Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança

Sep 3, 2024

Quando invasores querem entrar em um estabelecimento, eles procuram uma abertura. Uma porta aberta é uma das brechas que um hacker ou ator de ameaças procura para acessar uma rede digital. Essa porta aberta pode estar em um firewall, um servidor ou qualquer dispositivo de computação conectado à rede. Assim como uma única porta destrancada pode comprometer sua privacidade e conceder acesso a um edifício físico, uma única porta aberta pode fornecer um ponto para hackers invadirem seus sistemas, expondo você a suas intenções maliciosas.

Abaixo, compartilhamos as portas mais vulneráveis e estratégias críticas de segurança para proteção contra elas.

Visão geral das vulnerabilidades de portas abertas

Uma porta aberta dentro da sua rede é uma vulnerabilidade. Ela oferece um ponto de entrada potencial para acesso não autorizado, permitindo a evasão de seus firewalls ou outras medidas de segurança e o acesso à sua rede. Uma vez dentro, eles podem iniciar os ataques desejados ou realizar reconhecimento para aprender mais sobre sua organização e como explorá-la. Portas abertas representam um risco significativo de security risk e devem ser uma alta prioridade para a gestão de segurança.

Importância de proteger portas abertas

Para reduzir sua vulnerabilidade a ataques, você deve diminuir sua superfície de ataque. Você pode fazer isso reduzindo o número de portas abertas em seus sistemas. Por exemplo, permitir conexões externas do Protocolo de Área de Trabalho Remota (RDP, porta 3389) pode fornecer aos usuários legítimos acesso remoto à sua rede corporativa. Mesmo assim, isso representa uma oportunidade para atores de ameaças procurarem portas RDP abertas para explorar ativamente.

O que são portas?

Definição e propósito

Uma porta pode ser vista como uma passagem virtual que acomoda o tráfego de rede para serviços e aplicações específicos. Um número único identifica cada porta para se diferenciar. Essas portas podem ser gerenciadas por administradores designados que podem abri-las ou fechá-las para permitir ou bloquear certos tipos de tráfego. Por exemplo, o tráfego da web depende das portas 80 e 443. Se você tem um servidor hospedando uma aplicação web para usuários externos, precisa abrir essas portas para conceder-lhes acesso. Todas as portas não utilizadas devem ser fechadas.

Tipos de portas: TCP e UDP

Os protocolos de transporte mais comuns com números de porta são o Transmission Control Protocol (TCP) e o User Datagram Protocol (UDP). Softwares e serviços são projetados para usar TCP ou UDP e têm um número de porta designado.

  • TCP é um protocolo orientado à conexão com retransmissão e recuperação de erros integradas. TCP geralmente é um protocolo mais confiável.
  • UDP é um protocolo sem conexão que não recupera ou corrige erros de mensagens. É conhecido como o protocolo de melhor esforço.

Estados dos portos

As portas TCP e UDP estão em um destes três estados, dependendo das suas necessidades:

  • Aberto — A porta responde a solicitações de conexão.
  • Fechado — A porta está inacessível, indicando que não há serviço correspondente em execução.
  • Filtrado — O firewall monitora o tráfego e bloqueia solicitações de conexão em portas específicas.

Riscos de segurança associados a portas abertas

Os atores de ameaças utilizam portas abertas para realizar ataques e explorar vulnerabilidades. Abaixo, compartilhamos alguns exploits e ataques comuns que atores maliciosos aproveitam e, em seguida, detalhamos dois ataques famosos através de vulnerabilidades de portas abertas.

Explorações e ataques comuns

  • Uma open RDP connection pode ser usada para iniciar um ataque de preenchimento de credenciais para acessar um servidor ou entregar um payload de ransomware.
  • Um ataque de Denial of service (DoS) envia muitos pedidos de conexão de várias máquinas para interromper um serviço específico. Um exemplo típico seria direcionar as portas web de um servidor para consumir sua largura de banda e recursos, impedindo que usuários legítimos acessem o serviço.
  • Portas de serviços web são comumente utilizadas como pontos de entrada para lançar ataques como injeção de SQL e falsificação de solicitação entre sites para explorar vulnerabilidades dentro das próprias aplicações.
  • Ataques do tipo man-in-the-middle podem ser usados para interceptar o tráfego de dados não criptografados em portas conhecidas a fim de coletar informações sensíveis. Um exemplo é o redirecionamento do tráfego de dados para interceptar o tráfego de e-mails.

