# Pentest
## Vulnerabilidades identificadas e ações recomendadas {#vulnerabilidades}
🛡️ Pentest executado
Dashboard executivo de segurança da FÁCIL
Esta área consolida os resultados do Pentest executado no ambiente da FÁCIL, com foco na superfície externa e nos componentes mais relevantes do ambiente: firewall local, firewall cloud, regras de NAT, IPs públicos, servidores cloud, serviços publicados e FreePBX.
O objetivo desta página é apresentar, de forma visual e executiva, as vulnerabilidades identificadas, a severidade, o status e o ajuste técnico recomendado para cada ponto.
Status da avaliação
Executado
Avaliação concluída com consolidação das vulnerabilidades identificadas no ambiente.
Escopo consolidado
Ambiente FÁCIL
Firewall local, firewall cloud, NATs, serviços publicados, servidores cloud, IPs públicos e telefonia/FreePBX.
Vulnerabilidades por severidade
Alta
4
Média
11
Baixa
9
Status geral das vulnerabilidades
Altas
Médias
Baixas
Resumo executivo
O Pentest executado evidenciou vulnerabilidades relevantes na superfície exposta da FÁCIL, principalmente em relação a serviços publicados, telefonia/FreePBX, componentes desatualizados, regras de NAT, firewall local, firewall cloud e acessos remotos.
A prioridade deve ser concentrada nas vulnerabilidades de alta severidade, seguidas pela revisão das publicações externas, atualização dos componentes vulneráveis e fortalecimento dos mecanismos de autenticação e restrição de origem.
Abaixo estão as vulnerabilidades identificadas no Pentest executado. Cada item informa a camada/host afetado e possui o botão “O que fazer” com a orientação técnica recomendada.
Host / Camada
IP Público
186.237.145.229
186.237.145.229
Vulnerabilidade
FreePBX vulnerável a execução remota de comandos
Serviço publicado externamente com alto impacto potencial.
Severidade
Alta
Status
Pendente
Tags
FreePBX
RCE
8192/TCP
Ação
O que fazer
Ajuste técnico recomendado
Reduzir exposição e corrigir o FreePBX
Para o cliente: este é um dos pontos mais críticos, pois envolve um serviço publicado externamente com possibilidade de exploração remota.
- Validar se o FreePBX precisa continuar exposto na internet.
- Restringir o acesso por origem, liberando apenas IPs necessários.
- Atualizar o FreePBX para versão corrigida e suportada.
- Revisar módulos instalados e remover componentes não utilizados.
- Executar nova validação após a correção.
Host / Camada
IP Público
186.237.145.229
186.237.145.229
Vulnerabilidade
FreePBX com bypass de autenticação administrativa
Risco de comprometimento administrativo do serviço.
Severidade
Alta
Status
Pendente
Tags
FreePBX
Auth Bypass
Ação
O que fazer
Ajuste técnico recomendado
Corrigir autenticação administrativa
Para o cliente: a interface administrativa não deve permitir acesso indevido ou contorno de login.
- Atualizar imediatamente o FreePBX para versão corrigida.
- Bloquear acesso administrativo direto pela internet.
- Permitir acesso administrativo somente por VPN ou IPs confiáveis.
- Revisar senhas administrativas e contas existentes.
- Habilitar MFA quando disponível.
Host / Camada
IP Público
186.237.145.229
186.237.145.229
Vulnerabilidade
FreePBX vulnerável a execução remota de código
Vulnerabilidade de alto impacto sobre serviço exposto.
Severidade
Alta
Status
Pendente
Tags
FreePBX
RCE
Ação
O que fazer
Ajuste técnico recomendado
Atualizar e isolar o serviço vulnerável
Para o cliente: uma falha de execução remota pode permitir que terceiros executem ações indevidas no servidor.
- Atualizar a aplicação e seus módulos.
- Validar se a porta pública é realmente necessária.
- Aplicar restrição de origem no firewall.
- Revisar logs de acesso e tentativas suspeitas.
- Planejar substituição se a versão atual não tiver suporte.
Host / Camada
IP Público
186.237.145.229
186.237.145.229
Vulnerabilidade
Sistema operacional CentOS 7 em fim de vida
Risco elevado por ausência de atualizações oficiais.
