Relatório de Segurança — Demonstração

AKADNYX

Relatório de Segurança · VaaS

Demonstração — dados fictícios

Varredura de Vulnerabilidades

Contratante Distribuidora ACME Comércio S.A. CNPJ 00.000.000/0001-00 (fictício) Nº do serviço VAS-DEMO-2026 Escopo analisado 203.0.113.42 · acme-sa.com.br · painel.acme-sa.com.br Plano contratado Profissional Relatório emitido 30/03/2026

1. Sumário Executivo

de 100

Nível de Exposição: Crítico

Foram identificadas exposições significativas com risco imediato de comprometimento. Dois itens Críticos permitem execução remota não autenticada e acesso irrestrito à administração. Ação prioritária é necessária.

Crítico

Alto

Médio

Baixo

Informativo

Nota: Este relatório apresenta os resultados de uma análise não-intrusiva. Nenhum sistema foi comprometido, modificado ou colocado em risco durante a execução. Os achados representam vulnerabilidades identificadas, não confirmações de acesso indevido.

2. Análise Técnica

01 Execução remota não autenticada via serviço de acesso remoto (regreSSHion) Crítico

Endereço 203.0.113.42:22 CVE CVE-2024-6387 CVSS 8.1 — Crítico Área de risco Acesso Remoto / Controle do Servidor Identificado Versão do serviço de acesso remoto vulnerável à condição de corrida em processo de autenticação. A vulnerabilidade permite que um atacante externo obtenha execução de código com privilégios de sistema sem nenhuma credencial, explorando uma janela de tempo no handler de sinal SIGALRM.

Impacto para o negócio: Comprometimento total do servidor. Um atacante pode instalar ransomware, exfiltrar dados de clientes, criar backdoors persistentes e mover-se lateralmente para outros sistemas internos — sem precisar de nenhuma senha ou credencial prévia. Exploração pública documentada desde julho/2024.

Correção: Atualização imediata do serviço de acesso remoto para versão corrigida. Isolamento do serviço via VPN ou allowlist de IPs enquanto a correção é aplicada. Prazo recomendado: imediato — risco ativo.

02 Painel de administração remota exposto à internet sem camada de proteção adicional Crítico

Endereço 203.0.113.42:3389 — painel.acme-sa.com.br CVE Configuração — sem CVE específico Área de risco Exposição de Superfície de Ataque Identificado O protocolo de acesso remoto à área de trabalho (RDP) está acessível diretamente da internet sem VPN, firewall de aplicação ou autenticação multifator. O painel administrativo web não exige segundo fator de autenticação.

Impacto para o negócio: RDP exposto é o vetor de entrada mais explorado em ataques de ransomware no Brasil. Grupos como LockBit e BlackCat usam escaneamento automatizado para localizar servidores com RDP aberto e realizar ataques de força bruta ou usar credenciais compradas em fóruns criminosos. Tempo médio de exploração após exposição: menos de 24 horas.

Correção: Bloquear porta 3389 no firewall para acesso público imediatamente. Implementar VPN para acesso administrativo. Ativar autenticação multifator no painel web. Prazo recomendado: imediato.

03 Spoofing de e-mail possível — domínio sem proteção DMARC enforcement Alto

Endereço acme-sa.com.br — configuração DNS Área de risco Identidade de Domínio / Phishing Identificado O domínio possui registro SPF com política ~all (softfail) e o registro DMARC está ausente. Isso permite que qualquer servidor externo envie e-mails que aparentam ser originados de @acme-sa.com.br.

Impacto para o negócio: Atacantes podem enviar e-mails de phishing para seus clientes e fornecedores fingindo ser sua empresa — solicitando transferências bancárias, senhas ou dados. O golpe do "falso fornecedor" usa exatamente essa brecha. Seus clientes recebem um e-mail que parece legítimo vindo da sua empresa.

Correção: Alterar política SPF para -all (hardfail). Criar registro DMARC com política p=quarantine ou p=reject. Implementar DKIM em todos os servidores de envio. Prazo recomendado: 7 dias.

04 Negação de serviço amplificado via HTTP/2 Rapid Reset (CVE-2023-44487) Alto

Endereço acme-sa.com.br:443 CVE CVE-2023-44487 CVSS 7.5 — Alto Área de risco Disponibilidade do Serviço Identificado O servidor web aceita HTTP/2 sem mitigação para o ataque de "Rapid Reset". O protocolo permite que um atacante cancele streams em alta frequência, esgotando recursos do servidor com volume de tráfego muito inferior ao de um DDoS tradicional.

