🔐 Ecossistema Azure AD - 344 Apps com Secrets¶
Tenant ID: 03a1fb23-83f2-4fbf-81f9-e40d15b58719
Grafo de Relacionamentos - Apps Críticas¶
graph TB
MSAL_DEV["🔴 COMPROMETIDA<br/>Portal Dev<br/>cc06aa03<br/>Secret: Qjc8Q~...<br/>STATUS: ATIVO<br/>1 secret ativo"]
MSAL_PRD["🟠 ALTA RISCO<br/>Portal Prd<br/>4e5a672f<br/>Secret hint: ew5<br/>Novo secret: IA_8Q~<br/>exp 2026-05-09<br/>2 secrets"]
PAT_TOKEN["🔴 CRÍTICA<br/>PAT-Token-Manager<br/>df077825<br/>Scope: DevOps COMPLETO<br/>3 secrets ativa<br/>Acesso Azure DevOps"]
DOR_DEV["🔴 CRÍTICA<br/>dor-dev-hub<br/>8a7d0eab<br/>DevOps scope completo<br/>exp 2028<br/>2 secrets"]
APEX_AUTH["🟠 EXPIRAÇÃO HOJE<br/>APEX - AUTHENTICATION<br/>4459f6a9<br/>7 secrets<br/>DEV_APEX: DDc, 2028<br/>PRD_APEX: YP8, 2028<br/>id_secret_gen: 8nf, exp 2026-03<br/>Oracle APEX: iC_, EXP HOJE"]
CYBERARK["🟠 ALTA<br/>CyberArk Identity RDOR OLD<br/>994ce889<br/>Directory.ReadWrite.All<br/>2 secrets, exp 2026<br/>Editar users/roles/permissions"]
KEYVAULT["🔴 CRÍTICA<br/>app-AzurekeyVaultSecretManagement-hml<br/>1cd22fa9<br/>Key Vault Secret Officer<br/>Acesso centralizado<br/>a TODOS os secrets"]
NEOH["🟠 MÉDIA<br/>RedeDor_Neoh<br/>8107cd20<br/>3 secrets ativa<br/>exp 2028"]
APISUL["🟠 MÉDIA<br/>APISulamerica<br/>8f54cf21<br/>4 secrets<br/>1 expira 2032"]
GOVFABRIC["🟡 BAIXA<br/>GovFabric<br/>f4a6794f<br/>3 secrets"]
MAILFLOW["🟡 BAIXA<br/>MailFlow<br/>2164bbc9<br/>3 secrets"]
ZEROGLOOSA["🟡 BAIXA<br/>Zero-Glosa-ZG-Auth-HML<br/>cca21746<br/>2 secrets"]
FRONTDESK["🟡 BAIXA<br/>Front Desk - PRD<br/>d15ff2e3<br/>2 secrets"]
ASSISTMED["🟡 BAIXA<br/>assistentemedicohml<br/>f8905360<br/>2 secrets"]
GRAPH_API["📊 Microsoft Graph API<br/>Permission: Application.ReadWrite<br/>Pode listar/modificar<br/>TODAS as apps"]
DEVOPS["🔷 Azure DevOps Org<br/>rededorlabs<br/>6 repos principais<br/>3377 + 2373 + 280 commits"]
AWS["☁️ AWS Accounts<br/>282525845483<br/>485245438221<br/>527905719568"]
TENANT["🔑 Azure AD Tenant<br/>03a1fb23-83f2...<br/>344 apps total<br/>344 secrets"]
MSAL_DEV -->|"Stolen from git"| GRAPH_API
GRAPH_API -->|"Enumerate ALL"| TENANT
TENANT -->|"Contains"| MSAL_PRD
TENANT -->|"Contains"| PAT_TOKEN
TENANT -->|"Contains"| DOR_DEV
TENANT -->|"Contains"| APEX_AUTH
TENANT -->|"Contains"| CYBERARK
TENANT -->|"Contains"| KEYVAULT
TENANT -->|"Contains"| NEOH
TENANT -->|"Contains"| APISUL
TENANT -->|"Contains"| GOVFABRIC
TENANT -->|"Contains"| MAILFLOW
TENANT -->|"Contains"| ZEROGLOOSA
TENANT -->|"Contains"| FRONTDESK
TENANT -->|"Contains"| ASSISTMED
MSAL_DEV -->|"Can add password to"| MSAL_PRD
MSAL_PRD -->|"Controls"| DEVOPS
PAT_TOKEN -->|"Controls"| DEVOPS
DOR_DEV -->|"Controls"| DEVOPS
