# T1590.006 - Network Security Appliances ## Descrição A técnica T1590.006 descreve como adversários coletam informações detalhadas sobre os dispositivos de segurança de rede de uma organização-alvo durante a fase de reconhecimento. Appliances de segurança de rede incluem firewalls de próxima geração (NGFW), sistemas de detecção e prevenção de intrusão (IDS/IPS), proxies, gateways de filtragem de conteúdo, load balancers, dispositivos de acesso remoto (VPN gateways), e outras soluções de segurança perimetral. O conhecimento sobre esses dispositivos - incluindo fabricante, modelo, versão de firmware e configuração - é extremamente valioso para adversários que planejam um ataque, pois permite adaptar as técnicas de intrusão para evadir controles específicos e explorar vulnerabilidades conhecidas. Esta sub-técnica está inserida no contexto de [[t1590-gather-victim-network-information|T1590 - Gather Victim Network Information]] e representa uma das formas mais estratégicas de reconhecimento. Um adversário que sabe exatamente qual firewall protege uma organização - por exemplo, Palo Alto Networks PAN-OS versão 10.x, Fortinet FortiGaté, Cisco ASA ou Check Point - pode buscar CVEs específicos para aquele produto, verificar se a organização aplicou os patches mais recentes, e preparar exploits direcionados. O caso da [[cve-2024-47575|CVE-2024-47575]] no FortiManager, explorada pelo [[unc5820|UNC5820]], exemplifica como o reconhecimento prévio de appliances Fortinet em organizações-alvo precedeu ataques em larga escala. O grupo [[g1017-volt-typhoon|Volt Typhoon]], patrocinado pela China e com histórico de operações contra infraestrutura crítica, é documentado pelo MITRE ATT&CK como usuário desta técnica. A CISA, NSA e FBI públicaram em 2024 avisos conjuntos descrevendo como o Volt Typhoon utiliza esta e outras técnicas de reconhecimento para mapear a infraestrutura de telecomúnicações, energia e sistemas de controle industrial nos EUA e aliados, buscando posicionar-se para potencial sabotagem em caso de conflito geopolítico. O mesmo padrão de operação é observado em alvos latino-americanos de interesse estratégico. ## Como Funciona Adversários utilizam múltiplos vetores para coletar informações sobre appliances de segurança de rede sem necessáriamente interagir diretamente com os sistemas da vítima: **1. Varredura passiva e banners de serviço:** Ferramentas como [[t1596-search-open-technical-databases|Shodan]], Censys e ZoomEye indexam continuamente a internet, capturando banners de serviços que frequentemente revelam fabricante, modelo e versão de firmware de dispositivos de segurança expostos. Um firewall com a interface de gerenciamento web acessível na internet frequentemente exibe essas informações antes mesmo de qualquer autenticação. **2. Análise de certificados TLS/SSL:** Certificados digitais de dispositivos VPN e firewalls muitas vezes contêm o Common Name (CN) ou Subject Alternative Names (SAN) que identificam o produto (ex: `fortinet.com`, `checkpoint.com`, `paloaltonetworks.com`). Serviços como Censys e crt.sh indexam esses certificados públicamente. **3. Resposta a erros HTTP:** Páginas de erro customizadas, mensagens de autenticação e headers HTTP de dispositivos de segurança frequentemente revelam o fabricante. O header `Server:` pode indicar `Fortinet-FortiGaté`, `Check_Point` ou `Cisco-ASA`. **4. Job postings e documentação pública:** Vagas de emprego da organização-alvo frequentemente listam tecnologias em uso (ex: "experiência com Palo Alto NGFW e Cisco ISE requerida"). Apresentações em conferências, whitepapers e documentação técnica pública também podem revelar a stack de segurança. **5. Phishing para coleta de informações:** [[t1598-phishing-for-information|Phishing for Information]] direcionado a administradores de rede pode coletar credenciais ou informações sobre a infraestrutura de segurança através de pretextos convincentes (ex: pesquisas falsas de satisfação de fornecedores). **6. Varredura ativa de fingerprinting:** [[t1595-active-scanning|Active Scanning]] com ferramentas como Nmap usando scripts NSE específicos (`http-auth-finder`, `ssl-cert`, `banner`) pode identificar dispositivos de segurança por suas respostas características. O risco de detecção é maior nesta modalidade. ## Attack Flow ```mermaid graph TB A["Adversário define alvo<br/>(organização crítica)"] --> B["Reconhecimento passivo<br/>Shodan / Censys / ZoomEye"] A --> C["Análise de certificados TLS<br/>crt.sh / Censys"] A --> D["OSINT aberto<br/>job postings / documentos"] B --> E["Identifica appliances expostos<br/>(firewall, VPN, IDS/IPS)"] C --> E D --> E E --> F["Correlaciona fabricante + versão<br/>Fortigaté 7.2 / PAN-OS 10.x"] F --> G["Pesquisa CVEs específicos<br/>para versão identificada"] G --> H["Verifica exploits públicos<br/>NVD / ExploitDB / Shodan"] H --> I{"Patch aplicado?"