Impacto para o negócio: Indisponibilidade total do site e dos sistemas web expostos. Para empresas com e-commerce, portais de clientes ou integração via API, a exploração resulta em queda de receita e quebra de SLA. A vulnerabilidade foi usada em ataques em escala recorde em 2023 e 2024.

Correção: Atualizar servidor web (nginx/Apache/IIS) para versão com patch aplicado. Ativar proteção DDoS de camada 7 via CDN ou WAF. Prazo recomendado: 15 dias.

05 Autenticação sem segundo fator no sistema de gestão interno Alto

Endereço painel.acme-sa.com.br Área de risco Controle de Acesso Identificado O painel de gestão interna aceita autenticação apenas com usuário e senha. Nenhum mecanismo de segundo fator (TOTP, SMS, hardware token) foi identificado. O formulário de login não apresenta limitação de tentativas por IP.

Impacto para o negócio: Credenciais de funcionários são frequentemente comprometidas via phishing ou vazamentos. Sem MFA, uma senha comprometida equivale a acesso total ao sistema. 80% dos incidentes de invasão em PMEs envolvem credenciais válidas obtidas sem arrombamento técnico.

Correção: Implementar MFA obrigatório para todos os acessos administrativos. Ativar rate limiting e bloqueio temporário após tentativas falhas. Prazo recomendado: 30 dias.

06 Cabeçalhos de segurança HTTP ausentes (CSP, HSTS, X-Content-Type) Médio

Endereço acme-sa.com.br · painel.acme-sa.com.br Área de risco Proteção contra Ataques Web Identificado As respostas HTTP não incluem os cabeçalhos Content-Security-Policy, Strict-Transport-Security (HSTS) e X-Content-Type-Options. A ausência remove camadas de defesa contra injeção de scripts (XSS) e downgrade de protocolo.

Impacto para o negócio: Facilita ataques de injeção de código malicioso em páginas acessadas por usuários e clientes. Sessões podem ser interceptadas em conexões sem HTTPS forçado.

Correção: Adicionar cabeçalhos de segurança na configuração do servidor web ou proxy reverso. Implementação por configuração — sem alteração de código. Prazo: 15 dias.

07 Versão de software exposta nos cabeçalhos de resposta HTTP Médio

Endereço acme-sa.com.br:443 Área de risco Reconhecimento / Fingerprinting Identificado O cabeçalho Server nas respostas HTTP revela o nome e a versão exata do servidor web em uso. Essa informação reduz o esforço de reconhecimento para um atacante que queira explorar CVEs específicos para aquela versão.

Impacto para o negócio: Permite que atacantes automatizados direcionem exploits específicos para a versão identificada. Correlacionado com bases de CVEs públicas em tempo real.

Correção: Remover ou ocultar cabeçalho Server e X-Powered-By na configuração do servidor web. Prazo: 7 dias.

08 Certificado SSL com vencimento em 18 dias Médio

Endereço painel.acme-sa.com.br Área de risco Disponibilidade / Confiança Identificado O certificado TLS do painel administrativo vence em 18 dias. Após o vencimento, navegadores bloqueiam o acesso com aviso de segurança, tornando o sistema inacessível para usuários sem configuração de exceção manual.

Impacto para o negócio: Interrupção de acesso ao painel de gestão. Clientes que acessam portais com certificado vencido perdem confiança na empresa imediatamente.

Correção: Renovar certificado antes do vencimento. Implementar renovação automática via Let's Encrypt ou processo de monitoramento de expiração. Prazo: imediato.

09 Protocolos TLS 1.0 e 1.1 habilitados (descontinuados) Médio

Endereço acme-sa.com.br:443 Área de risco Criptografia de Tráfego Identificado O servidor aceita conexões via TLS 1.0 e 1.1, protocolos oficialmente descontinuados pelo IETF (RFC 8996) e desabilitados por padrão em todos os navegadores modernos desde 2021. Esses protocolos possuem vulnerabilidades conhecidas (POODLE, BEAST) que permitem decifrar sessões.

Impacto para o negócio: Tráfego entre clientes e o sistema pode ser decifrado em cenários de interceptação de rede (ex: redes Wi-Fi corporativas comprometidas). Também causa reprovação em auditorias de conformidade PCI-DSS e ISO 27001.

Correção: Desabilitar TLS 1.0 e 1.1. Aceitar apenas TLS 1.2 e 1.3. Prazo: 15 dias.

10 Algoritmos criptográficos SSH com curvas consideradas inseguras Médio

Endereço 203.0.113.42:22 Área de risco Configuração de Acesso Remoto Identificado O serviço de acesso remoto aceita algoritmos baseados em curvas NIST P-256 e SHA-1 como método de verificação de integridade. Ambos são considerados inseguros em contextos de alto risco pela comunidade de segurança.

