# T1601.002 - Downgrade System Image > **Técnica pai:** [[t1601-modify-system-image|T1601 - Modify System Image]] ## Descrição **T1601.002** descreve a prática de adversários que **instalam deliberadamente uma versão mais antiga do sistema operacional** em dispositivos de rede - roteadores, switches, firewalls e outros equipamentos embarcados - com o objetivo de enfraquecer as defesas e expandir a superfície de ataque. Versões desatualizadas de firmware e IOS frequentemente contêm cifras criptográficas fracas, protocolos legados habilitados por padrão e ausência de recursos de segurança presentes nas versões mais recentes. O processo de downgrade em dispositivos embarcados é técnicamente simples: basta substituir o arquivo de imagem do sistema operacional armazenado na memória flash do equipamento por uma versão anterior. Na maioria dos dispositivos de rede, isso é feito carregando uma cópia da imagem desejada (obtida de repositórios oficiais ou fontes comprometidas) e reconfigurando o bootloader para inicializar a partir desse arquivo no próximo ciclo de reinicialização. O adversário pode executar o downgrade imediatamente reiniciando o dispositivo ou aguardar a próxima jánela de manutenção para não levantar alertas de disponibilidade. Esta sub-técnica é frequentemente usada em conjunto com [[t1601-001-patch-system-image|T1601.001 - Patch System Image]], onde o adversário primeiro faz o downgrade para uma versão vulnerável e depois aplica patches customizados para inserir backdoors ou modificar o comportamento do sistema. O downgrade também é um vetor eficaz para reabilitar vulnerabilidades já corrigidas, como protocolos de autenticação fracos ou cifras deprecadas exploradas por [[t1600-weaken-encryption|T1600 - Weaken Encryption]]. ## Como Funciona O ataque segue uma sequência bem definida em ambientes de rede corporativa: **1. Acesso inicial ao dispositivo:** O adversário obtém acesso administrativo ao equipamento de rede, geralmente através de credenciais padrão não alteradas, exploração de vulnerabilidades de autenticação, ou comprometimento de sistemas de gerenciamento centralizados (como servidores TACACS+ ou RADIUS). Acesso via console, SSH ou interface web de administração são os vetores mais comuns. **2. Identificação da versão alvo:** O atacante identifica qual versão do IOS, NX-OS, JunOS ou firmware embarcado é vulnerável ao objetivo desejado - sejá uma cifra fraca, um protocolo legado (Telnet, SNMPv1/v2) ou uma vulnerabilidade de execução remota de código já corrigida em versões mais recentes. **3. Transferência da imagem:** A imagem do sistema operacional antigo é transferida para o dispositivo via TFTP, FTP, SCP ou HTTP - protocolos comumente habilitados em ambientes de rede legados. Em alguns casos, a imagem é colocada em um servidor controlado pelo adversário na rede local. **4. Reconfiguração do bootloader:** O adversário modifica a configuração de boot para apontar para a nova imagem. Em dispositivos Cisco, isso é feito via comando `boot system` na configuração global. O arquivo de configuração (`startup-config`) é salvo para persistir a mudança. **5. Reinicialização e verificação:** O dispositivo é reiniciado - imediatamente ou agendado - e passa a operar com o sistema operacional mais antigo e vulnerável. A partir deste ponto, o adversário pode explorar as fraquezas reintroduzidas. ## Attack Flow ```mermaid graph TB A[Acesso administrativo<br/>ao dispositivo de rede] --> B[Enumeração da versão atual<br/>show version / show system] B --> C[Identificação da versão vulnerável alvo] C --> D[Transferência da imagem antiga<br/>via TFTP / SCP / HTTP] D --> E[Configuração do bootloader<br/>boot system flash: imagem-antiga.bin] E --> F{Reinicialização imediata<br/>ou agendada?} F -->|Imediata| G[reload] F -->|Agendada| H[Aguarda jánela de manutenção] G --> I[Dispositivo reinicia com OS antigo] H --> I I --> J[Vulnerabilidades reativadas] J --> K[Cifras fracas habilitadas<br/>T1600 - Weaken Encryption] J --> L[Protocolos legados disponíveis<br/>Telnet, SNMPv1/v2c] J --> M[Backdoor via Patch System Image<br/>T1601.001] K --> N[Interceptação de tráfego<br/>Man-in-the-Middle] L --> O[Movimento lateral na rede] M --> P[Acesso persistente oculto] ``` ## Exemplos de Uso Embora T1601.002 sejá uma técnica de nicho - restrita a adversários com acesso administrativo a equipamentos de rede - ela tem sido documentada em campanhas de espionagem patrocinadas por estados nacionais direcionadas a infraestrutura crítica: **Campanha de comprometimento de roteadores Cisco (atribuída a grupos alinhados à Rússia):** Relatórios do NCSC britânico e da NSA documentaram adversários comprometendo roteadores Cisco legacy, revertendo firmwares para versões que suportam o protocolo de gerenciamento Smart Install sem autenticação, permitindo execução remota de código. Dispositivos em setores de energia e governo foram os principais alvos. **Operações de infraestrutura de rede na LATAM:** O [[sources|CERT.br]] e parceiros regionais documentaram comprometimentos de roteadores CPE de provedores de internet brasileiros onde adversários