Do login à invasão: como a Porta 22 se tornou alvo global e o que fazer para evitar ataques

Por Ismael Rocha e Thiago Cesar: A Porta 22 pode ser o elo mais frágil da sua infraestrutura digital.

O protocolo SSH (Secure Shell) é essencial para o acesso remoto seguro a servidores e dispositivos em rede. No entanto, quando a Porta 22 está exposta à internet, ela se transforma em uma verdadeira porta de entrada para ataques cibernéticos, sendo explorada por agentes maliciosos em todo o mundo.

Imagine que a porta da frente da sua empresa estivesse sempre destrancada — não por acidente, mas por necessidade. Agora imagine que essa mesma porta é conhecida por cibercriminosos que a monitoram 24 horas por dia, buscando qualquer oportunidade para invadir. Essa é a realidade de milhares de organizações que mantêm o SSH mal configurado ou sem proteção adequada.

Neste artigo, você vai entender como a Porta 22 se tornou um alvo global de invasões e o que pode ser feito para reduzir os riscos e proteger sua rede corporativa.

O que é SSH e por que a Porta 22 importa para a segurança da rede

O SSH (Secure Shell) é um protocolo de rede criptografado amplamente utilizado para estabelecer conexões seguras entre dispositivos, mesmo quando estão em ambientes inseguros, como a internet pública. É uma ferramenta indispensável para profissionais de TI, administradores de sistemas e desenvolvedores, que dependem dele para manter a confidencialidade e integridade dos dados durante o acesso remoto a servidores.

Quando o serviço SSH está ativo, ele escuta por padrão na Porta 22 — que, se estiver exposta à internet sem os devidos controles, pode representar uma grave vulnerabilidade de segurança.

Os principais usos do SSH incluem:

  • Administração remota de servidores: permite controle completo do sistema a partir de qualquer lugar do mundo com segurança.
  • Transferência segura de arquivos: utiliza ferramentas como SCP e SFTP para proteger dados sensíveis em trânsito.
  • Túnel SSH (encapsulamento de conexões): cria canais criptografados que atravessam firewalls e redes não confiáveis de forma segura.
  • Execução de comandos remotos de forma automatizada: essencial para tarefas rotineiras, como deploys, atualizações e scripts de manutenção.

Apesar de sua importância, o SSH pode se tornar um vulnerável vetor de ataque se a Porta 22 estiver exposta e mal protegida — algo que vem sendo amplamente explorado por grupos cibercriminosos ao redor do mundo.

Funcionamento do protocolo SSH

Principais riscos do protocolo SSH exposto à internet

A exposição do protocolo SSH, especialmente com a Porta 22 aberta à internet sem controles rigorosos, representa uma superfície crítica de ataque para organizações. Esse cenário é amplamente explorado por cibercriminosos e grupos APT (ameaças persistentes avançadas), que utilizam o SSH como porta de entrada para invasões silenciosas e sofisticadas.

Confira os principais riscos de segurança associados ao SSH exposto:

1. Uso de credenciais vazadas

Chaves privadas e senhas comprometidas — muitas vezes vazadas em repositórios públicos como GitHub ou comercializadas na dark web — permitem acesso remoto não autorizado via SSH. Em muitos casos, os atacantes entram sem gerar alertas, permanecendo invisíveis às equipes de segurança.

2. Versões vulneráveis do OpenSSH

Servidores com OpenSSH desatualizado estão sujeitos a falhas críticas, como o CVE-2018-15473, que pode ser explorado para bypass de autenticação ou execução remota de código. Esses vetores são comumente utilizados por scripts automatizados e grupos APT em campanhas direcionadas.

3. Movimentação lateral em redes corporativas

Após obter o acesso inicial por meio da Porta 22, invasores utilizam o SSH para realizar movimentação lateral, explorando outros ativos na rede, comprometendo servidores adicionais e mantendo persistência dentro do ambiente corporativo.

