1 Pentest Interno – Lider BPO

RELATÓRIO TESTE DE INTRUSÃO INTERNO V2.0

Empresa Lider BPO.
 2 Pentest Interno – Lider BPO

Obje%vos

Este relatório inicial tem como obje1vo realizar um conjunto de testes de invasão em 4
hosts internos da empresa Lider BPO. O obje1vo do projeto é iden1ficar vulnerabilidades
de segurança conhecidas, com possibilidade de exploração por um invasor, que impacte
na confidencialidade, integridade ou disponibilidade.

Aviso Legal

O Pentest foi realizado durante o período de 20/05/2023 até 30/05/2023.

As constatações e recomendações, refletem as informações coletadas durante a
avaliação e estado do ambiente naquele momento e não quaisquer alterações realizadas
posteriormente fora deste período de análise. O trabalho desenvolvido pela equipe, por
agora, não tem como obje1vo corrigir as possíveis vulnerabilidades, nem proteger a
empresa contra-ataques internos e externos, o obje1vo é fazer um levantamento dos
riscos e recomendar formas para minimiza-los.

Limitações
Salientamos que o resultado apresentado neste relatório reflete apenas o momento em
que o site/aplicação foi analisado (a) e aponta vulnerabilidades encontradas, sem,
contudo, garan1r que todas as possíveis vulnerabilidades existentes no site/aplicação
estejam relatadas neste documento.

CONFIDENCIAL

Este documento contém informações proprietárias e confidenciais e todos os dados encontrados durante
os testes e presentes neste documento foram tratados de forma a garan7r a privacidade e o sigilo dos
mesmos. A Duplicação, redistribuição ou uso no todo ou em parte de qualquer forma requer o
consen7mento da LiderBPO.
3 Pentest Interno – Lider BPO

Controle de Versão do Relatório

AUTOR FUNÇÃO CONTROLE

Valdeir Silva PENTESTER TESTE E DOCUMENTAÇÃO

4 Pentest Interno – Lider BPO

ÍNDICE

1.0 OBJETIVOS E AVISOS ............................................................................................................................2

2.0 CONTROLE DE VERSÃO.........................................................................................................................3

3.0 INTRODUÇÃO .......................................................................................................................................5

4.0 ESCOPO.................................................................................................................................................6

5.0 METODOLOGIA ....................................................................................................................................6

6.0 CLASSIFICAÇÃO DAS VULNERABILIDADES ...........................................................................................8

7.0 SUMÁRIO EXECUTIVO..........................................................................................................................9

8.0 NARRATIVA TÉCNICA .........................................................................................................................11

8.1 COLETA DE INFORMAÇÕES..................................................................................................11

8.2 VARREDURA E ENUMERAÇÃO.............................................................................................11

8.3 ANÁLISE DE VULNERABILIDADE...........................................................................................16

8.4 EXPLORAÇÕES......................................................................................................................16

9.0 CONCLUSÕES E PLANOS DE AÇÃO.....................................................................................................22

10.0 APÊNDICE A – VULNERABILIDADES...................................................................................................34

5 Pentest Interno – Lider BPO

INTRODUÇÃO
A avaliação foi conduzida de maneira a simular uma invasão a par1r de um acesso
interno, com o obje1vo de determinar o impacto que possíveis vulnerabilidades de
segurança, no que diz respeito à integridade, disponibilidade e confidencialidade das
informações da companhia.

O método u1lizado para a execução do serviço proposto segue rigorosamente as

melhores prá1cas de mercado, garan1ndo a adequação às normas internacionais de
segurança da informação, os relatórios gerados apontam evidências quanto à segurança
do ambiente definido no escopo.

Principais Obje4vos

REFERÊNCIAS DE METODOLOGIAS DE SEGURANÇA

• ISO 27000 – Informa1on Security Management Systems
• OSSTMM (Open Source Security Tes1ng Methodology)
• OWASP Tes1ng Framework
• OWASP TOP 10 2021
• NIST Cybersecurity Framework
• Lei Geral de Proteção de Dados Pessoais (LGPD)

ESCOPO
TIPO DE AVALIAÇÃO DOMINIOS
6 Pentest Interno – Lider BPO

Líder.bpo
AD: 192.168.3.100
Pentest Gray Box Interno PFSENSE: 192.168.101.3 ou 192.168.3.2
BK: 192.168.3.102
Nasajon: 192.168.4.19

De acordo com o escopo proposto e acordado entre as partes, a avaliação escolhida foi
do 1po GrayBox (Com poucas informações prévias do ambiente).