reverteram firmwares para versões com credenciais padrão conhecidas ou interfaces web vulneráveis, utilizando os dispositivos como proxies para operações posteriores. **Grupos APT de estado-nação:** [[g1017-volt-typhoon|Volt Typhoon]] (China) foi documentado comprometendo dispositivos de rede de borda - roteadores SOHO e equipamentos Cisco - como infraestrutura de staging para operações contra infraestrutura crítica americana. Técnicas de manipulação de firmware foram identificadas nas análises. ## Detecção A detecção de downgrade de sistema operacional em dispositivos de rede requer monitoramento contínuo de integridade e auditoria de mudanças de configuração: ```yaml title: Detecção de Downgrade de Sistema Operacional em Dispositivos de Rede status: experimental logsource: category: network_device product: generic detection: selection_version_change: EventType: "configuration_change" ConfigSection: "boot" CommandKeyword: - "boot system" - "boot image" selection_downgrade: NewVersion|lt: CurrentVersion condition: selection_version_change level: high tags: - attack.defense_evasion - attack.t1601.002 ``` ```yaml title: Transferência de Imagem de Firmware via Protocolo Não Seguro status: experimental logsource: category: network_traffic product: generic detection: selection: DestinationPort: - 69 Protocol: "UDP" Filename|endswith: - ".bin" - ".img" - ".ios" - ".tar" condition: selection level: medium tags: - attack.defense_evasion - attack.t1601.002 ``` **Estrategias adicionais:** - Implementar verificação de integridade criptográfica de imagens (hash SHA-256 verificado contra lista de versões aprovadas) - Configurar alertas em sistemas de NMS/SYSLOG para qualquer mudança no output de `show version` - Usar TACACS+ com auditoria completa de comandos para capturar tentativas de modificação de boot - Monitorar transferências TFTP/FTP de arquivos com extensões típicas de firmware no perímetro ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1046 | [[m1046-boot-integrity\|M1046 - Boot Integrity]] | Habilitar Secure Boot e verificação criptográfica de imagem nos dispositivos suportados; válidar assinatura digital de firmware antes de qualquer atualização | | M1045 | [[m1045-code-signing\|M1045 - Code Signing]] | Aceitar apenas imagens de firmware assinadas pelo fabricante; rejeitar imagens sem assinatura válida ou com assinatura de versões deprecadas | | M1026 | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Restringir acesso ao modo privilegiado (enable/configure terminal) a contas nominais com MFA; eliminar contas compartilhadas e credenciais padrão | | M1032 | [[m1032-multi-factor-authentication\|M1032 - Multi-factor Authentication]] | Exigir MFA para acesso SSH e console a dispositivos de rede críticos via TACACS+ ou RADIUS com suporte a segundo fator | | M1027 | [[m1027-password-policies\|M1027 - Password Policies]] | Implementar senhas complexas e rotação regular; usar AAA centralizado - nunca credenciais locais em dispositivos de produção | | M1043 | [[m1043-credential-access-protection\|M1043 - Credential Access Protection]] | Proteger servidores de gerenciamento AAA (TACACS+/RADIUS) com segmentação de rede e monitoramento de acesso; usar type 9 (scrypt) para hashes de senha local | ## Contexto Brasil/LATAM O Brasil possui uma das maiores infraestruturas de redes de telecomúnicações da América Latina, com milhões de roteadores CPE, switches de borda e equipamentos de provedores de internet (ISPs) distribuídos pelo país - muitos dos quais operam com firmwares desatualizados por restrições operacionais e contratos de manutenção inflexíveis. Essa realidade cria um terreno fértil para T1601.002. Incidentes documentados pelo [[sources|CERT.br]] incluem comprometimentos massivos de roteadores domésticos e CPEs de ISPs regionais, onde adversários reverteram firmwares para versões com vulnerabilidades conhecidas para usar os dispositivos como botnets de proxy ou pontos de entrada para redes corporativas. O setor de energia e o governo federal brasileiro - que operam extensas redes WAN com equipamentos legados - são os segmentos com maior exposição a esta técnica. Para organizações brasileiras, a mitigação mais crítica é o inventário e monitoramento centralizado de versões de firmware, especialmente em equipamentos de borda e dispositivos de rede distribuídos geograficamente. Programas de substituição de equipamentos EOL (End of Life) e a adoção de políticas de gestão de configuração baseadas em automação (como Ansible/NAPALM) são passos fundamentais para reduzir a superfície de ataque. ## Referências - [[t1601-modify-system-image|T1601 - Modify System Image]] - [[t1601-001-patch-system-image|T1601.001 - Patch System Image]] - [[t1600-weaken-encryption|T1600 - Weaken Encryption]] - [[m1046-boot-integrity|M1046 - Boot Integrity]] - [[m1045-code-signing|M1045 - Code Signing]] - [[m1026-privileged-account-management|M1026 - Privileged Account Management]] - [[m1032-multi-factor-authentication|M1032 - Multi-factor Authentication]] - [[sources|CERT.br]] - [[g1017-volt-typhoon|Volt Typhoon]] *Fonte: MITRE ATT&CK - T1601.002*