Impacto para o negócio: Em cenário de interceptação de tráfego, a comunicação administrativa pode ser decifrada por agentes com recursos computacionais avançados (nações-estado, crime organizado sofisticado).

Correção: Atualizar configuração SSH para remover algoritmos legados. Usar apenas Ed25519 e Curve25519. Prazo: 30 dias.

11 Registro DNS CAA ausente — emissão não autorizada de certificados possível Baixo

Endereço acme-sa.com.br — configuração DNS Área de risco Configuração de DNS e Domínio Identificado Não há registro CAA (Certification Authority Authorization) no DNS do domínio. Qualquer autoridade certificadora global pode emitir certificados TLS para seus domínios sem autorização.

Impacto para o negócio: Permite que certificados fraudulentos sejam emitidos para seus domínios por ACs comprometidas, facilitando ataques de phishing altamente convincentes com HTTPS válido.

12 DNSSEC não configurado — vulnerável a envenenamento de cache DNS Baixo

Endereço acme-sa.com.br — configuração DNS Área de risco Configuração de DNS e Domínio Identificado O domínio não possui assinaturas DNSSEC. Sem DNSSEC, respostas DNS podem ser forjadas por atacantes em posição de intermediário (Kaminsky Attack), redirecionando usuários para servidores maliciosos.

Impacto para o negócio: Usuários que acessam seu site ou sistema podem ser silenciosamente redirecionados para páginas fraudulentas mesmo digitando o endereço correto.

13 Proteção contra Clickjacking ausente na página principal Baixo

Endereço acme-sa.com.br Área de risco Proteção contra Ataques Web Identificado A página principal não possui cabeçalho X-Frame-Options nem diretiva frame-ancestors no CSP, permitindo que o site seja embutido em iframes de páginas maliciosas.

Impacto para o negócio: Atacantes podem sobrepor botões invisíveis sobre páginas legítimas para induzir cliques em ações indesejadas (phishing por sobreposição).

14 Firewall de perímetro ativo — acesso direto por IP bloqueado Informativo

Endereço 203.0.113.42 Área de risco Positivo — controle de exposição Identificado Tentativas de acesso ao servidor diretamente pelo IP retornam erro de autorização. A superfície de ataque está parcialmente reduzida para esse vetor.

15 HTTPS ativo com redirecionamento automático de HTTP Informativo

Endereço acme-sa.com.br Área de risco Positivo — criptografia de tráfego Identificado Requisições HTTP são redirecionadas para HTTPS automaticamente. O tráfego em trânsito está criptografado por padrão para usuários do site principal.

16 Portas de serviços internos não expostas externamente Informativo

Endereço 203.0.113.42 — varredura de portas Área de risco Positivo — isolamento de serviços internos Identificado Portas de banco de dados, serviços internos e aplicações de gestão não estão acessíveis externamente. Segmentação de rede básica está em operação.

3. Resumo das Exposições

#	Exposição	Nível	Área
01	CVE-2024-6387 — Execução remota não autenticada (regreSSHion)	Crítico	Acesso Remoto
02	RDP exposto à internet sem VPN / MFA	Crítico	Superfície de Ataque
03	Spoofing de e-mail possível — DMARC ausente + SPF softfail	Alto	Identidade / Phishing
04	CVE-2023-44487 — HTTP/2 Rapid Reset (DoS)	Alto	Disponibilidade
05	Painel administrativo sem autenticação multifator	Alto	Controle de Acesso
06	Cabeçalhos de segurança HTTP ausentes	Médio	Proteção Web
07	Versão de software exposta nos cabeçalhos HTTP	Médio	Reconhecimento
08	Certificado SSL com vencimento em 18 dias	Médio	Disponibilidade
09	TLS 1.0 e 1.1 habilitados (protocolos descontinuados)	Médio	Criptografia
10	Algoritmos criptográficos SSH com curvas inseguras	Médio	Acesso Remoto
11	Registro DNS CAA ausente	Baixo	DNS / Domínio
12	DNSSEC não configurado	Baixo	DNS / Domínio
13	Proteção contra Clickjacking ausente	Baixo	Proteção Web
14–16	Firewall ativo · HTTPS ativo · Portas internas isoladas	Informativo	Positivos

Seu ambiente pode ter exposições
como essas ou mais graves.

60% das violações no Brasil exploram vulnerabilidades que já tinham correção disponível. Uma varredura profissional identifica o que está exposto antes que alguém externo descubra.

Solicitar varredura do meu ambiente →

Seu ambiente pode ter exposiçõescomo essas ou mais graves.

Seu ambiente pode ter exposições
como essas ou mais graves.