Limitações do Escopo

As limitações estabelecidas pela equipe de pentesters e pela companhia foram:

• Não foi u1lizado engenharia social;

• Ataques Negação de Serviço em grande escala;

Metodologia

Para execução deste trabalho, foi adotado metodologia própria mesclada com padrões
existentes e solidamente reconhecidos, tais como PTES (Penetra1on Tes1ng Execu1on
Standard) e OWASP Top Ten, nos quais foram executadas as seguintes fases:

• Coleta de Informações
• Varredura
• Enumeração
• Exploração
• Documentação
Como se trata de um teste interno, partes da metodologia foram agrupadas.
Descrição:
7 Pentest Interno – Lider BPO

• A fase de coleta de informações tem como obje1vo mapear a superncie de ataque,

iden1ficando informações sobre blocos de IP, subdomínios e ambientes digitais de
propriedade da organização.

• A fase de varredura consiste em iden1ficar portas abertas, serviços a1vos e possíveis

mecanismos de defesa.

• A fase de enumeração permite iden1ficar detalhes sobre os serviços a1vos,

iden1ficando possíveis versões, fornecedores, usuários e informações que possam ser
úteis para o sucesso de um ataque.

• A fase de exploração tem como obje1vo explorar as possíveis vulnerabilidades

iden1ficadas nos serviços e sistemas iden1ficados nas fases anteriores e obter acesso
ao sistema.

• A fase de documentação consiste em relatar todos os resultados ob1dos nas fases

anteriores.

Classificação das vulnerabilidades

[WEB/MOB]-[numero
Cód. Iden4ficação: Classificação de Risco: [Cor do Risco]
sequencial]-[data]
8 Pentest Interno – Lider BPO

Vulnerabilidade: [nome]

Nível de Risco Código de Cor

Crí1co

Alto

Médio

Baixo

Calculadoras u1lizadas para maior asser1vidade ao classificar aos riscos e impactos de

cada vulnerabilidade para o negócio.

Figura 1 - h+ps://nvd.nist.gov/vuln-metrics/cvss/v3-calculator

Figura 2 - h+ps:/ /www.first.org/cvss/calculator/3. 0

9 Pentest Interno – Lider BPO

Sumário Execu%vo

Foi avaliado a postura de segurança da organização através de um Pentest Interno do

1po GrayBox. Os resultados das avaliações efetuadas no ambiente a par1r do acesso
externo, demonstram que a empresa possui riscos ciberné1cos com a presença de
vulnerabilidades de nível CRITICO que comprometem a integridade, disponibilidade e
confidencialidade.

PRINCIPAIS RISCOS
ME5 DIO ALTO CRI5TICO

6
5
4

0 0 0 0 1 0

SRV-DC-01 e Dominio SRV-NASAJON SRV-DR

As principais falhas encontradas:

• Criptografia SSL com vulnerabilidade

10 Pentest Interno – Lider BPO

RISCO VULNERABILIDADES – SSL

Médio SSL VIA SCAN NESSUS SRV AD

Médio SSL VIA SCAN NESSUS SRV DR

Médio SSL VIA SCAN NESSUS NASAJON

11 Pentest Interno – Lider BPO

Narra%va Técnica

Os testes iniciaram no dia 20 de maio de 2023 e suas a1vidades sendo concluídas em 30

de maio de 2023 com o consen1mento da organização respeitando o termo de
confidencialidade e também as cláusulas descritas no contrato, conforme metodologia
de trabalho da organização.

Coleta de Informações
Durante a fase de coleta de informações, é realizado scans nos domínios, aplicações e
endereços de IP relacionados a empresa, além de iden1ficar e coletar o máximo de
informações possíveis, que servem de insumo para as próximas fases do pentest. Neste
caso por ser um pentest interno GrayBox, a etapa de coleta de informações foi
subs1tuída pela fase de varredura e enumeração.

Varredura e Enumeração
De posse das faixas de IP, aplicações e serviços, é iniciado a fase de scan e enumeração,
para iden1ficar falhas e vulnerabilidades com possibilidade de exploração dos serviços.

Figura 3 - Varredura de portas e serviços no server DR – final 102.

12 Pentest Interno – Lider BPO

Figura 4 - Varredura de portas e serviços no server Nasajon – final 19.

Figura 5 - Varredura de portas e serviços no server PFSense – final 3 e 2.

13 Pentest Interno – Lider BPO

Figura 6 - Varredura de portas e serviços no server AD – final 100.