4. Canal de comunicação com servidores C2 (Command and Control)

Ataques avançados frequentemente usam túneis SSH como canal de C2, ocultando a comunicação entre o invasor e os dispositivos comprometidos. Essa técnica burla firewalls e sistemas de inspeção de tráfego, permitindo controle remoto persistente e discreto.

Ameaças mais comuns associadas ao SSH exposto

O SSH exposto à internet — especialmente pela Porta 22 — é constantemente explorado por atacantes em busca de acesso remoto não autorizado. Abaixo estão as principais técnicas maliciosas e seus impactos no ambiente corporativo:

Vetor de ataque Técnica utilizada Impacto na segurança
Brute-force / Dictionary Attacks Tentativas automatizadas de autenticação com senhas fracas, comuns ou vazadas Comprometimento inicial do servidor
Exploração de versões vulneráveis Uso de bugs em versões antigas do OpenSSH (ex: CVE-2018-15473) Execução remota de código ou bypass de login
Shadow IT Instâncias de SSH ativas sem conhecimento ou controle da equipe de TI Porta de entrada invisível e difícil de detectar
Chaves privadas expostas Vazamento de credenciais em repositórios públicos como GitHub Acesso silencioso e persistente ao ambiente
Uso como túnel para C2 Encaminhamento de tráfego malicioso via túneis SSH para dentro da rede Evasão de firewalls e ferramentas DLP

Além das técnicas citadas na tabela acima, diversos grupos de ameaça utilizam o protocolo SSH como ferramenta estratégica em suas campanhas ofensivas. Com a Porta 22 exposta à internet, o SSH se torna um meio eficaz para obter acesso inicial, manter persistência, executar movimentação lateral e controlar remotamente infraestruturas comprometidas.

Veja abaixo alguns dos grupos mais ativos que exploram o SSH em ataques reais:

  • TeamTNT: especializado em ambientes de nuvem e containers, explora servidores com SSH mal configurado ou senhas fracas. Após o acesso, implanta malwares voltados para criptojacking e exfiltração de dados. Sua atuação foi documentada pela Cado Security.
  • APT28 (Fancy Bear): grupo de espionagem cibernética associado a interesses estatais, utiliza o SSH para manter acesso persistente e realizar movimentação lateral em redes de alto valor, como órgãos governamentais e instituições militares. Análises aprofundadas estão disponíveis em relatórios da FireEye e Mandiant.
  • Kinsing: malware voltado a servidores Linux, realiza ataques de força bruta via SSH e, uma vez dentro, executa scripts de mineração de criptomoedas e compromete ambientes em nuvem. Investigado por especialistas da Intezer Labs.
  • FIN8: focado em setores como financeiro e varejo, o grupo utiliza chaves SSH maliciosas para estabelecer acesso persistente e pivotar lateralmente dentro de redes corporativas. Suas táticas são descritas em estudos da Symantec.
  • XorDDoS: trojan Linux que explora serviços SSH abertos para recrutar dispositivos em botnets utilizadas em ataques DDoS massivos. A ameaça é acompanhada de perto por empresas como a Trend Micro.

Esses exemplos reforçam como a exposição do SSH — especialmente via Porta 22 sem proteção adequada — representa um vetor privilegiado por grupos maliciosos em todo o mundo. Monitorar, endurecer e restringir o uso do protocolo é uma medida essencial para mitigar riscos e proteger ambientes corporativos.

Exposição global e nacional de servidores SSH

A exposição de servidores SSH na internet é um fenômeno crescente e de alto risco, que afeta organizações públicas e privadas em todo o mundo. Com a Porta 22 aberta à internet, esses serviços se tornam alvos fáceis para ataques cibernéticos, representando uma superfície de ataque significativa.

Ferramentas de inteligência como Shodan e Fofa.info permitem mapear a presença global desses serviços acessíveis remotamente. Segundo dados da Shodan.io, há mais de 16 milhões de instâncias de SSH publicamente acessíveis, com maior concentração em países como Estados Unidos, China, Rússia e regiões da Europa Ocidental.