Severidade
Alta
Status
Pendente
Tags
CentOS 7
EOL
Sem patch
Ação
O que fazer
Ajuste técnico recomendado
Migrar para sistema operacional suportado
Para o cliente: um sistema fora de suporte deixa de receber correções oficiais de segurança.
- Planejar migração para distribuição suportada.
- Validar compatibilidade do FreePBX e dependências.
- Executar backup completo antes da migração.
- Testar a nova versão em ambiente controlado.
- Desativar o servidor antigo após validação.
Host / Camada
IP Público
186.237.145.229
186.237.145.229
Vulnerabilidade
Gerenciamento de patches insuficiente — OpenSSH
Necessidade de atualização e hardening.
Severidade
Média
Status
Pendente
Tags
OpenSSH
Patch
Ação
O que fazer
Ajuste técnico recomendado
Atualizar e endurecer acesso SSH
- Atualizar o OpenSSH para versão suportada.
- Desabilitar login direto de root.
- Usar chaves SSH em vez de senha sempre que possível.
- Restringir origem de acesso via firewall.
Host / Camada
IP Público
186.237.145.229
186.237.145.229
Vulnerabilidade
Gerenciamento de patches insuficiente — Apache
Componente requer revisão de atualização.
Severidade
Média
Status
Pendente
Tags
Apache
Patch
Ação
O que fazer
Ajuste técnico recomendado
Atualizar Apache e revisar exposição web
- Atualizar Apache para versão corrigida.
- Remover módulos não utilizados.
- Ocultar versão/banner do servidor.
- Revisar virtual hosts e serviços publicados.
Host / Camada
IP Público
186.237.145.229
186.237.145.229
Vulnerabilidade
Gerenciamento de patches insuficiente — MySQL
Requer atualização e revisão de acesso.
Severidade
Média
Status
Pendente
Tags
MySQL
Patch
Ação
O que fazer
Ajuste técnico recomendado
Atualizar banco e restringir acesso
- Atualizar MySQL/MariaDB para versão suportada.
- Validar se o banco não está exposto externamente.
- Revisar usuários, permissões e senhas.
- Garantir backup antes de qualquer atualização.
Host / Camada
IP Público
186.237.145.229
186.237.145.229
Vulnerabilidade
Gerenciamento de patches insuficiente — PHP
Versões e componentes devem ser revisados.
Severidade
Média
Status
Pendente
Tags
PHP
Patch
Ação
O que fazer
Ajuste técnico recomendado
Atualizar PHP e dependências
- Atualizar PHP para versão suportada pela aplicação.
- Validar compatibilidade com FreePBX e módulos.
- Remover extensões não utilizadas.
- Revisar configurações inseguras do PHP.
Host / Camada
Firewall Local
VPN SSL
VPN SSL
Vulnerabilidade
Ausência de proteção por geolocalização na VPN
Reduz tentativas indevidas de origem externa.
Severidade
Média
Status
Pendente
Tags
VPN
Geo Block
Ação
O que fazer
Ajuste técnico recomendado
Aplicar restrição geográfica quando viável
- Bloquear tentativas de países sem relação com a operação.
- Permitir acesso somente de regiões necessárias.
- Monitorar tentativas negadas após o bloqueio.
- Combinar com MFA e políticas de senha.
Host / Camada
Firewall Local
VPN SSL
VPN SSL
Vulnerabilidade
Ausência de segundo fator de autenticação na VPN
Fortalece controle contra credenciais comprometidas.
Severidade
Média
Status
Pendente
Tags
VPN
MFA
Ação
O que fazer
Ajuste técnico recomendado
Implementar MFA para acesso remoto
- Habilitar MFA para usuários de VPN.
- Priorizar usuários com acesso administrativo.
- Revisar grupos e permissões de acesso remoto.
- Documentar exceções, se existirem.
Host / Camada
Firewall Local
VPN SSL
VPN SSL
Vulnerabilidade
VPN permite múltiplas conexões simultâneas
Reduz risco de uso indevido de credenciais.
