# T1592.003 - Firmware > [!info] Sub-técnica MITRE ATT&CK > **Tática:** Reconnaissance · **ID:** T1592.003 · **Técnica Pai:** [[t1592-gather-victim-host-information|T1592 - Gather Victim Host Information]] · **Versão:** 16.2 ## Descrição A sub-técnica **T1592.003 - Firmware** descreve o comportamento de adversários que coletam informações específicas sobre o firmware dos hosts de uma organização-alvo como parte da fase de reconhecimento. Firmware é o software de baixo nível gravado em componentes de hardware - incluindo BIOS/UEFI em computadores, firmware de roteadores, switches, firewalls, câmeras IP, controladores de armazenamento e dispositivos ICS/SCADA - que opera abaixo do sistema operacional e muitas vezes é negligenciado nos processos de atualização e patching. As informações de firmware coletadas incluem: tipo e versão do firmware (ex: AMI BIOS versão 2.17, Cisco IOS 15.6, Fortinet FortiOS 7.0.5), data de lançamento e histórico de patches, configurações específicas de segurança de firmware (Secure Boot habilitado/desabilitado, TPM, Intel ME), identificadores de hardware do fabricante e, em casos específicos, configurações de autenticação e certificados embarcados. Essas informações são de alto valor estratégico porque: (1) firmware raramente é atualizado, criando jánelas longas de exposição a vulnerabilidades conhecidas; (2) exploits de firmware são difíceis de detectar e remover; (3) a persistência em nível de firmware sobrevive a reinstalações de sistema operacional; (4) versões desatualizadas podem conter vulnerabilidades críticas com exploits públicos disponíveis. Adversários coletam essas informações através de múltiplos vetores. Fontes abertas como ofertas de emprego (que frequentemente listam tecnologias e versões utilizadas), relatórios de auditoria vazados, documentos técnicos públicados inadvertidamente, certificações de segurança (que incluem versões testadas) e perfis de profissionais de TI em plataformas como LinkedIn. Também utilizam [[t1598-phishing-for-information|Phishing para Informações]] direcionado a administradores de sistemas e de rede para elicitar detalhes sobre o ambiente de firmware. Bancos de dados técnicos abertos como Shodan, Censys e FOFA permitem identificar remotamente versões de firmware de dispositivos expostos à internet. O resultado dessa coleta informa diretamente [[Domínios Abertos]], [[t1596-search-open-technical-databases|Busca em Bases Técnicas Abertas]], [[t1587-develop-capabilities|Desenvolvimento de Capacidades]] (exploits de firmware customizados) e pode levar a [[t1195-supply-chain-compromise|Comprometimento de Cadeia de Suprimentos]] ou [[t1190-exploit-public-facing-application|Exploração de Aplicação Pública]]. ## Como Funciona **Mecanismo 1: OSINT Passiva de Versões de Firmware** O adversário pesquisa informações públicamente disponíveis sem interagir diretamente com os sistemas da vítima. Isso inclui análise de: - Páginas de suporte e changelogs públicos de fornecedores que mencionam versões em uso - Relatórios de auditoria de conformidade públicados (PCI-DSS, ISO 27001) que listam versões de dispositivos - Documentação técnica de RFPs (licitações públicas) que específicam hardware e versões - Comentários em fóruns técnicos de administradores da organização citando versões específicas - Respostas de banner de serviços como SSH, HTTP, SNMP que podem revelar versão de firmware **Mecanismo 2: Fingerprinting Remoto via Banners** Muitos dispositivos de rede expõem versões de firmware em banners de serviço. Um simples banner grab via SSH, Telnet ou HTTP pode revelar: ``` SSH-2.0-Cisco-1.25 (Cisco IOS XE 17.3.1) Server: FortiGaté-200F/v7.0.5-build0304 ``` Ferramentas como Shodan já catalogam esses banners automaticamente, tornando a identificação trivial para alvos com IPs públicos. **Mecanismo 3: Análise de Cabeçalhos SNMP** O protocolo SNMP (frequentemente exposto em dispositivos de rede) pode revelar detalhes de firmware via queries ao OID sysDescr (1.3.6.1.2.1.1.1). Se configurado com community string padrão (public), qualquer scanner pode coletar essa informação sem autenticação. **Mecanismo 4: Elicitação via