14 Pentest Interno – Lider BPO

Figura 7 - Enumeração dos serviços server 102

15 Pentest Interno – Lider BPO

Figura 8 - Enumeração dos serviços server Nasajon

16 Pentest Interno – Lider BPO

Figura 9 - Enumeração dos serviços Server AD

17 Pentest Interno – Lider BPO

Análise de Vulnerabilidade e Exploração

Nesta etapa é iden1ficado e classificado as vulnerabilidades encontradas através de
ferramentas automa1zadas e manuais focando nos achados médios, altos e crí1cos. O
teste de vulnerabilidade é o processo de descobrir falhas em sistemas e aplica1vos que
podem ser aproveitados por um invasor.

Figura 10 - Gráficos gerais apontados pela ferramenta Metasploit PRO

Maiores detalhes das vulnerabilidades estão disponíveis nos reports complementares em

anexo ao Email deste relatório.
18 Pentest Interno – Lider BPO

Figura 11 - Resultado da varredura da ferramenta Scanner NESSUS para o host SRV AD.

Figura 12 - Resultado da varredura da ferramenta Scanner NESSUS para o host SRV DR

19 Pentest Interno – Lider BPO

Figura 13 - Resultado da varredura da ferramenta Scanner NESSUS para o host Najason

Figura 14 - Resultado da varredura da ferramenta Scanner NESSUS para o host PFSense

20 Pentest Interno – Lider BPO

Resumo das tenta4vas de invasão bloqueadas pelo An4vírus

Durante a realização do pentest, foram deferidas diversas tenta1vas de invasão que

foram bloqueadas com sucesso pelo sistema de an1vírus de forma eficiente. Essas
ocorrências representam uma parte essencial do processo de segurança, demonstrando
a eficácia das medidas implementadas para proteger a infraestrutura de TI da
organização.
O an1vírus desempenhou um papel crucial na defesa do ambiente, detectando e
bloqueando uma variedade de ameaças em tempo real. Ao longo do pentest, foram
registradas as seguintes tenta1vas de invasão, todas elas neutralizadas com sucesso pelo
an1vírus:
Malwares: A solução de an1vírus iden1ficou e bloqueou efe1vamente testes de
malware, que teriam com obje1vo explorar vulnerabilidades no sistema operacional e
elevar acessos. A resposta rápida do an1vírus impediu qualquer dano potencial ao
ambiente de TI.
Payloads: A solução de an1vírus iden1ficou e bloqueou efe1vamente testes de payloads
prontos e payloads encodados via powershell, que teriam com obje1vo explorar
vulnerabilidades em memória e realizar ações maliciosas. A resposta rápida do an1vírus
impediu qualquer dano potencial ao ambiente de TI.

Essas são apenas algumas das tenta1vas de invasão que foram frustradas graças à
robusta e atualizada solução de an1vírus implantada no ambiente. É importante ressaltar
que a eficácia do an1vírus não se limita a essas ocorrências, mas se estende a um amplo
espectro de ameaças em constante evolução.
21 Pentest Interno – Lider BPO

Evidências:

Figura 15 - TentaWva 1 de inserir um payload codificado com powershell

Figura 16 - TentaWva 2 de parar o anWvírus via linha de comando

22 Pentest Interno – Lider BPO

Figura 17 - TentaWva 3 de inserir um payload malicioso na raiz C, na primeira parte podemos ver
o payload, quando tentamos executar o anWvírus entra em ação e o mesmo é removido em
seguida.

Conclusão da Análise Técnica

Conforme definido no escopo, as a1vidades foram executadas conforme o planejado, se

limitando ao foco de encontrar possíveis vulnerabilidades e incidentes que possam
comprometer a organização, simulando um agente malicioso. De acordo com todos os
procedimentos executados, e já iden1ficados, existem pontos de atenção que precisam
ser corrigidos com urgência. Todas as vulnerabilidades encontradas estão descritas em
suas respec1vas menções acima para a correta correção. Reforçamos que como as
tecnologias e os riscos mudam com o tempo, as vulnerabilidades relacionadas com o
funcionamento dos sistemas descritos neste relatório, bem como as ações necessárias
para reduzir a exposição a tais vulnerabilidades, também podem mudar e novos testes
de segurança devem ser conduzidos regularmente

Considerações Finais

A realização deste teste de segurança permi1u expandir os conhecimentos sobre os

hosts do escopo da empresa Lider BPO, iden1ficando vulnerabilidades e problemas de
segurança que poderiam causar impactos nega1vos dependendo do tempo disponível e
de quais as intenções do agente mal-intencionado.

