único controle entre redes corporativas e sistemas de controle industrial (SCADA/ICS). Modificações silenciosas nesses dispositivos podem ter consequências físicas - cenário documentado em ataques a infraestrutura de água nos EUA e na Ucrânia que servem como referência de risco para o Brasil. Recomendações específicas: - Implante Network Configuration Management (NCM) com alertas em tempo real para todos os dispositivos de borda e firewall - Nunca exponha interfaces de gerenciamento de firewall diretamente à internet - use jump hosts ou VPN dedicada para acesso administrativo - Audite periodicamente regras de firewall contra a política de segmentação documentada - regras "temporárias" tendem a permanecer indefinidamente - Para ambientes com BACEN/CMN, documente e teste a segmentação de rede conforme Resolução CMN 4.658/2018 e Circular BCB 3.909/2018 ## Threat Actors que Usam - [[g0082-apt38|APT38]] ## Software Associado - [[s0531-grandoreiro|Grandoreiro]] (malware) ## Referências - CISA Advisory AA22-011A - "Understanding and Mitigating Russian State-Sponsored Cyber Threats to U.S. Critical Infrastructure" - Fortinet PSIRT - CVE-2024-47575 (FortiJump) Advisory - MITRE ATT&CK - T1562: Impair Defenses - parent technique overview - Cisco Talos - "Network device compromise campaigns targeting financial institutions" - CERT.br - Guia de Boas Práticas em Segurança de Dispositivos de Rede (2023) --- *Fonte: MITRE ATT&CK - T1562.013*