Phishing** Spearphishing direcionado a administradores de rede pode incluir pretextos como "suporte técnico do fornecedor" solicitando informações de versão para "verificação de compatibilidade" ou "alerta de segurança urgente". O alvo é induzido a revelar voluntariamente versões de firmware. **Mecanismo 5: Análise de Imagens de Firmware Públicas** Muitos fabricantes disponibilizam imagens de firmware para download. Adversários analisam essas imagens (usando binwalk, strings, Ghidra) para identificar vulnerabilidades antes que exploits sejam públicados, preparando capacidades de exploração customizadas. ## Attack Flow ```mermaid graph TB A[Identificação do Alvo] --> B[Reconhecimento de Firmware] B --> C[Fontes Passivas OSINT] B --> D[Varredura Ativa de Banners] B --> E[Phishing para Elicitação] C --> F[Ofertas de Emprego e LinkedIn] C --> G[Shodan e Censys] C --> H[Documentos Técnicos Publicados] D --> I[Banner SSH / HTTP / SNMP] D --> J[Fingerprinting via Nmap Scripts] E --> K[Pretexto de Suporte Técnico] F --> L[Versão de Firmware Identificada] G --> L H --> L I --> L J --> L K --> L L --> M{Análise de Vulnerabilidades} M --> N[Firmware Desatualizado com CVE Público] M --> O[Firmware sem Secure Boot] M --> P[Versão com Backdoor Conhecido] N --> Q[Exploração de CVE de Firmware] O --> R[Implante de Firmware Persistente] P --> S[Acesso via Credencial Padrão] Q --> T[Comprometimento de Dispositivo] R --> T S --> T ``` ## Exemplos de Uso **Volt Typhoon - Alvos de Infraestrutura com Firmware Vulnerável** O grupo [[g1017-volt-typhoon|Volt Typhoon]], nexo de espionagem chinesa focado em infraestrutura crítica, é conhecido por identificar versões de firmware de dispositivos SOHO (roteadores domésticos/pequenos escritórios) como Cisco RV, Netgear e ASUS para construir redes de proxies de ataque. A seleção de dispositivos é baseada exatamente no reconhecimento prévio de versões de firmware vulneráveis identificadas via Shodan. **Grupos de Ransomware e Dispositivos de Borda** Operadores associados ao ransomware [[lockbit|LockBit]] e ao [[s0611-clop-ransomware|Clop]] realizam reconhecimento intenso de versões de firmware em dispositivos de VPN e firewall antes de lançar campanhas. CVEs críticos em FortiGaté (CVE-2022-42475), Citrix NetScaler (CVE-2023-3519) e Ivanti Connect Secure foram explorados após reconhecimento de versões via Shodan e Censys. **APTs com Interesse em Firmware UEFI** Grupos como [[g0007-apt28|APT28]] (Fancy Bear) e o grupo responsável pelo implante MoonBounce analisam versões de BIOS/UEFI de alvos específicos para desenvolver implantes de firmware persistentes. O reconhecimento de versões é o primeiro passo para selecionar quais targets são viáveis para esse tipo de ataque sofisticado. **LATAM: Ataques a Dispositivos de Rede Expostos** Grupos de ameaça com interesse na região coletam sistematicamente versões de firmware de roteadores de provedores de internet e equipamentos de empresas de telecomúnicações brasileiras expostos via Shodan. Dispositivos Huawei, ZTE e Mikrotik com firmwares desatualizados são alvos frequentes no Brasil. ## Detecção > [!warning] Visibilidade Muito Limitada > Esta técnica ocorre majoritariamente fora do perímetro organizacional. A maior parte da coleta de informações de firmware é invisível à organização-alvo. **O que monitorar:** - Logs de acesso a portais de suporte que listam versões de firmware (acesso anômalo de IPs não reconhecidos) - Queries SNMP não autorizadas para OIDs de versão de sistema - Banner grabbing em portas administrativas (SSH/Telnet/HTTPS) por IPs externos não reconhecidos - Monitoramento contínuo de assets no Shodan para identificar o que está exposto ```yaml title: Detecção de Query SNMP para Versão de Sistema status: experimental logsource: category: network product: snmp detection: selection_version_oid: oid|startswith: - '1.3.6.1.2.1.1.1' - '1.3.6.1.2.1.1.2' - '1.3.6.1.4.1' source_ip|cidr|not: '10.0.0.0/8' condition: selection_version_oid level: high tags: - attack.reconnaissance - attack.t1592.003 falsepositives: - Sistemas de monitoramento de rede legítimos externos (NMS) - Parceiros com acesso autorizado via SNMP ``` ```yaml title: Banner Grabbing em Dispositivos de Rede Críticos status: experimental logsource: category: firewall product: paloalto detection: selection: dst_port: - 22 - 23 - 443 - 8443 action: allow src_zone: untrust bytes_toserver|lt: 200 bytes_toclient|gt: 50 filter_known: src_ip|cidr: '10.0.0.0/8' condition: selection and not filter_known level: medium tags: - attack.reconnaissance - attack.t1592.003 falsepositives: - Scanners de segurança autorizados - Verificações de disponibilidade de provedores de uptime ``` ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1056-pre-compromise\|M1056]] | Pre-compromise | Reduzir a superfície de exposição de informações de firmware em canais públicos. Remover banners de versão de serviços administrativos. Desabilitar SNMP público ou restringir por ACL. | **Controles Adicionais Recomendados:** - **Supressão de Banners**: Configurar dispositivos de rede para não revelar versões de firmware em banners SSH/HTTP/SNMP - **ACL para SNMP**: Restringir queries SNMP exclusivamente a sistemas de monitoramento internos autorizados - **Inventário de Firmware**: Manter inventário atualizado e privado de versões de firmware para priorização de patches - **Programa de Atualização de Firmware**: Estabelecer processo regular de atualização de firmware para todos os dispositivos, especialmente os voltados à internet - **Auditoria de Exposição**: Realizar verificações regulares no Shodan e Censys para identificar dispositivos organizacionais expostos com versões de firmware visíveis - **Segmentação de Rede**: Manter dispositivos de infraestrutura em segmentos isolados sem acesso direto à internet ## Contexto Brasil/LATAM O reconhecimento de firmware de dispositivos é particularmente relevante no Brasil e na América Latina por razões estruturais: **Ciclo de Atualização Lento**: Pesquisas do [[sources|CERT.br]] apontam que um percentual significativo de dispositivos de rede em empresas brasileiras opera com firmwares com mais de 2 anos, muito além do período de suporte ativo dos fabricantes. **Exposição via Shodan**: Buscas no Shodan por `country:BR` combinadas com identificadores de firmware de roteadores domésticos e equipamentos de borda revelam dezenas de milhares de dispositivos com versões identificáveis, muitos com vulnerabilidades críticas conhecidas como CVE-2023-20073 (Cisco RV340) e CVE-2022-40684 (FortiOS). **Setor de Telecomúnicações**: Provedores de internet regionais (ISPs menores) no Brasil frequentemente operam equipamentos de CPE com firmware padrão de fábrica ou desatualizado. Esses dispositivos comprometidos são usados como proxies por grupos como o [[g1017-volt-typhoon|Volt Typhoon]] para atribuição difusa de ataques. **Infraestrutura Industrial**: Plantas industriais brasileiras nos setores de petróleo, energia e manufatura operam com equipamentos ICS/SCADA que raramente recebem atualizações de firmware por questões de estabilidade operacional, criando jánelas de vulnerabilidade de anos. O [[sources|CERT.br]] e a [[anatel|Anatel]] têm emitido alertas sobre esse vetor. **Recomendações para o Contexto Local:** - Seguir as diretrizes de hardening do CERT.br para dispositivos de rede - Implementar verificações de firmware no processo de homologação de equipamentos - Participar de grupos de compartilhamento de inteligência setorial (ex: CERA - Cyber Emergency Response Alliance LATAM) - Monitorar CVEs de firmware específicamente para o parque tecnológico instalado ## Referências - [MITRE ATT&CK - T1592.003](https://attack.mitre.org/techniques/T1592/003) - [MITRE ATT&CK - T1592 (técnica pai)](https://attack.mitre.org/techniques/T1592) - [CISA Advisory AA23-144A - Volt Typhoon](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a) - [CERT.br - Boas Práticas de Segurança em Dispositivos de Rede](https://www.cert.br/docs/whitepapers/) - [Shodan - Pesquisa de Dispositivos Expostos](https://www.shodan.io/) - [NIST NVD - CVE Database](https://nvd.nist.gov/vuln/search) - [Binwalk - Firmware Analysis Tool](https://github.com/ReFirmLabs/binwalk) --- *Fonte: [MITRE ATT&CK - T1592.003](https://attack.mitre.org/techniques/T1592/003) · Versão 16.2*