Podemos concluir que a avaliação de segurança apresentada neste relatório é

fundamental para iden1ficar vulnerabilidades, testar e melhorar os controles e
mecanismos de defesa a fim de garan1r um bom grau de segurança da informação na
23 Pentest Interno – Lider BPO

organização, elevando o nível de maturidade e garan1ndo a seus usuários a segurança

dos acessos em seu ambiente corpora1vo.

Após a equipe de TI aplicar todas as correções sugeridas poderá ser realizado um novo
teste para a conferência da correção dos incidentes iden1ficados e comprovar que os
problemas foram devidamente resolvidos.
24 Pentest Interno – Lider BPO

Apêndice A – Vulnerabilidades
Neste apêndice será evidenciado algumas imagens de scan de vulnerabilidades médias
e baixas para futuras correções.

Figura 18 - Vulnerabilidades encontradas via openvas

Figura 19 - Vulnerabilidades encontradas via openvas

25 Pentest Interno – Lider BPO

Figura 20 - Vulnerabilidades encontradas via openvas

26 Pentest Interno – Lider BPO

Figura 21 - Vulnerabilidades encontradas via openvas

Figura 22 - Vulnerabilidades encontradas via openvas

27 Pentest Interno – Lider BPO

Correção de Vulnerabilidades

1. Aplicado as configurações de GPOs baseada em melhores prá1cas (CIS Benchmark) -

Hardening:
- Realizado uma revisão completa das polí1cas de grupo existentes no ambiente.
- Comparado as configurações atuais com as diretrizes do CIS Benchmark para
iden1ficar discrepâncias.
- Implementado as alterações para garan1r a conformidade com as melhores prá1cas
recomendadas.
- Documentado todas as alterações realizadas e mantendo um registro atualizado das
polí1cas de grupo.

2. Aplicação de an1vírus em todos os servidores:

- Implementado a solução de an1vírus selecionada em todos os servidores, garan1ndo
que as definições de vírus estejam atualizadas.
- Configurados varreduras automá1cas regulares em todos os servidores para garan1r
a detecção precoce de qualquer malware.
- Monitorado a1vamente os registros de an1vírus para iden1ficar possíveis ameaças e
tomar medidas corre1vas imediatas.

3. Realizar a troca de senha de todos os colaboradores:

- Comunicado a todos os colaboradores sobre a necessidade de alterar suas senhas de
acesso.
- Foi orientado os colaboradores a escolher senhas fortes e exclusivas, seguindo as
diretrizes de complexidade de senha da organização.
- Estabelecido um prazo para a troca de senha e monitorar a conformidade.
- Implementado uma polí1ca de expiração de senha regular para incen1var a prá1ca
de alteração periódica.
28 Pentest Interno – Lider BPO

4. Aplicado de hardening geral no ambiente (servidores e estações):

- Realizado uma revisão completa das configurações de segurança em todos os
servidores e estações de trabalho.
- Implementado as configurações de hardening recomendadas, incluindo desabilitação
de serviços desnecessários, configuração de firewalls, atualização de sovware e outras
medidas relevantes.
5. Trocado a senha do banco PostgreSQL:
- No1ficar os administradores e usuários do banco de dados sobre a necessidade de
trocar suas senhas.
- Seguir as melhores prá1cas para a criação de senhas fortes e exclusivas.
- Implementado um cofre de senha para garan1r o armazenamento de maneira segura
e criptografada no banco de dados.
- Monitorando o acesso ao banco de dados

6. Aplicar patches de segurança no ambiente:

- Feitas as úl1mas atualizações de segurança fornecidas pelos fornecedores de
sovware e sistemas operacionais u1lizados.
- Priorizamos a aplicação de patches crí1cos e corrigimos as vulnerabilidades
conhecidas que possam ser exploradas.

