Protocolos antigos e credenciais fracas expõe a infraestrutura crítica

Postado por Gerson Raymond em nov 3, 2025 em BÁSICO, DIVERSOS, EXPLORANDO, NOTÍCIAS |

Comentários desativados

$Protocolos antigos e credenciais fracas expõe a infraestrutura crítica$

O retorno do legado: Como protocolos antigos e credenciais fracas expõe a infraestrutura crítica a hacktivistas

O alerta emitido pelo Centro Canadense de Cibersegurança (Cyber Centre), e detalhado pelo BoletimSec, sobre a exploração de protocolos desatualizados e credenciais padrão em sistemas de controle industrial (ICS) é um lembrete severo da falha de segurança mais fundamental no ambiente de Tecnologia de Operação (OT): a negligência com o legado. Grupos de hacktivistas, impulsionados por visibilidade política e impacto simbólico, estão explorando vulnerabilidades elementares em setores essenciais como energia, saneamento, transporte e manufatura. A facilidade com que esses ambientes, frequentemente conectados diretamente à internet, são invadidos demonstra que, apesar da sofisticação das ameaças de ransomware, a porta dos fundos mais usada é aquela deixada aberta por decisões de design de décadas atrás.

A crise de design: Estabilidade versus segurança nos ICS

Os sistemas industriais, como Controladores Lógicos Programáveis (PLCs) e Interfaces Homem-Máquina (HMIs), foram projetados em uma época em que o isolamento da rede (o chamado air-gap) era a principal, senão única, medida de segurança. A prioridade era estabilidade e desempenho, não a segurança cibernética. Essa filosofia de design resulta em uma série de problemas persistentes que os hacktivistas exploram hoje:

Protocolos sem criptografia: Muitos sistemas ainda dependem de protocolos legados, como Modbus, DNP3 e OPC Classic, que transmitem dados e comandos em texto puro, sem qualquer autenticação robusta ou criptografia. Isso permite que invasores não apenas interceptem dados (espionagem), mas também injetem comandos falsos, manipulando sensores ou válvulas.
Credenciais de fábrica e padrão: A prevalência de senhas padrão de fábrica e contas administrativas sem autenticação multifator (MFA) em dispositivos críticos é um erro primário, mas ainda comum. Essas credenciais são o ponto de entrada de menor resistência para um atacante.

O relatório AL25-016 do Cyber Centre é enfático: as consequências da manipulação desses sistemas podem ir além da interrupção digital, gerando paradas de produção, falhas ambientais e riscos reais à segurança dos trabalhadores.

O scanner do adversário: Shodan e a exposição pública

O processo de ataque a sistemas industriais não começa com uma operação stealth (furtiva); começa com a busca por alvos fáceis. Os invasores utilizam ferramentas de busca especializadas, como Shodan e Censys, que são apelidadas de “os mecanismos de busca para a Internet das Coisas e de Sistemas Industriais”. Essas ferramentas permitem que qualquer pessoa identifique dispositivos industriais que estão conectados publicamente à internet.

Uma vez localizados, os atacantes seguem um roteiro simples, mas eficaz:

Varreduras automáticas: Testam rapidamente listas de credenciais conhecidas e padrões de configuração.
Exploração de acesso remoto: Buscam falhas em serviços comuns de acesso remoto (como RDP e VNC) para assumir o controle total dos painéis de supervisão (HMIs).

A facilidade com que hacktivistas obtêm capturas de tela e configurações de sistemas comprometidos, que são subsequentemente divulgadas em fóruns, demonstra que a exposição pública desses ativos é o maior facilitador do ataque.

Estratégias de mitigação: O imperativo da segmentação e da autenticação

As recomendações do Cyber Centre sublinham que a solução para a crise de segurança OT passa pela adoção de práticas defensivas que já deveriam ser padrão há anos:

Bloqueio imediato de acesso direto à internet (OT): A medida mais urgente é eliminar qualquer acesso direto da internet aos equipamentos de Tecnologia Operacional (OT). A rede OT deve ser estritamente isolada da rede corporativa (TI) e da internet.
Segmentação de rede e VPNs restritas: Em vez de um air-gap total, que é impraticável na era da manutenção remota e da análise preditiva, a segmentação de rede (com firewalls industriais e security zones) e o uso de VPNs restritas com listas de controle de acesso (ACLs) são essenciais para gerenciar conexões remotas inevitáveis.
Adoção de protocolos seguros e MFA: A substituição de protocolos antigos por versões seguras (com autenticação e criptografia nativas) e a implementação de Autenticação Multifator (MFA) em todas as contas administrativas de PLCs e HMIs eliminariam a exploração de credenciais padrão.

Conclusão

A exploração de falhas em protocolos antigos e credenciais fracas nos sistemas industriais demonstra que a sofisticação do atacante nem sempre é o fator limitante; a higiene cibernética deficiente da vítima é o verdadeiro ponto fraco. O alerta do Canadá serve como uma chamada global à ação: a infraestrutura crítica deve migrar urgentemente da mentalidade de “segurança por obscuridade” para a defesa baseada em frameworks de segurança industrial. Ignorar o legado técnico no ambiente de OT é um convite aberto à disrupção. A proteção da infraestrutura crítica exige um investimento imediato em segmentação, autenticação robusta e a eliminação da exposição de ativos industriais na internet.

Referências Bibliográficas

CISA (Cybersecurity and Infrastructure Security Agency) – Industrial Control Systems (ICS) Advisories. O portal da CISA que fornece avisos e diretrizes sobre vulnerabilidades específicas e ameaças direcionadas a sistemas de controle industrial, auxiliando na priorização de patches e mitigação. Disponível em https://www.cisa.gov/news-events/cybersecurity-advisories
BOLETIM SEC. https://boletimsec.com/falhas-em-protocolos-antigos-e-credenciais-facilitam-ataques-a-sistemas-industriais/