# T1059.008 - CLI de Dispositivos de Rede (Network Device CLI) ## Técnica Pai Esta é uma sub-técnica de [[t1059-command-scripting-interpreter|T1059 - T1059 - Command and Scripting Interpreter]]. ## Descrição A interface de linha de comando (CLI) é o principal canal de administração em roteadores, switches, firewalls e outros equipamentos de rede. Nesses dispositivos, a CLI é o equivalente funcional de um shell de sistema operacional: permite visualizar configurações, modificar o comportamento do equipamento, diagnosticar problemas e executar scripts de automação. Adversários que obtêm acesso a essa interface ganham controle direto sobre a infraestrutura de rede de uma organização. O abuso da CLI de dispositivos de rede é categorizado como sub-técnica de [[t1059-command-and-scripting-interpreter|T1059 - Interpretador de Comandos e Scripts]]. Diferentemente de sistemas operacionais convencionais, dispositivos de rede como roteadores Cisco IOS, Juniper Junos e equipamentos Huawei possuem seus próprios sistemas operacionais proprietários com CLIs específicas - mas a lógica de abuso é a mesma: o adversário usa comandos nativos do dispositivo para alterar seu funcionamento. O acesso à CLI pode ocorrer de duas formas principais: via console físico (acesso direto ao equipamento) ou por canais remotos como [[t1021-004-ssh|SSH]] ou Telnet. Uma vez autenticado, o atacante pode executar comandos para redirecionar tráfego, interceptar pacotes em trânsito, modificar tabelas de roteamento, alterar configurações de ACL (listas de controle de acesso), desativar logging e inserir backdoors persistentes na configuração de inicialização do dispositivo. Malwares especialmente desenvolvidos para infraestrutura de rede, como o [[s1186-line-dancer|Line Dancer]], exploram implants residentes em memória para executar comandos shell em roteadores comprometidos sem deixar rastros em disco - tornando a detecção ainda mais desafiadora. Esses implants são frequentemente introduzidos explorando vulnerabilidades de gerenciamento remoto, e depois mantidos via modificações na CLI que persistem entre reinicializações. **Contexto Brasil/LATAM:** A infraestrutura de telecomúnicações e redes corporativas no Brasil depende amplamente de equipamentos de fornecedores como Cisco, Huawei e Fortinet - todos alvos documentados de exploração via CLI de dispositivos de rede. Organizações dos setores financeiro, energia e telecomúnicações são especialmente vulneráveis: dispositivos legados com Telnet habilitado, senhas padrão não alteradas e ausência de segmentação de gerenciamento ainda são comuns em redes de médio e grande porte na região. A exploração da CLI de dispositivos de rede pode impactar diretamente a disponibilidade de serviços críticos e comprometer dados em trânsito em escala nacional. ## Attack Flow ```mermaid graph TB A[Acesso via SSH / Telnet] --> B[CLI DO DISPOSITIVO] B --> C[Modificação de Configuração] C --> D[Interceptação de Tráfego] D --> E[Persistência / Backdoor] ``` ## Como Funciona **1. Preparação** O adversário obtém credenciais de acesso ao dispositivo de rede - via força bruta, reutilização de credenciais, phishing direcionado a administradores de rede, ou exploração de vulnerabilidade no serviço de gerenciamento remoto (SSH, HTTP de gerenciamento, SNMP). Credenciais padrão não alteradas são um vetor frequente. **2. Execução** Com acesso à CLI, o atacante executa comandos nativos do sistema operacional do dispositivo para alcançar seus objetivos. Exemplos comuns incluem: inserir regras de roteamento que desviam tráfego para um host controlado pelo atacante; configurar port mirroring para espelhar tráfego; modificar ACLs para abrir portas antes bloqueadas; e adicionar usuários backdoor com privilégio de acesso total. **3. Pós-execução** O adversário garante a persistência escrevendo configurações maliciosas na memória não-volátil do dispositivo (`write memory` / `copy running-config startup-config`). Implants como [[s1186-line-dancer|Line Dancer]] operam exclusivamente em memória para evitar detecção por sistemas de análise de configuração. Logging de comandos e alertas SNMP são frequentemente desabilitados para cobrir os rastros. **Exemplo - artefatos de detecção:** ```bash # Cisco IOS: comandos suspeitos em sessão autenticada # show running-config - revisão de configuração (reconhecimento) # ip route 0.0.0.0 0.0.0.0 <ip-atacante> - redirecionamento de rota padrão # no logging buffered - desativação de logs locais # username backdoor privilege 15 secret <hash> - criação de usuário privilegiado # copy running-config startup-config - persistência da configuração maliciosa # Fonte de detecção: syslog do dispositivo, SNMP traps, NetFlow/IPFIX # Comparação de hash da configuração running vs. baseline conhecido ``` ## Detecção **Fontes de dados:** Syslogs de dispositivos de rede (configuração habilitada); comparação de configuração via RANCID/Oxidized contra baseline versionado em git; análise de NetFlow/IPFIX para desvios de roteamento inesperados; alertas SNMP para mudanças de configuração; análise comportamental de sessões SSH (comandos executados). ```yaml title: Modificação Crítica de Configuração em Dispositivo de Rede via CLI id: c7d3e5a2-8f10-4d91-b344-2e6a1f0c9b85 status: experimental description: Detecta execução de comandos de alto impacto em dispositivos de rede que indicam modificação de configuração maliciosa - roteamento, ACL, criação de usuário privilegiado ou desativação de logging logsource: category: network_device product: cisco_ios detection: selection_commands: message|contains: - 'ip route 0.0.0.0' - 'no logging' - 'username.*privilege 15' - 'copy running-config startup-config' - 'ip nat inside source static' - 'monitor session' selection_source: facility: 'LOCAL7' severity: - 'notice' - 'warning' condition: selection_commands falsepositives: - Atividades legítimas de administradores de rede em jánelas de manutenção - Scripts de automação de configuração (Ansible, Terraform) com aprovação documentada level: high tags: - attack.execution - attack.persistence - attack.t1059.008 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1038-execution-prevention\|M1038 - Prevenção de Execução]] | Implementar controle de acesso baseado em roles (RBAC) na CLI; restringir comandos disponíveis por nível de privilégio; usar listas de comandos autorizados (privilege exec) | | [[m1026-privileged-account-management\|M1026 - Gerenciamento de Contas Privilegiadas]] | Eliminar credenciais padrão; implementar AAA (Authentication, Authorization, Accounting) com TACACS+ ou RADIUS; usar MFA para acesso de gerenciamento remoto | | [[m1018-user-account-management\|M1018 - Gerenciamento de Contas]] | Auditar periodicamente usuários configurados nos dispositivos; remover contas genéricas e de serviço não utilizadas; versionar configurações em repositório Git via Oxidized ou RANCID | ## Software Associado - [[s1186-line-dancer|Line Dancer]] - implant em memória para roteadores Cisco IOS XE que executa comandos shell arbitrários via CLI sem persistência em disco --- *Fonte: [MITRE ATT&CK - T1059.008](https://attack.mitre.org/techniques/T1059/008)*