Questão nº 67

Questão de Tecnologia da Informação · FGV CGE-SP 2025 (nº 67)

FGV2025Auditor Estadual de Controle - Tecnologia da InformaçãoTecnologia da Informação
Gabarito: Bver comentário ↓

Uma equipe de segurança realizou uma varredura em infraestrutura crítica de comércio eletrônico e identificou as seguintes vulnerabilidades:

X: PHP 8.1.0 - CVE-2024-4577 (Argument Injection leading to RCE) | CVSS 9.8 (Crítica) | Exploit público (PoC no GitHub) | Servidor web exposto à Internet processando pagamentos | Patch disponível (atualização para 8.3.8);
Y: nginx 1.18.0 - CVE-2023-44487 (HTTP/2 Rapid Reset - DDoS) | CVSS 7.5 (Alta) | Exploit público, ataques em massa documentados | Servidor usa HTTP/2 para CDN e APIs | Mitigação via rate limiting disponível, patch requer atualização para 1.25.3;
W: Curl 7.68.0 - CVE-2023-38545 (SOCKS5 heap buffer overflow) | CVSS 9.8 (Crítica) | RCE potencial | Scripts internos de integração usam curl para comunicação com parceiros via proxy SOCKS5 | Servidor não exposto diretamente à Internet | Atualização para 8.4.0 disponível;
Z: OpenSSH 8.2p1 - CVE-2024-6387 (regreSSHion - Signal Handler Race Condition) | CVSS 8.1 (Alta) | RCE com exploit complexo (requer 6-8 horas) | SSH exposto apenas para equipe DevOps (10 IPs whitelisted, MFA habilitado) | Patch disponível (9.8p1).

Considerando as boas práticas de gestão de vulnerabilidades e a análise de risco contextual, assinale a opção que apresenta a priorização correta para remediação.

Resposta comentada

Gabarito Alternativa B

Priorizar vulnerabilidades significa avaliar o risco real que elas representam, considerando não apenas a gravidade técnica (CVSS), mas também a explorabilidade (quão fácil é de usar), o impacto no negócio se explorada, e a exposição do sistema afetado (se está na internet, se tem controles de acesso).

(A) Incorreta: A ordem X → W → Z → Y não prioriza corretamente o impacto de Y (DDoS) para um e-commerce e superestima W em relação a Z, desconsiderando a exposição.
(B) Correta: Esta ordem reflete uma análise de risco contextual adequada.

  1. X (PHP RCE): É a prioridade máxima. CVSS crítico (9.8), RCE (controle total), exploit público e fácil, em um servidor exposto à Internet e processando pagamentos. O risco é imediato e catastrófico.
  2. Y (nginx DDoS): Segunda prioridade. Embora o CVSS seja "apenas" 7.5 (Alto), é um exploit público e ativo, com ataques em massa documentados. O impacto é DDoS (negação de serviço) em um servidor exposto à Internet que é a base do e-commerce. A interrupção do serviço significa perda direta de receita e reputação.
  3. Z (OpenSSH RCE): Terceira prioridade. CVSS 8.1 (Alto), RCE. Apesar dos fortes controles (IPs whitelisted, MFA) e do exploit complexo, o SSH é um ponto de acesso direto ao servidor. Se um atacante conseguir burlar esses controles (ex: comprometendo uma máquina DevOps), o RCE é possível. A exposição direta, mesmo que restrita, o torna mais urgente que W.
  4. W (Curl RCE): Quarta prioridade. CVSS 9.8 (Crítico), RCE. No entanto, o servidor não está exposto diretamente à Internet e o curl é usado por scripts internos. Para ser explorada, a vulnerabilidade exigiria que o atacante primeiro obtivesse acesso à rede interna ou comprometesse um parceiro/proxy. A falta de exposição direta reduz o risco imediato em comparação com as vulnerabilidades que podem ser exploradas diretamente da internet ou em pontos de acesso diretos.
    (C) Incorreta: A ordem W → X → Z → Y prioriza W (interno) acima de X (internet-facing, pagamentos), o que é incorreto.
    (D) Incorreta: A ordem Y → X → W → Z não coloca X como a prioridade máxima e superestima W em relação a Z.
    (E) Incorreta: A ordem X → Z → Y → W não prioriza Y (DDoS ativo em e-commerce) corretamente em relação a Z.

Fonte: FGV CGE-SP 2025 Auditor Estadual de Controle - Tecnologia da Informação (Caderno Tipo 1). Reproduzida para fins de estudo.

Continue estudando

Estudar é izi

Pratique milhares de questões como esta, de graça, com explicação e gamificação no Quizinho.

Estudar de graça no Quizinho