CYBERARK -->|"Directory.ReadWrite"| TENANT
KEYVAULT -->|"Reads/writes ALL"| TENANT
DEVOPS -->|"Cloned with PAT"| MSAL_DEV
DEVOPS -->|"6 repos"| AWS
style MSAL_DEV fill:#ff3333,color:#fff,stroke:#8b0000,stroke-width:3px
style MSAL_PRD fill:#ff6666,color:#fff,stroke:#cc0000,stroke-width:3px
style PAT_TOKEN fill:#ff3333,color:#fff,stroke:#8b0000,stroke-width:3px
style DOR_DEV fill:#ff3333,color:#fff,stroke:#8b0000,stroke-width:3px
style APEX_AUTH fill:#ff9999,color:#fff,stroke:#cc0000,stroke-width:2px
style CYBERARK fill:#ff9999,color:#fff,stroke:#cc0000,stroke-width:2px
style KEYVAULT fill:#ff3333,color:#fff,stroke:#8b0000,stroke-width:3px
style GRAPH_API fill:#ff9999,color:#fff,stroke:#cc0000,stroke-width:2px
style TENANT fill:#ffcc00,color:#000,stroke:#ff6600,stroke-width:2px
style DEVOPS fill:#ff9999,color:#fff,stroke:#cc0000,stroke-width:2px
style AWS fill:#ff9999,color:#fff,stroke:#cc0000,stroke-width:2px
Apps Críticas - Detalhamento¶
🔴 TIER 1: Comprometidas / Acesso DevOps¶
Portal de Relacionamento - Dev (cc06aa03)¶
- Status: ATIVO - COMPROMETIDA
- Secret:
Qjc8Q~qh5ILbrPG71r35Y2U9M53nNMFZSyGi.aOb - Encontrado em: Git history (commit range)
- Acesso: Graph API, pode enumerar/modificar apps
- Risco: Vetor principal de pivô para prod
Portal de Relacionamento - Prd (4e5a672f)¶
- Status: ATIVO + NOVO SECRET
- Secrets: hint
ew5(exp 2026-05-09) + novoIA_8Q~(ADICIONADO NA AUDITORIA!) - Risco: Secret novo foi criado durante investigação - indicador de possível resposta a incidente
- Impacto: Controle da autenticação em produção
PAT-Token-Manager (df077825)¶
- Status: ATIVO
- Secrets: 3 secrets vigentes
- Scope: Azure DevOps COMPLETO (Code, Build, Release, etc)
- Criticidade: Se o secret for obtido, acesso total ao DevOps
- Relacionado: Acessa aplicação 499b84ac com DevOps scope
dor-dev-hub (8a7d0eab)¶
- Status: ATIVO
- Secrets: 2 secrets, expira 2028
- Scope: DevOps completo
- Risco: Longa janela de exposição até 2028
🟠 TIER 2: Muito Alta Criticidade¶
APEX - AUTHENTICATION (4459f6a9)¶
- Total Secrets: 7
- DEV_APEX: ClientSecret
DDc, expira 2028 - PRD_APEX: ClientSecret
YP8, expira 2028 - id_secret_general_producao: Secret
8nf, expira 2026-03 (próximo) - Oracle APEX: Secret
iC_, EXPIRA HOJE - loss of access imminent - Impacto: Controle de APEX (business logic crítica)
CyberArk Identity RDOR OLD (994ce889)¶
- Status: ATIVO
- Secrets: 2 secrets, expira 2026
- Permissions:
Directory.ReadWrite.All - Risco: Pode editar users, roles, permissions de toda org
- Tipo: Identity/Access governance - afeta TODOS os usuários
app-AzurekeyVaultSecretManagement-hml (1cd22fa9)¶
- Status: ATIVO
- Scope: Key Vault Officer - acesso centralizado a TODOS os secrets