Estudos de caso: WannaCry, RDP Pipe Plumbing

Um dos ataques mais famosos foi o ataque de WannaCry Ransomware lançado em 2017. O ataque foi realizado globalmente, afetando mais de 300.000 computadores em 150 países. O ataque explorou uma vulnerabilidade no protocolo SMB na porta 445. Uma vez que os atacantes infiltraram na organização, eles criptografaram seus arquivos e exigiram um pagamento de resgate.

RDP Pipe Plumbing é uma vulnerabilidade no Remote Desktop Protocol que explora pipes nomeados do Windows. Atacantes visam a porta RDP 3389 para criar instâncias falsas de servidor de pipe com o mesmo nome que as legítimas. Eles então usam esses pipes falsificados para interceptar comunicações entre clientes e servidores RDP. Esse ataque man-in-the-middle permite acesso não autorizado a dados sensíveis, incluindo conteúdos da área de transferência e transferências de arquivos.

Portas vulneráveis e seus riscos

Abaixo está uma lista de vulnerabilidades de portas abertas. Leia para aprender quais são mais suscetíveis a exploração.

Vulnerabilidades da Porta 21 (FTP)

O Protocolo de Transferência de Arquivos (FTP) é atribuído à porta 21. O FTP permite que os usuários enviem e recebam arquivos em uma transmissão não criptografada para e de servidores. O FTP é considerado obsoleto e inseguro e não deve ser usado para nenhuma transferência de arquivos, especialmente dados sensíveis, pois pode ser facilmente explorado usando qualquer um dos seguintes métodos:

  • Força bruta em senhas
  • Autenticação anônima (é possível fazer login na porta FTP com “anonymous” como nome de usuário e senha)
  • Cross-site scripting
  • Ataques de travessia de diretório
  • Ataque de interceptação

Vulnerabilidades da Porta 22 (SSH)

A porta 22 é comumente usada para conexões Secure Shell. É preferida em relação ao Telnet porque a conexão é criptografada. Frequentemente usada para gerenciamento remoto, a Porta 22 é uma porta TCP para garantir acesso remoto seguro. Apesar de sua segurança aprimorada, ainda sofre de algumas vulnerabilidades básicas:

  • Chaves SSH vazadas. Se as chaves SSH não estiverem devidamente seguras, podem ser acessadas por um atacante para obter entrada sem ter a senha necessária.
  • Força bruta em credenciais. Portas SSH abertas são facilmente descobertas, permitindo que atacantes tentem adivinhar combinações de nome de usuário e senha.

Vulnerabilidades da Porta 23 (Telnet)

O Telnet é um protocolo TCP que utiliza a porta 23. Ele se conecta a dispositivos remotos que utilizam interfaces de linha de comando, como switches, roteadores e servidores. Assim como o FTP, o Telnet é não criptografado, obsoleto e considerado inseguro. Foi superado pelo SSH. Algumas de suas vulnerabilidades comuns incluem:

  • Força bruta de credenciais. Os atacantes exploram vulnerabilidades de portas abertas para lançar tentativas de login repetidas contra serviços expostos, tentando obter acesso não autorizado através da adivinhação de credenciais.
  • Spoofing e captura de credenciais. Portas abertas podem expor serviços a atacantes que as exploram para interceptar e roubar credenciais, frequentemente se passando por entidades legítimas durante a transmissão de dados.

Vulnerabilidades da Porta 25 (SMTP)

A porta 25 é utilizada pelo Simple Mail Transfer Protocol (SMTP) para enviar e receber e-mails. O SMTP foi desenvolvido quando a cibersegurança não era uma preocupação significativa, portanto, pode ser facilmente explorado sem soluções de segurança de terceiros. Sem a configuração e proteção adequadas, esta porta TCP está vulnerável a ameaças como:

  • Spoofing. Os atacantes podem falsificar cabeçalhos de e-mail para fazer com que as mensagens pareçam vir de uma fonte confiável.
  • Spamming. Servidores SMTP desprotegidos podem ser explorados para enviar grandes volumes de e-mails não solicitados, frequentemente sobrecarregando sistemas e disseminando malware.
  • Man-in-the-middle, especialmente quando o próprio e-mail é enviado em texto não criptografado.

