O incidente da AMA: a análise possível

#!/intro

A 10 de Outubro de 2024, a Agência para a Modernização Administrativa (AMA), entidade responsável por uma vasta gama de serviços digitais centrais ao funcionamento do Estado, foi alvo de um dos ataques de ransomware mais devastadores de que há registo na administração pública portuguesa. O incidente comprometeu por completo a sua infraestrutura tecnológica e teve impacto direto em serviços críticos, paralisando plataformas como o portal Autenticação.gov, a Chave Móvel Digital, o ePortugal e serviços de suporte a entidades como a Autoridade Tributária e Aduaneira, a Segurança Social e o Serviço Nacional de Saúde.

A AMA desempenha um papel central no ecossistema digital do Estado, sendo responsável por operações críticas, como a gestão de plataformas digitais transversais, a interoperabilidade entre sistemas da administração pública e a autenticação de utilizadores em nome de múltiplas entidades públicas. A par da interrupção de serviços, o incidente gerou preocupações sobre a segurança e resiliência das infraestruturas tecnológicas que suportam a transformação digital da administração pública.

Diversos elementos do incidente, tanto ao nível técnico como organizacional, levantam questões relevantes para o campo da cibersegurança: desde os vetores de ataque utilizados até à arquitetura tecnológica subjacente, passando pela gestão da resposta e pela comunicação institucional. O ataque serve, inevitavelmente, como um teste às práticas de segurança implementadas e à maturidade dos processos de prevenção e reação a incidentes em organismos públicos.

Esta análise baseia-se exclusivamente nas informações disponíveis em fontes públicas, estando condicionada pela escassa disponibilização de dados concretos, consequência da habitual falta de transparência associada a este tipo de incidentes. Ainda assim, as informações tornadas públicas permitem uma observação crítica sobre as fragilidades estruturais envolvidas, os pontos de falha mais evidentes e as áreas que exigem atenção urgente por parte das entidades responsáveis pela segurança digital do Estado. O objetivo é contribuir para uma discussão informada, fundamentada e construtiva, assente em factos e boas práticas.

> cronologia

Em maio de 2024, a AMA realizou uma atualização num equipamento central à sua infraestrutura, responsável pela distribuição de soluções de segurança e antivírus pelos dispositivos da rede. Pouco tempo depois começaram a surgir queixas operacionais vindas de diversos pontos do país, sobretudo das Lojas do Cidadão. As anomalias observadas incluíam falhas no reconhecimento de periféricos, degradação de desempenho e instabilidade geral em workstations mais antigas, indiciando potenciais problemas de compatibilidade ou de comunicação com os serviços centrais.

Perante a crescente disrupção, a AMA optou por fazer um rollback da atualização, restaurando a versão anterior da configuração do referido equipamento. Esta reversão estabilizou parcialmente o funcionamento dos terminais afetados, mas não resolveu completamente as anomalias, que continuaram a ocorrer de forma esporádica e sem um padrão claro. Nas semanas seguintes, a infraestrutura permaneceu funcional, embora sob vigilância técnica apertada por parte das equipas de operação.

Durante os meses de verão, não foram comunicados incidentes de segurança nem falhas de serviço significativas, pelo que a situação foi gerida como uma questão técnica operacional interna, aparentemente estabilizada. Durante esse período, os serviços digitais da AMA continuaram a operar com normalidade, sem registo de incidentes públicos ou falhas significativas no acesso às principais plataformas.

Na madrugada de 10 de outubro, os primeiros sinais de anomalia chegaram através de relatos de instabilidade nos sistemas utilizados nas Lojas e Espaços do Cidadão. De imediato, as equipas técnicas da AMA iniciaram verificações, rapidamente percebendo que se tratava de uma falha muito mais profunda. Nas horas seguintes, ficou claro que os serviços centrais estavam inacessíveis: Chave Móvel Digital, Autenticação.gov, ePortugal e sistemas de integração com várias entidades públicas tinham sido afetados em simultâneo.

Ainda durante o dia 10, as equipas da AMA confirmaram que a extensão do dano era total. Toda a infraestrutura virtual, cerca de 750 servidores encontrava-se cifrada e completamente inacessível. A gravidade da situação levou à ativação imediata de um gabinete técnico de crise, montado nas instalações da AMA, com coordenação do CERT.PT, e com ligação direta à Polícia Judiciária, aos Serviços de Informações e a entidades internacionais parceiras. A primeira prioridade foi confirmar a extensão dos danos, assegurar a contenção do ataque e avaliar a integridade das cópias de segurança.

