Questão nº 67
Questão de Tecnologia da Informação · FGV CGE-SP 2025 (nº 67)
Uma equipe de segurança realizou uma varredura em infraestrutura crítica de comércio eletrônico e identificou as seguintes vulnerabilidades:
X: PHP 8.1.0 - CVE-2024-4577 (Argument Injection leading to RCE) | CVSS 9.8 (Crítica) | Exploit público (PoC no GitHub) | Servidor web exposto à Internet processando pagamentos | Patch disponível (atualização para 8.3.8);
Y: nginx 1.18.0 - CVE-2023-44487 (HTTP/2 Rapid Reset - DDoS) | CVSS 7.5 (Alta) | Exploit público, ataques em massa documentados | Servidor usa HTTP/2 para CDN e APIs | Mitigação via rate limiting disponível, patch requer atualização para 1.25.3;
W: Curl 7.68.0 - CVE-2023-38545 (SOCKS5 heap buffer overflow) | CVSS 9.8 (Crítica) | RCE potencial | Scripts internos de integração usam curl para comunicação com parceiros via proxy SOCKS5 | Servidor não exposto diretamente à Internet | Atualização para 8.4.0 disponível;
Z: OpenSSH 8.2p1 - CVE-2024-6387 (regreSSHion - Signal Handler Race Condition) | CVSS 8.1 (Alta) | RCE com exploit complexo (requer 6-8 horas) | SSH exposto apenas para equipe DevOps (10 IPs whitelisted, MFA habilitado) | Patch disponível (9.8p1).
Considerando as boas práticas de gestão de vulnerabilidades e a análise de risco contextual, assinale a opção que apresenta a priorização correta para remediação.
- AX → W → Z → Y.
- BX → Y → Z → W. (alternativa correta)
- CW → X → Z → Y.
- DY → X → W → Z.
- EX → Z → Y → W.
Resposta comentada
Gabarito Alternativa B
Priorizar vulnerabilidades significa avaliar o risco real que elas representam, considerando não apenas a gravidade técnica (CVSS), mas também a explorabilidade (quão fácil é de usar), o impacto no negócio se explorada, e a exposição do sistema afetado (se está na internet, se tem controles de acesso).
(A) Incorreta: A ordem X → W → Z → Y não prioriza corretamente o impacto de Y (DDoS) para um e-commerce e superestima W em relação a Z, desconsiderando a exposição.
(B) Correta: Esta ordem reflete uma análise de risco contextual adequada.
- X (PHP RCE): É a prioridade máxima. CVSS crítico (9.8), RCE (controle total), exploit público e fácil, em um servidor exposto à Internet e processando pagamentos. O risco é imediato e catastrófico.
- Y (nginx DDoS): Segunda prioridade. Embora o CVSS seja "apenas" 7.5 (Alto), é um exploit público e ativo, com ataques em massa documentados. O impacto é DDoS (negação de serviço) em um servidor exposto à Internet que é a base do e-commerce. A interrupção do serviço significa perda direta de receita e reputação.
- Z (OpenSSH RCE): Terceira prioridade. CVSS 8.1 (Alto), RCE. Apesar dos fortes controles (IPs whitelisted, MFA) e do exploit complexo, o SSH é um ponto de acesso direto ao servidor. Se um atacante conseguir burlar esses controles (ex: comprometendo uma máquina DevOps), o RCE é possível. A exposição direta, mesmo que restrita, o torna mais urgente que W.
- W (Curl RCE): Quarta prioridade. CVSS 9.8 (Crítico), RCE. No entanto, o servidor não está exposto diretamente à Internet e o curl é usado por scripts internos. Para ser explorada, a vulnerabilidade exigiria que o atacante primeiro obtivesse acesso à rede interna ou comprometesse um parceiro/proxy. A falta de exposição direta reduz o risco imediato em comparação com as vulnerabilidades que podem ser exploradas diretamente da internet ou em pontos de acesso diretos.
(C) Incorreta: A ordem W → X → Z → Y prioriza W (interno) acima de X (internet-facing, pagamentos), o que é incorreto.
(D) Incorreta: A ordem Y → X → W → Z não coloca X como a prioridade máxima e superestima W em relação a Z.
(E) Incorreta: A ordem X → Z → Y → W não prioriza Y (DDoS ativo em e-commerce) corretamente em relação a Z.
Fonte: FGV CGE-SP 2025 Auditor Estadual de Controle - Tecnologia da Informação (Caderno Tipo 1). Reproduzida para fins de estudo.