- Impacto: Se comprometida, acesso a 344 secrets de uma vez
- Tipo: Secret manager - ponto crítico
🟡 TIER 3: Média Criticidade¶
| App | AppID | Secrets | Expira | Escopo |
|---|---|---|---|---|
| RedeDor_Neoh | 8107cd20 | 3 | 2028 | Integration |
| APISulamerica | 8f54cf21 | 4 | 1x2032 | External API |
| GovFabric | f4a6794f | 3 | N/A | Government API |
| MailFlow | 2164bbc9 | 3 | N/A | Email system |
| Zero-Glosa-ZG-Auth-HML | cca21746 | 2 | N/A | Glosa processing |
| Front Desk - PRD | d15ff2e3 | 2 | N/A | Support system |
| assistentemedicohml | f8905360 | 2 | N/A | Medical assistant |
Cadeia de Comprometimento por App¶
PAT Token (Azure DevOps)
↓
Clone repos com MSAL Dev Secret em git
↓
MSAL Dev Secret (cc06aa03) - Graph API
↓
Enumerar 344 apps Azure AD
↓
┌─────────────────────┬──────────────────────┬─────────────────┐
│ │ │ │
PAT-Token-Manager dor-dev-hub Key Vault Mgmt CyberArk
(df077825) (8a7d0eab) (1cd22fa9) (994ce889)
DevOps Full Access DevOps Access All Secrets Directory Write
↓ ↓ ↓ ↓
Azure DevOps Azure DevOps Acesso a 344 Editar users
6 repos 6 repos secrets de uma e permissões
↓ vez de toda org
AWS Accounts
Infraestrutura APEX Apps (4459f6a9)
Databases - 7 secrets
- Oracle APEX iC_ EXP HOJE
Matriz de Risco¶
graph LR
subgraph "CRÍTICA 🔴 - Revogação Imediata"
A1["MSAL Dev (cc06aa03)<br/>Graph API access"]
A2["PAT-Token-Manager (df077825)<br/>DevOps full scope"]
A3["Key Vault Mgmt (1cd22fa9)<br/>All secrets centralized"]
A4["MSAL Prod (4e5a672f)<br/>Production identity"]
end
subgraph "ALTA 🟠 - Rotação Urgente (dias)"
B1["APEX Auth (4459f6a9)<br/>7 secrets, 1 exp hoje"]
B2["CyberArk RDOR (994ce889)<br/>Directory.ReadWrite.All"]
B3["dor-dev-hub (8a7d0eab)<br/>DevOps scope"]
end
subgraph "MÉDIA 🟡 - Rotação em 30 dias"
C1["Neoh, APISul, GovFabric<br/>Mailflow, Zero-Glosa"]
end
style A1 fill:#ff0000
style A2 fill:#ff0000
style A3 fill:#ff0000
style A4 fill:#ff3333
style B1 fill:#ff9999
style B2 fill:#ff9999
style B3 fill:#ff9999
style C1 fill:#ffcc99
Checklist de Remediação¶
- [ ] HOJE: Revogue MSAL Dev secret (cc06aa03)
- [ ] HOJE: Revogue oracle APEX secret (iC_) antes da expiração
- [ ] 24h: Revogue PAT Token - reissue com escopo mínimo
- [ ] 24h: Audit + force rotate todos os 344 app secrets
- [ ] 48h: Rotate MySQL RDS credentials
- [ ] 48h: Scan + revogue APEX secrets (DEV/PRD)
- [ ] 72h: Audit git history com TruffleHog - 2000+ commits
- [ ] 1 sem: Implementar Secret Rotation Policy (max 90 dias)
- [ ] 1 sem: Disable legacy MSAL Dev app completamente
- [ ] 2 sem: Audit CyberArk permissions (Directory.ReadWrite.All é muito amplo)
- [ ] 30 dias: Rotate todas as secrets Tier 2