Nos dias seguintes, a prioridade passou para a estabilização da comunicação externa e a ativação dos planos de recuperação. A AMA manteve um fluxo de comunicações institucionais cautelosas, informando o público da indisponibilidade temporária dos serviços, sem divulgar ainda a origem ou natureza do incidente, por razões de contenção e segurança. Ao mesmo tempo, foram acionados os canais formais de notificação junto das entidades supervisoras.

A análise técnica preliminar confirmou rapidamente que as cópias de segurança estavam intactas, permitindo avançar com um plano de recuperação da infraestrutura. Inicia-se então um processo de restauro a partir das cópias de segurança, com prioridade aos serviços mais críticos. A 16 de outubro, foi integrada no processo uma grande tecnológica nacional com conhecimento prévio da arquitetura da AMA, o que permitiu acelerar o trabalho de recuperação.

Ao longo das duas semanas seguintes, as equipas da AMA, do CERT.PT e da empresa parceira trabalharam de forma contínua na reposição dos serviços, com validação rigorosa da integridade de cada sistema antes da reativação. A 30 de outubro, a infraestrutura principal estava novamente operacional, embora algumas funcionalidades complementares ainda se encontrassem em fase de estabilização.

> vetor_inicial

A confirmação de que o vetor inicial do ataque foi a exploração de uma injeção SQL num equipamento FortiClient Enterprise Management Server (EMS) fornece um elemento decisivo para a compreensão técnica do incidente. Esta evidência, tornada pública por fontes envolvidas na resposta ao incidente, valida a ligação entre o ataque e a vulnerabilidade crítica CVE‑2023‑48788, divulgada em março de 2024 pela Fortinet.

De acordo com os detalhes partilhados, o sistema EMS em causa encontrava-se exposto, não estava atualizado com as correções de segurança disponibilizadas pela Fortinet e terá sido diretamente alvo de exploração remota. A partir desse ponto de entrada, os atacantes conseguiram executar código com privilégios elevados, criar utilizadores locais com permissões administrativas e iniciar movimentos laterais dentro da rede interna, comprometendo rapidamente vários controladores de domínio.

Embora não tenham sido divulgados publicamente os mecanismos específicos utilizados na intrusão, a convergência entre a natureza da vulnerabilidade CVE‑2023‑48788, os vetores de ataque partilhados e o comportamento do sistema durante a intrusão reforça de forma consistente a associação entre o incidente e a exploração desta falha.

A utilização de um sistema EMS vulnerável e exposto à Internet, com acesso privilegiado a centenas de endpoints, teria proporcionado aos atacantes um ponto de entrada altamente vantajoso. Este cenário permitiria a execução remota de código com privilégios elevados, o estabelecimento de persistência e a rápida progressão lateral na infraestrutura. A descrição técnica do ataque, alinhada com casos anteriores de exploração desta vulnerabilidade, sustenta de forma credível que a CVE‑2023‑48788 possa ter sido, de facto, o vetor inicial explorado no compromisso.

> CVE‑2023‑48788

O FortiClient EMS é a plataforma central de gestão de endpoints da Fortinet, utilizada para aplicar e monitorizar políticas de segurança, antivírus e controlo de acesso em grande escala. Atua como ponto único de administração dos agentes FortiClient instalados nos dispositivos da rede, permitindo distribuir atualizações, impor políticas de conformidade e recolher eventos de segurança de forma centralizada. Pela sua natureza e posição privilegiada na arquitetura de rede, o EMS possui acesso direto a centenas de sistemas, o que o torna um alvo particularmente sensível em qualquer infraestrutura organizacional.

No dia 12 de março de 2024, a Fortinet, em conjunto com o NCSC do Reino Unido, publicou o boletim de segurança FG‑IR‑24‑007, revelando a vulnerabilidade CVE‑2023‑48788. Esta falha crítica de injeção SQL autenticada afetava o FortiClient EMS e permitia a execução de comandos arbitrários na base de dados por utilizadores autenticados. Em determinadas condições, podia ser explorada para obter execução remota de código com privilégios elevados. A Fortinet atribuiu à vulnerabilidade uma pontuação CVSS crítica de 9.3, tendo o NIST mais tarde revisto esse valor para 9.8, refletindo a gravidade extrema do seu impacto.