} I -->|"Não"| J["Explora CVE<br/>T1190 Exploit Public Facing"] I -->|"Sim"| K["Adapta TTP<br/>Bypassa controles conhecidos"] J --> L["Acesso inicial à rede"] K --> L ``` ## Exemplos de Uso **Volt Typhoon - Infraestrutura crítica (2023-2024):** O grupo chinês [[g1017-volt-typhoon|Volt Typhoon]] é o único threat actor documentado pelo MITRE ATT&CK como usuário desta técnica. Relatórios da Microsoft, CISA e Lumen Technologies descrevem como o grupo realizou reconhecimento extensivo de dispositivos de segurança de rede de organizações de infraestrutura crítica - especialmente roteadores SOHO, firewalls e VPN gateways - antes de comprometer esses dispositivos para estabelecer infraestrutura de relay ("living off the land") para operações futuras. **UNC5820 - Exploração FortiManager (2024):** O grupo rastreado como UNC5820 explorou a [[cve-2024-47575|CVE-2024-47575]] (CVSS 9.8) no FortiManager, afetando dezenas de organizações que não tinham aplicado patches. A identificação de versões vulneráveis do FortiManager expostos via Shodan foi parte documentada da fase de reconhecimento que precedeu a exploração em massa. **APT41 - Reconhecimento de appliances em LATAM:** O grupo chinês [[g0096-apt41|APT41]], com histórico de operações tanto de espionagem quanto de crime financeiro, utiliza reconhecimento de appliances de segurança como parte de operações contra governos e empresas de telecomúnicações na América Latina. A identificação de versões desatualizadas de Cisco ASA e Fortinet FortiGaté foi correlacionada com campanhas subsequentes de exploração. **Operações de ransomware pré-intrusão:** Grupos de ransomware-as-a-service (RaaS) como [[lockbit|LockBit]] e affiliates do [[blackcat|ALPHV]] documentadamente realizam reconhecimento de gateways VPN antes de ataques. A identificação de Citrix Netscaler, Pulse Secure e Ivanti Connect Secure vulneráveis precedeu campanhas massivas de exploração dessas plataformas em 2023-2024. ## Detecção A detecção direta desta técnica é limitada, pois grande parte do reconhecimento ocorre fora dos perímetros monitorados da organização. As estrategias mais eficazes focam em monitorar a própria exposição da organização e correlacionar indicadores de reconhecimento com tentativas de acesso subsequentes. ```yaml title: Detecção de Fingerprinting de Appliance via Headers HTTP status: experimental logsource: category: webserver product: firewall detection: selection_repeated_auth_probes: http.response.status_code: - 401 - 403 http.request.uri|contains: - '/login' - '/auth' - '/admin' - '/webui' - '/management' timeframe: 5m condition: selection_repeated_auth_probes | count() by src_ip > 10 level: medium tags: - attack.reconnaissance - attack.t1590.006 - attack.t1595 ``` Estrategias complementares de detecção: - **Monitoramento de Shodan/Censys**: Usar a API do Shodan para receber alertas quando os IPs da organização são indexados ou quando novas informações são adicionadas ao perfil de dispositivos expostos. - **Honeypot de interface de gerenciamento**: Expor deliberadamente uma interface de gerenciamento falsa de appliance de segurança para capturar IPs de scanners e potenciais adversários. - **Análise de logs de VPN/firewall**: Correlacionar tentativas de autenticação com endereços IP presentes em feeds de threat intelligence como [[t1596-search-open-technical-databases|Shodan]], AbuseIPDB e Censys. - **Deception technology**: Implementar decoys que simulam dispositivos de segurança vulneráveis para identificar adversários em fase de reconhecimento ativo. ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1056-pre-compromise\|M1056]] | Pre-Compromise | Técnica em fase pré-comprometimento. Foco em reduzir a exposição de informações sobre appliances de segurança antes que o adversário possa utilizá-las. | **Medidas práticas de redução de superfície:** - **Não expor interfaces de gerenciamento na internet**: Interfaces web de firewalls, VPNs e outros appliances de segurança NUNCA devem estar acessíveis diretamente pela internet. Usar jump servers ou acesso out-of-band dedicado. - **Customizar ou remover banners e headers identificadores**: Muitos appliances permitem desabilitar ou modificar banners de serviço, headers HTTP e mensagens de erro que revelam fabricante e versão. Esta configuração deve ser parte do hardening padrão. - **Gerenciamento agressivo de patches**: CVEs em appliances de segurança de rede (Fortinet, Palo Alto, Cisco, Check Point) são alvos preferênciais de APTs. Manter um programa de patching com SLA máximo de 30 dias para HIGH e 7 dias para CRITICAL com exploit público. - **Segmentação de gerenciamento**: Isolar completamente a rede de gerenciamento de appliances em uma VLAN dedicada sem acesso externo, com autenticação multifator obrigatória. - **Revisão periódica de exposição**: Executar varreduras regulares usando Shodan e Censys nos próprios IPs externos para identificar o que está sendo exposto involuntariamente. ## Contexto Brasil/LATAM O Brasil e a América Latina apresentam características específicas que amplificam o risco desta técnica. Pesquisas do CERT.br e relatórios anuais de empresas como Kaspersky LATAM e Trend Micro indicam que organizações brasileiras, especialmente no setor público e em empresas de médio porte, frequentemente operam appliances de segurança com versões de firmware desatualizadas por meses ou anos após a públicação de correções críticas. A análise do Shodan para o bloco de endereçamento IP alocado ao Brasil via LACNIC revela consistentemente milhares de dispositivos Fortinet FortiGaté, Cisco ASA/FTD e Checkpoint expostos com versões vulneráveis. Estudos de 2024 identificaram que uma parcela significativa de dispositivos de segurança perimetral de organizações brasileiras de infraestrutura crítica (energia, telecomúnicações, financeiro) apresentavam versões afetadas por CVEs de alta criticidade e amplamente exploradas. O [[g1017-volt-typhoon|Volt Typhoon]] e grupos similares com interesse em posicionamento estratégico têm expandido operações para alvos latino-americanos, especialmente em setores de telecomúnicações, energia e governo, que são infraestrutura crítica em potencial contexto de conflito geopolítico. A identificação de appliances vulneráveis via reconhecimento passivo é o passo inicial documentado nessas campanhas. Adicionalmente, a crescente digitalização de infraestrutura pública brasileira - acelerada por programas como o BNDES Digital e iniciativas de governo eletrônico - sem crescimento proporcional na maturidade de segurança cria uma superfície de ataque expandida. Órgãos públicos municipais e estaduais frequentemente operam com firewalls e VPNs de baixo custo, pouco suportados e raramente atualizados, tornando-se alvos fáceis para adversários que mapeiam appliances via reconhecimento. ## Referências **Técnicas relacionadas:** - [[t1590-gather-victim-network-information|T1590 - Gather Victim Network Information]] (técnica pai) - [[t1595-active-scanning|T1595 - Active Scanning]] - [[t1596-search-open-technical-databases|T1596 - Search Open Technical Databases]] - [[t1583-001-domains|Domains]] - [[t1598-phishing-for-information|T1598 - Phishing for Information]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1133-external-remote-services|T1133 - External Remote Services]] - [[t1587-develop-capabilities|T1587 - Develop Capabilities]] - [[t1588-obtain-capabilities|T1588 - Obtain Capabilities]] **Threat Actors:** - [[g1017-volt-typhoon|Volt Typhoon]] - uso documentado por MITRE ATT&CK - [[g0096-apt41|APT41]] - operações em LATAM com reconhecimento de appliances - [[unc5820|UNC5820]] - exploração FortiManager pós-reconhecimento **CVEs relacionados:** - [[cve-2024-47575|CVE-2024-47575]] - FortiManager explorado após reconhecimento de versões vulneráveis **Mitigações:** - [[m1056-pre-compromise|M1056 - Pre-Compromise]] --- *Fonte: [MITRE ATT&CK - T1590.006](https://attack.mitre.org/techniques/T1590/006)*