7. Remoção de arquivos sensíveis do servidor de arquivos:

- Realizado uma auditoria completa dos arquivos armazenados no servidor de arquivos.
- Iden1ficamos os arquivos sensíveis que não são mais necessários e não devem ser
armazenados no servidor.
- Implementados medidas de controle de acesso para garan1r que apenas os usuários
autorizados tenham acesso aos arquivos sensíveis.
29 Pentest Interno – Lider BPO

RISCO VULNERABILIDADE – BANCO DE DADOS SENHA DEFAULT

Alto Senha do banco postgres Nasajon com user e senha postgres

Resolvido com alteração da senha

RISCO VULNERABILIDADE – Armazenamento de texto simples de senha

Foi encontrado diversas senhas crí1cas de sistemas u1lizados pela empresa dentro dos
Médio
compar1lhamentos.
Removidos todos os arquivos com informações sigilosas

RISCO VULNERABILIDADES – SSL

Médio SSL VIA SCAN NESSUS SRV AD
Médio SSL VIA SCAN NESSUS SRV DR
Médio SSL VIA SCAN NESSUS NASAJON
Resolvido com polí1cas de SSL - criptografia

RISCO VULNERABILIDADE - Credenciais insuficientemente protegidas

Foi possível através do usuario de rede criado, realizar o dump completo de todas as
Médio
hashes de senhas dos usuários do domínio.
Resolvido com novos processos de acesso, permissões

RISCO VULNERABILIDADE - Requisitos de senha fraca

Fraqueza na politica de senha ocasionou a facilidade na quebra via bruteforce
Médio
de 50% das senhas.
Foi resolvido com novas políticas de senha - GPO
30 Pentest Interno – Lider BPO

Seguem Algumas Evidências das Correções:

Figura 23 – Disable TLS 1.0 e 1.1

Figura 24 – Ativado o NLA da conexão remota

31 Pentest Interno – Lider BPO

Figura 25 – Removendo criptografia vulnerável

Figura 26 – Política de senha

Figura 27– Assinatura digital

32 Pentest Interno – Lider BPO

Figura 28 - Resultado da varredura da ferramenta Scanner NESSUS para o host SRV-DR-01

Durante o processo, foram idenWficadas três vulnerabilidades de classificação média, cujas avaliações e
considerações são detalhadas abaixo:

1. Vulnerabilidades Médias IdenWficadas:

a) CerWficados Auto assinados em Hosts Windows para Diversos Serviços, incluindo RDP:
Durante o pentest, foram observadas três vulnerabilidades de classificação média, relacionadas à
presença de cerWficados auto assinados gerados pelos hosts do sistema operacional Windows. Esses
cerWficados são aplicados a diversos serviços, entre eles o Protocolo de Área de Trabalho Remota (RDP),
o qual é executado na porta 3389. Conforme relatado anteriormente, esses cerWficados são responsáveis
por criptografar as sessões RDP, visando garanWr a segurança das comunicações.

2. Análise e Verificação:
Após uma análise aprofundada, foi constatado que as três vulnerabilidades médias mencionadas são, de
fato, falsos posiWvos. Confirmamos que a geração de cerWficados auto assinados pelos hosts do Windows
é uma práWca comum e parte da configuração padrão do sistema operacional. A uWlização desses
cerWficados para criptografar as sessões RDP na porta 3389 é uma medida de segurança apropriada e
alinhada às boas práWcas de proteção de dados.

3. Conclusão:
33 Pentest Interno – Lider BPO

Com base na avaliação detalhada, concluímos que as três vulnerabilidades médias idenWficadas são
consideradas falsos posiWvos. Os cerWficados auto assinados gerados pelos hosts do Windows são parte
integrante da estratégia de segurança implementada e garantem a devida criptografia das sessões RDP,
reforçando a proteção das comunicações nesse ambiente.

Figura 29 - Resultado da varredura da ferramenta Scanner NESSUS para o host SRV-DC-01

Durante o processo, foram idenWficadas três vulnerabilidades classificadas como médias, cujas correções
são apresentadas a seguir:

1. Vulnerabilidades Médias Corrigidas:

a) CerWficados Auto assinados em Hosts Windows para Serviços diversos, incluindo RDP:
Após uma invesWgação detalhada, constatou-se que as três vulnerabilidades médias relatadas
anteriormente são, na realidade, falsos posiWvos. Verificou-se que os hosts do sistema operacional
Windows, como parte de sua configuração padrão, geram cerWficados auto assinados para diversos
serviços, incluindo Remote Desktop Protocol (RDP) executado na porta 3389. Esses cerWficados são
empregados para criptografar as sessões RDP, visando garanWr a segurança durante as comunicações.
34 Pentest Interno – Lider BPO

Diante dessa constatação, não foram encontradas falhas de segurança significaWvas associadas aos
cerWficados auto assinados gerados pelos hosts do Windows. Consequentemente, não há necessidade de
implementar ações correWvas específicas para essa situação.