Pouco após a divulgação do boletim de segurança, a vulnerabilidade começou a ser amplamente noticiada por diversos meios de comunicação especializados, incluindo publicações como o The Hacker News, SecurityWeek, BleepingComputer e Help Net Security. Eram destacadas a severidade da falha, o risco real de execução remota de código e a possibilidade de comprometer ambientes empresariais inteiros. Empresas como a Tenable e a Rapid7 analisaram a vulnerabilidade e alertaram para a elevada probabilidade de exploração. A Tenable destacou a ausência de medidas de mitigação eficazes que não passassem pela aplicação imediata das atualizações disponibilizadas.

A 21 de março, a Horizon3.ai publicou uma análise técnica detalhada, acompanhada de uma prova de conceito, demonstrando como a falha poderia ser explorada para executar comandos no sistema comprometendo o servidor e permitindo a instalação de cargas maliciosas.

A 24 de março, a Darktrace começou a observar sinais de exploração ativa da CVE‑2023‑48788 em redes de clientes, identificando cadeias de ataque em que a vulnerabilidade era utilizada como ponto de entrada para comprometer os sistemas e instalar ferramentas de controlo remoto.

A 25 de março, a CISA incluiu oficialmente a CVE‑2023‑48788 no seu catálogo de vulnerabilidades ativamente exploradas, tornando obrigatória a aplicação das correções de segurança por parte das entidades federais norte-americanas dentro dos prazos regulamentares.

A 8 de abril, a Red Canary publicou uma análise operacional com indicadores de compromisso concretos, identificando tentativas de persistência e movimentação lateral associadas à exploração da falha. A sua investigação confirmou a rápida integração desta vulnerabilidade em campanhas ativas de intrusão.

Estas ações concertadas, desde a identificação da vulnerabilidade até à confirmação da sua exploração em ambiente real, sublinham a rapidez com que esta falha foi analisada, compreendida e incorporada em cadeias de ataque.

> diagnostico

O incidente, que comprometeu a totalidade da infraestrutura virtual da entidade, revelou um conjunto de fragilidades com implicações relevantes para a resiliência, a confiança e a segurança das infraestruturas tecnológicas públicas. A análise do caso permite identificar áreas críticas que exigem reforço de práticas e capacidades.

Mais do que uma falha pontual, o incidente revelou uma arquitetura vulnerável, incapaz de oferecer contenção ou resiliência perante uma intrusão. A infraestrutura da AMA assentava num modelo centralizado, composto por cerca de 750 servidores virtuais, operados num ambiente de virtualização aparentemente partilhado entre os diferentes contextos operacionais. Esta eventual ausência de segmentação lógica e de redundância nos sistemas críticos deixou a organização exposta a um risco elevado de propagação interna. A estrutura técnica existente não dispunha de mecanismos eficazes para limitar ou isolar a intrusão, permitindo que a exploração de uma única vulnerabilidade tivesse um impacto transversal, comprometendo simultaneamente serviços operacionais e de suporte. A extensão do impacto por toda a infraestrutura evidencia a importância de uma abordagem baseada na defesa em profundidade, assente em múltiplas camadas de controlo, isolamento e monitorização, que em conjunto assegurem contenção, redundância e resiliência.

A gestão de vulnerabilidades demonstrou também limitações importantes. O vetor de ataque terá sido uma vulnerabilidade num equipamento de gestão de segurança e antivírus, explorada através de um ataque de injeção SQL. Apesar de ser uma técnica bem documentada, a sua exploração só foi detetada após o incidente estar em curso. A vulnerabilidade em questão foi identificada vários meses antes do ataque, o que levanta questões sobre os processos de gestão de atualizações e correções de segurança. Esta situação reforça a importância de uma abordagem preventiva e sistemática na monitorização de ativos e no controlo de versões em todos os componentes críticos.

