 |
| Bellacosa Mainframe apresenta as 10 vulnerabilidades mais comuns em Mainframe |
💀🔥 Top 10 vulnerabilidades reais em z/OS (com exemplos práticos)
“O perigo no mainframe não é o sistema…
é quem configura.”
🧨 1. RACF mal configurado (*PUBLIC liberado)
Cenário clássico:
// Dataset crítico liberado
PERMIT DATASET.PROD.FINANCE CLASS(DATASET) ID(*PUBLIC) ACCESS(READ)
💥 Resultado:
- qualquer usuário pode ler dados financeiros
✔️ Ataque:
- exfiltração via TSO, FTP ou batch
🔥 Correção:
- remover *PUBLIC
- usar grupos restritos
🧠 2. Usuário com SPECIAL indevido
Erro comum:
- dar SPECIAL “temporário” e esquecer
💥 Resultado:
- usuário vira “quase root”
✔️ Ataque:
- altera RACF
- cria backdoors
🔥 Exemplo:
ALTUSER HACKER SPECIAL
⚙️ 3. APF Library Injection
👉 Se atacante conseguir inserir lib na APF:
💥 Resultado:
- código roda em modo supervisor
✔️ Ataque:
- escalar privilégio total
🔥 Exemplo:
- adicionar dataset na APF via:
SETPROG APF,ADD,DSNAME=HACK.LOADLIB,VOLUME=SYS001
🧬 4. Programas com AC=1 (Authorized)
👉 Programas autorizados são perigosíssimos
💥 Cenário:
- programa mal protegido
✔️ Ataque:
- executa código privilegiado
🔥 Exemplo:
- load module vulnerável em:
SYS1.LINKLIB
🧾 5. JCL Injection
👉 Entrada controlada por usuário dentro de JOB
💥 Exemplo:
//STEP1 EXEC PGM=IEFBR14
//SYSIN DD *
DELETE PROD.DATA
/*
✔️ Ataque:
- execução de comandos não autorizados
🔥 Lição:
- validar input sempre
🌐 6. FTP mal configurado
👉 FTP aberto é porta escancarada
💥 Problema:
- acesso sem restrição
- upload/download liberado
✔️ Ataque:
- baixar datasets
- subir payload
🔥 Exemplo:
ftp> get 'PROD.CLIENTES'
🧑💻 7. CICS sem segurança adequada
👉 Transações abertas
💥 Cenário:
- transação sem autenticação
✔️ Ataque:
- acesso direto a dados sensíveis
🔥 Exemplo:
- acessar transação:
CEMT I TASK
🔐 8. Falta de logging (SMF desligado ou fraco)
👉 Sem trilha = sem investigação
💥 Resultado:
- ataque invisível
✔️ Ataque:
- ações sem rastreabilidade
🔥 Correção:
- ativar SMF 80 (RACF), 30 (job), 110 (CICS)
🧠 9. Senhas fracas / padrão
👉 O clássico que nunca morre
💥 Exemplo:
- USER: OPERADOR
- PASS: OPERADOR
✔️ Ataque:
- brute force / guessing
🔥 Correção:
- regras RACF (PASSWORD RULES)
🔗 10. Integração insegura (APIs / z/OS Connect)
👉 O ponto mais moderno… e mais perigoso
💥 Cenário:
- API exposta sem controle forte
✔️ Ataque:
- acesso indireto ao mainframe
🔥 Exemplo:
- chamada REST acessando backend CICS sem validação
🧠🔥 Padrão ouro dos ataques
👉 90% dos casos seguem esse fluxo:
- credencial fraca ou vazada
- acesso TSO / FTP
- enumeração de datasets
- exploração (APF / AC=1 / CICS)
- persistência
- exfiltração
💀 MITO vs REALIDADE (nível hardcore)
| Mito | Realidade |
|---|---|
| RACF protege tudo | só se bem configurado |
| APF é seguro | é arma nuclear |
| Ninguém acessa TSO | atacante ama TSO |
| Mainframe é isolado | API abriu a porteira |
☢️Maior falha de sempre
🚀 Conclusão Bellacosa
“Mainframe não é hackeado por força…
é hackeado por permissão.”
Sem comentários:
Enviar um comentário