Vulnerabilidades da Porta 53

A porta 53 é utilizada pelo Domain Name System (DNS), que traduz nomes de domínio legíveis por humanos, como facebook.com ou linkedin.com, em endereços IP. O DNS é essencial para o tráfego da internet e opera usando tanto UDP quanto TCP para consultas e transferências, respectivamente. Esta porta é particularmente vulnerável a ataques de Negação de Serviço Distribuído (DDoS), onde atacantes sobrecarregam o servidor DNS com um fluxo de solicitações, podendo interromper o serviço.

  • Ataques DDoS. Esses são ataques comuns nos quais os atacantes tentam sobrecarregar o servidor com grandes volumes de pacotes para causar interrupção do serviço. Esse vetor de ataque possui algumas variações, como DDoS (negação de serviço distribuída) e ataques de amplificação DNS.

Vulnerabilidades das portas 137 e 139 (NetBIOS sobre TCP) e 445 (SMB)

As portas 137 e 139 (NetBIOS sobre TCP) e 445 (SMB) são comumente associadas ao compartilhamento de arquivos e comunicação em rede em ambientes Windows. No entanto, também são conhecidas por serem vulneráveis a várias ameaças de segurança:

  • Exploração do EternalBlue. Este ataque tira proveito das vulnerabilidades do SMBv1 em versões antigas de computadores da Microsoft. Tornou-se bem conhecido após o ataque de ransomware WannaCry lançado em escala global em 2017.
  • Captura de hashes NTLM. Os atacantes podem interceptar e capturar hashes NTLM e usá-los para se autenticar como usuários legítimos.
  • Força bruta em credenciais de login SMB. Os atacantes podem tentar obter acesso tentando sistematicamente diferentes combinações de nome de usuário e senha até encontrarem as credenciais corretas.

Vulnerabilidades das portas 80, 443, 8080 e 8443 (HTTP e HTTPS)

Qualquer pessoa que tenha visitado uma página da web utilizou os protocolos HTTP ou HTTPS em seu navegador. Como mencionado, as portas da web são comumente visadas por atacantes para muitos tipos de ataques, incluindo:

  • Cross-site scripting. Os atacantes injetam scripts maliciosos em páginas da web e aplicações para roubar cookies, tokens ou dados.
  • Injeções de SQL. Os atacantes inserem código SQL malicioso em campos de entrada para manipular um banco de dados.
  • Falsificadores de solicitação entre sites.Um atacante explora a confiança entre o navegador web de um usuário e uma aplicação web para enganar o usuário a realizar ações em um site sem seu conhecimento ou consentimento.
  • Ataques DDoS

Vulnerabilidades das portas 1433, 1434 e 3306 (Utilizadas por bancos de dados)

Estas são as portas padrão para SQL Server e MySQL. Elas são usadas para realizar uma variedade de atos maliciosos, incluindo:

  • Distribuição de malware. Os atacantes usam portas abertas para infiltrar-se em uma rede, distribuindo software malicioso que pode comprometer sistemas, roubar dados ou danificar a infraestrutura.
  • Cenários de DDoS. Vulnerabilidades de portas abertas são exploradas para sobrecarregar serviços com tráfego massivo em ataques de Negação de Serviço Distribuído (DDoS), tornando os sistemas inutilizáveis.
  • Encontre bancos de dados desprotegidos com configurações padrão exploráveis. Portas abertas podem expor bancos de dados com configurações fracas ou padrão, permitindo que atacantes os explorem eficientemente para obter acesso não autorizado e manipular ou roubar informações sensíveis.

Vulnerabilidades da porta 3389 (Remote Desktop)

  • Vulnerabilidades do Remote Desktop Protocol expõem o RDP a ataques de força bruta e ataques man-in-the-middle.