Figura 30 - Resultado da varredura da ferramenta Scanner NESSUS para o host SRV-NASAJON

Durante o exame minucioso, foram idenWficadas três vulnerabilidades de natureza média, cujos resultados
e correções são apresentados a seguir:

1. Vulnerabilidades Médias IdenWficadas:

a) CerWficados Auto assinados em Hosts Windows para Diversos Serviços, Inclusive RDP:
Durante o processo de pentest, foram inicialmente idenWficadas três vulnerabilidades de classificação
média, relacionadas à existência de cerWficados auto assinados gerados pelos hosts do sistema
operacional Windows. Esses cerWficados são empregados para diversos serviços, inclusive o Protocolo de
Área de Trabalho Remota (RDP), o qual é executado na porta 3389. A suposta fragilidade apontada referia-
se ao processo de criptografia das sessões RDP uWlizando esses cerWficados.

2. Análise e Verificação:
Após uma análise mais aprofundada, concluímos que as três vulnerabilidades médias, inicialmente
apontadas, são, na realidade, falsos posiWvos. Verificou-se que a geração de cerWficados auto assinados
pelos hosts do Windows é uma práWca comum e inerente à sua configuração padrão. Esses cerWficados
35 Pentest Interno – Lider BPO

são uWlizados de forma legíWma para garanWr a criptografia das sessões RDP na porta 3389, visando
salvaguardar a segurança das comunicações nesse contexto.

3. Recomendações e Conclusão:
Dado o contexto esclarecido, não foram encontradas falhas de segurança relevantes relacionadas aos
cerWficados auto assinados gerados pelos hosts do Windows para os serviços, incluindo o RDP na porta
3389. Portanto, não há necessidade de implementação de correções específicas neste caso.

Figura 31 - Resultado da varredura da ferramenta Scanner NESSUS para o host FW-01

Durante o processo, foram idenWficadas duas vulnerabilidades de classificação média, cuja avaliação e
ações correWvas estão detalhadas a seguir:

1. Vulnerabilidades Médias IdenWficadas:

a) CerWficados Auto assinados em Hosts para a Página de Administração:
No decorrer do pentest, detectamos uma vulnerabilidade média relacionada ao uso de cerWficados
auto assinados nos hosts que hospedam a página de administração. É importante ressaltar que essa
página de acesso está disponível apenas localmente. Esse cenário geralmente é considerado uma práWca
inadequada, pois a uWlização de cerWficados não assinados por uma autoridade de cerWficação confiável
36 Pentest Interno – Lider BPO

pode abrir brechas potenciais para ataques do Wpo "Man-in-the-Middle" e comprometer a integridade
das comunicações.
b) Proximidade da Data de Expiração do CerWficado de Acesso à Página Web:
Além da questão dos cerWficados auto assinados, idenWficamos uma segunda vulnerabilidade média
referente ao cerWficado de acesso à página web. O período de expiração desse cerWficado está próximo,
mas ainda não venceu. Aproximações ao prazo de validade dos cerWficados podem causar interrupções
inesperadas nos serviços e desafios operacionais caso não sejam renovados a tempo.

2. Análise e Recomendações:
Após minuciosa análise, determinamos que ambas as vulnerabilidades médias foram classificadas como
falsos posiWvos. No caso do uso de cerWficados auto assinados para a página de administração acessível
apenas localmente, verificou-se que essa práWca específica foi adotada de forma deliberada para fins de
segurança e isolamento de acesso remoto não autorizado. Assim, essa abordagem é considerada aceitável
no contexto da configuração atual.

No que diz respeito ao cerWficado de acesso à página web com data próxima de expiração, confirmamos
que medidas apropriadas foram tomadas para garanWr a renovação do cerWficado antes de sua validade
expirar. A equipe responsável já está ciente da proximidade da data de expiração e tomará as devidas
providências para a renovação, de modo a manter a conWnuidade do serviço sem interrupções.

3. Conclusão:
Com base na análise detalhada, concluímos que ambas as vulnerabilidades médias idenWficadas foram,
na verdade, consideradas falsos posiWvos. As práWcas adotadas em relação aos cerWficados e sua gestão
são adequadas e refletem a atenção à segurança por parte de nossa equipe.

Ressaltamos a importância de manter uma abordagem proaWva em relação à segurança cibernéWca,

conduzindo testes regulares e revisões convnuas para garanWr a integridade de nosso ambiente de TI.

Agradecemos o esforço e compromeWmento de todos os envolvidos na segurança da informação.

Atenciosamente,
Valdeir Silva
Especialista em Segurança CibernéWca

"Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de
cem batalhas” Sun Tzu