Severidade
Média
Status
Pendente
Tags
VPN
Acesso remoto
Ação
O que fazer
Ajuste técnico recomendado
Revisar política de sessões simultâneas
- Definir limite de sessões por usuário.
- Bloquear conexões simultâneas quando não forem necessárias.
- Monitorar acessos concorrentes incomuns.
- Associar política a grupos específicos.
Host / Camada
Firewall Local
NAT/Publicações
NAT/Publicações
Vulnerabilidade
Exposição de portas e publicações NAT que demandam revisão
Reduz superfície externa desnecessária.
Severidade
Média
Status
Pendente
Tags
Firewall
NAT
Publicação
Ação
O que fazer
Ajuste técnico recomendado
Revisar publicações externas
- Listar todas as regras NAT/publicadas.
- Confirmar a necessidade operacional de cada regra.
- Remover publicações não utilizadas.
- Restringir origem por IP sempre que possível.
- Documentar responsável e finalidade de cada publicação.
Host / Camada
Firewall Cloud
10.150.100.1
10.150.100.1
Vulnerabilidade
Uso de TLS e parâmetros de serviço passíveis de endurecimento
Melhora postura criptográfica dos serviços.
Severidade
Média
Status
Pendente
Tags
TLS
Hardening
Ação
O que fazer
Ajuste técnico recomendado
Aplicar hardening TLS
- Desabilitar protocolos antigos.
- Remover cipher suites fracas.
- Validar certificado e cadeia de confiança.
- Reexecutar teste após alteração.
Host / Camada
Ambiente Externo
Serviços Publicados
Serviços Publicados
Vulnerabilidade
Serviços acessíveis externamente com necessidade de revisão
Evita exposição desnecessária.
Severidade
Baixa
Status
Pendente
Tags
Exposição
Serviços
Ação
O que fazer
Ajuste técnico recomendado
Revisar necessidade dos serviços expostos
- Inventariar serviços acessíveis externamente.
- Desativar serviços sem uso.
- Definir proprietário e finalidade de cada serviço.
- Aplicar restrição de origem quando possível.
Host / Camada
Servidores Cloud
172.16.10.x
172.16.10.x
Vulnerabilidade
Padronização e endurecimento de serviços cloud podem ser aprimorados
Melhoria de postura e padronização.
Severidade
Baixa
Status
Pendente
Tags
Cloud
Hardening
Ação
O que fazer
Ajuste técnico recomendado
Aplicar baseline de hardening
- Criar padrão mínimo de configuração para servidores cloud.
- Revisar firewall local e serviços habilitados.
- Padronizar atualização, antivírus e logs.
- Documentar exceções operacionais.
Host / Camada
Firewall Local
NAT/Publicações
NAT/Publicações
Vulnerabilidade
Necessidade de revisão de origens permitidas em regras publicadas
Reduz exposição ampla à internet.
Severidade
Baixa
Status
Pendente
Tags
Origem
Firewall
Ação
O que fazer
Ajuste técnico recomendado
Restringir acessos por origem
- Identificar quais IPs precisam acessar cada serviço.
- Remover regra aberta para qualquer origem quando não for necessário.
- Aplicar allowlist por IP ou faixa confiável.
- Revisar periodicamente a lista de origens permitidas.
Host / Camada
Ambiente Externo
Inventário
Inventário
Vulnerabilidade
Necessidade de revisão de inventário de serviços expostos
Melhora governança e rastreabilidade.
Severidade
Baixa
Status
Pendente
Tags
Inventário
Ativos
Ação
O que fazer
Ajuste técnico recomendado
Manter inventário atualizado
- Registrar todos os serviços publicados.
- Associar responsável e justificativa de negócio.
- Registrar IP, porta, origem permitida e destino interno.
- Revisar o inventário em ciclos definidos.
Caminho recomendado
O caminho recomendado é iniciar pelas vulnerabilidades de alta severidade, principalmente as relacionadas ao FreePBX, ao sistema operacional fora de suporte e à exposição de serviços sensíveis.
Em seguida, recomenda-se revisar as regras de NAT/publicação no firewall local e no firewall cloud, aplicar restrição de origem, atualizar componentes, fortalecer o acesso remoto com MFA e manter uma rotina periódica de revisão da superfície externa.