• A vulnerabilidade BlueKeep (CVE-2019-0708) é uma vulnerabilidade RDP encontrada em sistemas operacionais antigos da Microsoft, como o Windows 7 e o Windows Server 2008. O BlueKeep pode ser explorado para espalhar malware por uma organização sem a intervenção do usuário.

Passos para proteger portas abertas

Prefira portas criptografadas em vez de não criptografadas

A maioria dos serviços regulares usados em um ambiente baseado em IP agora possui uma versão criptografada do protocolo original em texto simples. Uma boa prática é mudar para a versão criptografada para evitar qualquer vazamento de dados enquanto as informações são transmitidas pelos fios.

Atualizações e correções regulares

A aplicação de patches mantém seus sistemas e firewalls atualizados. Os fornecedores lançam regularmente patches que reparam vulnerabilidades e falhas em seus produtos que os cibercriminosos poderiam usar para obter acesso total aos seus sistemas e dados.

Ferramentas de varredura de portas

Você também deve escanear e verificar suas portas regularmente. Existem três maneiras principais de fazer isso:

  • Ferramentas de linha de comando. Se você tem tempo para verificar e escanear portas manualmente, use ferramentas de linha de comando para identificar e escanear portas abertas. Exemplos incluem Netstat e Network Mapper, que você pode instalar em vários sistemas operacionais, incluindo Windows e Linux.
  • Scanners de portas. Se deseja resultados mais rápidos, considere usar um scanner de portas. Um programa de computador verifica se as portas estão abertas, fechadas ou filtradas. O processo é simples: O scanner envia uma solicitação de rede para se conectar a uma porta específica e captura a resposta.
  • Ferramentas de varredura de vulnerabilidades. As ferramentas de varredura de vulnerabilidades são aplicações automatizadas que identificam e inventariam ativos de TI, como servidores, desktops e dispositivos de rede, para detectar fraquezas de segurança. Elas verificam a existência de vulnerabilidades conhecidas resultantes de configurações incorretas ou programação defeituosa. Os resultados dessas varreduras fornecem informações valiosas sobre o nível de risco de uma organização e podem ser usados para recomendar estratégias eficazes de mitigação.

Monitoramento de alterações na configuração do serviço

Manter-se atualizado sobre quaisquer alterações de configuração feitas em seus servidores, firewalls, switches, roteadores e outros dispositivos de rede é importante, pois essas mudanças podem introduzir vulnerabilidades. Tais modificações podem ocorrer acidentalmente ou intencionalmente. Usando o Netwrix Change Tracker, você pode fortalecer seus sistemas acompanhando mudanças não autorizadas e outras atividades suspeitas. Em particular, ele oferece as seguintes funcionalidades:

  • Alertas acionáveis sobre mudanças de configuração
  • Gravação automática, análise, validação e verificação de cada alteração
  • Monitoramento de mudanças em tempo real
  • Monitoramento constante de vulnerabilidades de aplicativos

Usando sistemas de detecção e prevenção de intrusões (IDP e IPS)

IDS monitora o tráfego de rede em busca de sinais de atividades suspeitas ou ameaças conhecidas, enquanto o IPS vai além e bloqueia as ameaças detectadas. Ambos podem prevenir explorações comuns que visam portas abertas, incluindo injeções SQL, ataques DDoS e outras ameaças cibernéticas.

Implementando chaves SSH

As chaves SSH são menos vulneráveis a ataques de força bruta, phishing e erros humanos. Essas chaves criptografadas eliminam a necessidade de os usuários lembrarem e digitarem senhas, reduzindo assim a probabilidade de acesso não autorizado através de portas abertas. Existem dois tipos de chaves SSH:

  • Chaves privadas ou de identidade, que identificam os usuários e lhes concedem acesso
  • Chaves públicas ou autorizadas, que determinam quem pode acessar seu sistema

Conducting penetration tests and vulnerability assessments

Testes de penetração e avaliações de vulnerabilidade devem ser usados para identificar vulnerabilidades na infraestrutura de TI, embora cada um utilize uma abordagem diferente. Um teste de penetração (um pen test) é realizado por um profissional de segurança que simula um ciberataque em um sistema de computador ou rede para identificar e explorar vulnerabilidades. Ele mostra como um ataque pode infiltrar ativamente sua rede. Uma avaliação de vulnerabilidade, por outro lado, é uma varredura automatizada que identifica e prioriza vulnerabilidades conhecidas. Juntos, eles podem fornecer um resumo abrangente das vulnerabilidades do seu porto.