Servidores SSH expostos no mundo. Shodan.io

Esse número alarmante reforça que muitos ambientes corporativos e infraestruturas de nuvem mantêm instâncias SSH expostas sem os devidos mecanismos de segurança — como autenticação robusta, restrição de IPs ou monitoramento contínuo.

A ferramenta Fofa.info complementa essa visão com um mapa de calor técnico, detalhando a distribuição de servidores SSH visíveis na internet. Além dos países já citados, o Brasil, Alemanha, Japão e Índia também apresentam volumes expressivos de exposição.

Servidores SSH expostos no mundo. Fofa.info

Essa presença maciça de serviços SSH acessíveis publicamente, muitas vezes sem autenticação forte ou proteção contra automações maliciosas, representa um vetor direto para:

  • Ataques de força bruta
  • Movimentação lateral
  • Acesso persistente de grupos de ameaça

A análise geográfica deixa claro que a Porta 22 continua sendo um ponto crítico na segurança cibernética, exigindo monitoramento constante e políticas de endurecimento para reduzir o risco de invasões.

Exposição de servidores SSH no Brasil

No cenário brasileiro, a exposição de serviços SSH à internet também é expressiva e preocupante. Dados extraídos do Shodan.io revelam que há dezenas de milhares de instâncias SSH acessíveis publicamente em território nacional, concentradas principalmente em regiões com alta densidade tecnológica, como centros urbanos, polos de inovação e locais com grandes datacenters corporativos.

Servidores SSH expostos no Brasil. Shodan.io

Entre os principais fatores que contribuem para esse nível de exposição estão:

  • Ambientes corporativos com acesso remoto mal configurado
  • Provedores de serviços em nuvem ou hospedagem
  • Equipamentos de rede com Porta 22 aberta sem controle de acesso
  • Falta de inventário e de visibilidade sobre ativos expostos

Essa realidade coloca o Brasil como um dos países com maior número de servidores SSH visíveis na internet, ampliando a superfície de ataque para grupos cibercriminosos que exploram vulnerabilidades conhecidas, credenciais vazadas e técnicas de força bruta.

Além do risco técnico direto, essa exposição revela também lacunas no gerenciamento de ativos de TI, sugerindo a necessidade urgente de iniciativas como:

  • Auditorias regulares de portas e serviços expostos
  • Políticas de hardening para SSH
  • Autenticação baseada em chaves criptográficas
  • Monitoramento ativo com alertas de acesso

Tratar a Porta 22 como um vetor de risco real e imediato é um passo fundamental para elevar o nível de maturidade cibernética das organizações brasileiras.

Proteger a Porta 22 é essencial para reduzir riscos e garantir resiliência

O protocolo SSH é indispensável para a gestão remota de servidores e ambientes em nuvem, mas sua exposição sem controle pela Porta 22 representa um risco crítico que pode comprometer toda a infraestrutura de uma organização.

Ignorar a visibilidade pública do SSH é o mesmo que deixar um acesso privilegiado aberto para qualquer atacante. Felizmente, há caminhos claros para mitigar esse vetor de ataque e reforçar a segurança corporativa:

  • Evite expor o SSH diretamente à internet
  • Implemente autenticação por chave criptográfica em vez de senhas
  • Use múltiplos fatores de autenticação (MFA)
  • Aplique políticas de hardening no protocolo SSH
  • Monitore constantemente a Porta 22 e bloqueie acessos suspeitos

Mais do que uma medida técnica, blindar o SSH é um passo estratégico para elevar o nível de maturidade em cibersegurança, reduzir a superfície de ataque e garantir a continuidade do negócio diante de ameaças cada vez mais avançadas.

Organizações que tratam o SSH com a seriedade que ele exige saem na frente: protegem seus ativos, seus dados e, acima de tudo, a confiança de seus clientes e parceiros. Fale com nossos consultores e saiba como fortalecer a segurança do seu ambiente contra riscos associados à Porta 22 e ao acesso remoto exposto.

Tags: , , , , , ,

Copyright © 2024 ISH Tecnologia, All Rights Reserved.