No plano da deteção e resposta, o caso demonstrou uma ausência de capacidades operacionais essenciais. A presença prolongada do atacante na rede, com movimentação lateral e escalada de privilégios, sem deteção visível, sugere uma carência de ferramentas e processos adequados para monitorização contínua. Arquiteturas de segurança modernas assentam na visibilidade transversal e na correlação de eventos, permitindo alertas atempados e ações automatizadas de contenção, algo que, neste caso, aparentemente não estava implementado.

A inexistência de uma estratégia eficaz de gestão de identidades e acessos resultou numa segmentação deficiente dos utilizadores com acessos elevados, permitindo uma acumulação indevida de privilégios. A falta de separação clara de funções, em violação do princípio do menor privilégio, comprometeu a contenção do incidente, facilitou a escalada de privilégios e permitiu a movimentação lateral no sistema. Esta fragilidade estrutural amplificou o impacto do ataque e dificultou significativamente a sua deteção e resposta. É fundamental implementar uma política de controlo de acessos rigorosa, baseada em perfis de função claramente definidos, com revisões periódicas das permissões atribuídas e utilização de mecanismos de autenticação forte. Deve ser dada especial atenção às contas com acesso privilegiado atendendo ao impacto potencialmente crítico de um eventual compromisso.

A AMA refere possuir certificação ISO/IEC 27001. Contudo, o ataque expôs fragilidades estruturais que contrariam requisitos mínimos da norma, nomeadamente no que respeita à gestão de ativos, controlo de acessos, proteção contra software malicioso e gestão de incidentes. A discrepância entre os controlos exigidos e as práticas efetivamente observadas levanta sérias dúvidas sobre o rigor, a profundidade e a eficácia das auditorias externas realizadas no âmbito da certificação. Uma certificação sem correspondência prática traduz-se numa falsa sensação de segurança, com consequências reais. É fundamental que os processos de certificação sejam acompanhados por auditorias técnicas independentes, com verificação concreta da implementação dos controlos, assegurando que a conformidade não é apenas documental, mas refletida em práticas sólidas e operacionais.

Também a forma como o incidente foi comunicado revelou falhas na estratégia de gestão de crise. A ausência de transparência inicial, a demora em esclarecer o sucedido e a comunicação fragmentada minaram a confiança dos cidadãos e das entidades parceiras. Num contexto onde a confiança digital é essencial, a incapacidade de informar com clareza e assumir responsabilidades aumentou o impacto reputacional. A comunicação em tempo de crise exige preparação, coordenação e uma política clara de transparência e responsabilização.

Por fim, ficou evidente que a proteção de ativos obsoletos à custa da segurança global representa um risco inaceitável. A decisão de adiar a correção de uma vulnerabilidade crítica, para garantir a continuidade de sistemas legacy, teve um desfecho previsível: os sistemas foram atacados, comprometidos e sujeitos a um processo de reposição demorado, tecnicamente exigente e suscetível a falhas. No final, as correções que haviam sido adiadas tiveram de ser aplicadas sob pressão, em contexto de crise, sem tempo para planeamento ou validação adequada. A tentativa de evitar perturbações acabou por causar uma disrupção prolongada, mais difícil de controlar e com impactos mais severos para a organização. Este caso demonstra que ignorar riscos em nome da estabilidade é uma escolha estratégica errada, com consequências operacionais e reputacionais significativas.

> conclusão

Incidentes como este devem ser entendidos como um sinal claro da urgência de reformar as práticas de segurança digital. Mostram que a cibersegurança não pode continuar a ser tratada como uma função acessória ou meramente técnica. A complexidade e interdependência dos sistemas atuais, cada vez mais centrais para o funcionamento da sociedade e dos serviços essenciais do estado, exigem arquiteturas robustas, processos de segurança contínuos e uma cultura organizacional preparada para lidar com riscos digitais de forma estruturada e proativa.

Mais do que responder a falhas pontuais, é necessário adotar uma abordagem integrada que combine prevenção, deteção, resposta e recuperação. Isso implica repensar modelos operacionais, investir em capacidades internas, garantir visibilidade sobre a infraestrutura e reforçar os mecanismos de controlo e auditoria.

A segurança deve fazer parte integrante do desenho, desenvolvimento e operação de todos os sistemas de informação. Não pode ser tratada como um complemento ou uma preocupação pontual. A sua integração desde as fases iniciais do planeamento e conceção permite antecipar riscos, reduzir vulnerabilidades e garantir que a resiliência está incorporada de forma estrutural. Este tipo de abordagem é essencial num contexto em que os ataques são cada vez mais sofisticados, persistentes e com impactos mais alargados.

À semelhança de outros países que já adotaram diretrizes vinculativas em resposta a vulnerabilidades críticas, este caso reforça a importância da implementação de mecanismos regulatórios claros, dotados de autoridade técnica e legal, capazes de exigir a aplicação atempada de correções de segurança, estabelecer prazos obrigatórios e monitorizar a sua implementação. A inexistência de um enquadramento deste tipo perpetua uma abordagem reativa e fragmentada, onde decisões críticas ficam ao critério de cada organização, independentemente do risco coletivo envolvido.

No contexto da Administração Pública, é igualmente necessário criar instrumentos específicos que permitam prevenir com eficácia a este tipo de incidentes. A gestão de vulnerabilidades críticas, especialmente quando os sistemas afetados requerem não apenas correções pontuais, mas intervenções estruturais mais profundas, enfrenta frequentemente entraves administrativos significativos. A obrigatoriedade de recorrer a procedimentos concursais, muitas vezes morosos, compromete a celeridade da resposta, agravando a exposição ao risco. A existência de mecanismos financeiros previamente definidos, com regras próprias e adaptadas à urgência das intervenções, é, por isso, um requisito essencial para assegurar uma atuação rápida e eficaz, permitindo financiar de imediato medidas de mitigação, aquisição de serviços especializados ou substituição urgente de sistemas vulneráveis.

Neste âmbito, o Centro Nacional de Cibersegurança poderá desempenhar um papel central, não apenas como entidade gestora de tais mecanismos, mas também como garante da sua aplicação eficiente, transparente e tecnicamente fundamentada.

Integrar a segurança como pilar da estratégia de transformação digital é, hoje, uma condição essencial para que a modernização digital possa efetivamente simplificar a relação do Estado com os cidadãos, preservar a confiança e assegurar a continuidade das funções essenciais ao normal funcionamento da sociedade. Sem segurança, a transformação digital falhará inevitavelmente os seus objetivos e acabará por contribuir para um serviço público mais vulnerável, menos eficiente e ainda mais distante dos cidadãos.

> referencias

Fortinet – Advisory FG-IR-24-007
Boletim de segurança oficial da Fortinet, publicado a 12 de março de 2024, com descrição da vulnerabilidade e versões corrigidas.

NVD – CVE-2023-48788
Base de dados oficial do NIST com detalhes sobre a vulnerabilidade, incluindo pontuação CVSS e produtos afetados.

Tenable – Análise da CVE-2023-48788
Avaliação do impacto e análise do risco, publicada poucos dias após o boletim da Fortinet.

Horizon3.ai – CVE-2023-48788: Deep Dive
Estudo aprofundado com prova de conceito e exploração detalhada.

Red Canary – Threat Intelligence: CVE-2023-48788
Relato de exploração ativa em ambiente real, com análise de técnicas e indicadores de compromisso.

CISA – Known Exploited Vulnerabilities Catalog
Inclusão da CVE-2023-48788 a 25 de março de 2024 na lista de vulnerabilidades ativamente exploradas.

Darktrace – FortiClient EMS Exploited
Análise comportamental com detalhes técnicos sobre pós-exploração e IoCs.

The Hacker News – Fortinet Warns of Severe SQLi Vulnerability in FortiClient EMS Software
Divulgação da vulnerabilidade poucos dias após o boletim da Fortinet, alertando para o risco de execução remota de código e impacto empresarial.

SecurityWeek – FortiClient EMS Vulnerability Exploited
Relato de exploração ativa, entrada no catálogo KEV da CISA e evidência de ataques em ambiente real.

BleepingComputer – Fortinet warns of critical RCE bug in endpoint management software
Relato da vulnerabilidade descrevendo-a como uma vulnerabilidade crítica de RCE no FortiClient EMS.

Help Net Security – PoC released for critical FortiClient EMS SQL injection vulnerability
Publicação do PoC técnico por investigadores externos e destaque do risco acrescido de exploração iminente da vulnerabilidade.

CRN – CISA confirma exploração ativa
Declaração da CISA sobre evidências de exploração massiva da falha.

> status: vulnerable
> exit 0