Melhores práticas para segurança de portas

  • Avaliando superfícies de ataque externas. Você deve avaliar regularmente a exposição da sua rede a ameaças externas, identificando e protegendo portas abertas que um invasor poderia explorar. Garanta que cada porta aberta seja necessária. Feche imediatamente portas associadas a aplicações ou serviços obsoletos.
  • Monitoramento contínuo para riscos emergentes. Implemente monitoramento constante e extensivo para detectar novas vulnerabilidades e ameaças associadas a portas abertas. Prossiga com resposta e mitigação oportunas quando necessário.
  • Avaliando o desempenho das portas abertas.Revise e avalie regularmente a segurança e funcionalidade de todas as portas abertas. Garanta que as portas abertas estejam adequadamente mapeadas para seus alvos internos designados e que o princípio do menor privilégio seja aplicado a todos os recursos aplicáveis.
  • Aderindo a um cronograma de atualizações consistente.Atualizações regulares podem trazer grandes dividendos de segurança. Certifique-se de que todas as atualizações relacionadas à segurança sejam implantadas imediatamente após o lançamento.
  • Serviços mal configurados, não atualizados e vulneráveis. Sistemas não atualizados ou mal configurados podem levar a um sistema comprometido. Verifique se todas as configurações seguem as melhores práticas de segurança. Implemente um sistema de monitoramento para alertar seu pessoal de suporte de rede quando uma mudança de configuração ocorrer.

Conclusão

Portas abertas são como uma espada de dois gumes. Por um lado, são essenciais para as operações do seu negócio para habilitar páginas da web, aplicações e serviços. Por outro lado, apresentam oportunidades para atores de ameaças infiltrarem e explorarem sua rede. Isso torna a gestão e monitoramento de portas abertas um aspecto crítico da segurança de rede e não pode ser excessivamente enfatizado. Sua organização deve ter uma política que delineie os procedimentos para a segurança de todas as portas abertas e garantir que todos os sistemas e softwares sejam atualizados regularmente. Portas inseguras como Telnet e FTP devem ser depreciadas e substituídas por soluções modernas que utilizem tecnologias seguras atuais. Realize avaliações regulares para garantir que todas as portas abertas sejam necessárias e confirmar que as configurações aderem às melhores práticas. Lembre-se de que, à medida que a tecnologia evolui, suas necessidades de portas também mudarão. Com a estratégia e o foco adequados, suas portas abertas podem permanecer ativos funcionais em vez de vulnerabilidades que expõem seu negócio a um risco maior.

Obtenha o Guia para Segurança de Rede

Orientação especializada para ajudá-lo a proteger sua rede, prevenir violações e se manter à frente das ameaças cibernéticas em evolução

Saiba mais

FAQ

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Dirk Schrader

VP de Pesquisa de Segurança

Dirk Schrader é um Resident CISO (EMEA) e VP de Pesquisa de Segurança na Netwrix. Com 25 anos de experiência em segurança de TI e certificações como CISSP (ISC²) e CISM (ISACA), ele trabalha para promover a ciberresiliência como uma abordagem moderna para enfrentar ameaças cibernéticas. Dirk trabalhou em projetos de cibersegurança ao redor do mundo, começando em funções técnicas e de suporte no início de sua carreira e, em seguida, passando para posições de vendas, marketing e gestão de produtos em grandes corporações multinacionais e pequenas startups. Ele publicou numerosos artigos sobre a necessidade de abordar a gestão de mudanças e vulnerabilidades para alcançar a ciberresiliência.

Saiba mais sobre este assunto

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Criar usuários do AD em massa e enviar suas credenciais por e-mail usando PowerShell

Como adicionar e remover grupos AD e objetos nos grupos com PowerShell

Atributos do Active Directory: Último Logon

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança