Uma falha muito grave na Apache Log4j, chamado Log4Shell, tornou-se a vulnerabilidade de segurança de maior visibilidade na Internet no momento com um pontuação de gravidade de 10/10 . Log4j é uma biblioteca Java de código aberto para registrar mensagens de erro em aplicativos, amplamente utilizada por inúmeras empresas de tecnologia.
Doravante, os serviços das principais empresas de tecnologia sofrem atualmente com o que os especialistas em segurança chamam de uma das falhas mais críticas da história recente. Essa falha é capaz de permitir aos hackers acesso irrestrito aos sistemas de computadores.
De acordo com o relatório recente da Microsoft, pelo menos uma dúzia de grupos de invasores já estão tentando explorar a falha para roubar credenciais do sistema, instalar mineradores de criptografia em sistemas propensos, roubar dados e se aprofundar nas redes comprometidas.
A falha é tão grave que a agência de segurança cibernética do governo dos EUA emitiu um alerta urgente para todas as empresas vulneráveis e sugeriu que tomem medidas efetivas imediatamente. Descubra tudo sobre essa vulnerabilidade de dia zero - Log4j em detalhes e como você pode se proteger dela.
Atualizar : Segunda Vulnerabilidade Log4j Descoberta; Patch lançado
Na terça-feira, uma segunda vulnerabilidade envolvendo o Apache Log4j foi descoberta. Isso ocorre depois que os especialistas em segurança cibernética passaram dias para corrigir ou mitigar o primeiro. O nome oficial desta vulnerabilidade é CVE 2021-45046.
A descrição afirma que a correção para o endereço CVE-2021-44228 no Apache Log4j 2.15.0 estava incompleta em determinadas configurações não padrão. Isso pode permitir que invasores… criem dados de entrada maliciosos usando um padrão de pesquisa JNDI, resultando em um ataque de negação de serviço (DOS)
A empresa internacional de segurança ESET apresenta um mapa mostrando onde a exploração do Log4j está acontecendo.
Fonte da imagem: CASO
O bom é que o Apache já lançou um patch, Log4j 2.16.0, para resolver e corrigir esse problema. O patch mais recente resolve o problema removendo o suporte para padrões de pesquisa de mensagens e desativando a funcionalidade JNDI por padrão.
O que é a vulnerabilidade do Log4j?
A vulnerabilidade Log4j também chamada de Log4Shell é um problema com a biblioteca Java Logj4 que permite que exploradores controlem e executem código arbitrário e obtenham acesso a um sistema de computador. O nome oficial desta vulnerabilidade é CVE-2021-44228 .
Log4j é uma biblioteca Java de código aberto, criada pela Apache, que é responsável por manter um registro de todas as atividades em uma aplicação. Os desenvolvedores de software o usam amplamente para seus aplicativos. Portanto, mesmo as maiores empresas de tecnologia como Microsoft, Twitter e Apple estão propensas a ataques no momento.
Como a vulnerabilidade do Log4j foi descoberta ou encontrada?
A vulnerabilidade Log4Shell (Log4j) foi descoberta pela primeira vez por pesquisadores da LunaSec no Minecraft, de propriedade da Microsoft. Mais tarde, os pesquisadores perceberam que não é uma falha do Minecraft e a LunaSec alertou que muitos, muitos serviços são vulneráveis a esse exploit devido à presença onipresente do Log4j
Desde então, muitos relatos chegaram apelidando-o de uma das falhas mais graves dos últimos tempos, e uma falha que afetará a Internet nos próximos anos.
O que a vulnerabilidade do Log4j pode fazer?
A vulnerabilidade Log4j é capaz de conceder acesso completo ao sistema para hackers/atacantes/exploradores. Eles simplesmente precisam executar um código arbitrário para obter acesso irrestrito. Essa falha também pode permitir que eles adquiram o controle completo do servidor quando manipulam o sistema adequadamente.
A definição técnica da falha na biblioteca CVE (Common Vulnerabilities and Exposures) afirma que um invasor que pode controlar mensagens de log ou parâmetros de mensagem de log pode executar código arbitrário carregado de servidores LDAP quando a substituição de pesquisa de mensagens está habilitada.
Portanto, a Internet está em alerta máximo, pois os exploradores estão continuamente tentando atingir sistemas fracos.
Quais dispositivos e aplicativos estão em risco de vulnerabilidade do Log4j?
A vulnerabilidade do Log4j é séria para qualquer desonesto que esteja executando o Apache Log4J versões 2.0 a 2.14.1 e tenha acesso à Internet. De acordo com o NCSC, os frameworks Apache Struts2, Solr, Druid, Flink e Swift incluem as versões de afeto (Log4j versão 2 ou Log4j2).
Isso coloca um grande número de serviços, incluindo os de gigantes da tecnologia como iCloud da Apple, Minecraft da Microsoft, Twitter, Steam, Tencent, Google, Amazon, CloudFare, NetEase, Webex, LinkedIn, etc.
Por que essa vulnerabilidade é tão grave e lidar com ela é criticamente difícil?
Essa vulnerabilidade é tão grave que os hackers tentam mais de 100 vezes por minuto explorar os sistemas seriamente fracos usando o Apache Log4j2. Isso coloca milhões de empresas em risco de roubo cibernético.
De acordo com os relatórios, apenas na Índia, essa falha colocou 41% das empresas em risco de hacks. A Check Point Research disse que detectou mais de 846.000 ataques explorando a falha.
A Kryptos Logic, que é uma empresa de segurança, anunciou que ele descobriu mais de 10.000 endereços IP diferentes varrendo a Internet e é 100 vezes a quantidade de sistemas investigando o LogShell .
Essa vulnerabilidade é tão grande devido ao fato de que o Apache é o servidor web mais usado e o Log4j é o pacote de log Java mais popular. Possui mais de 400.000 downloads apenas de seu repositório GitHub.
Como se proteger da vulnerabilidade do Log4j?
De acordo com os usuários mais recentes, o Apache está corrigindo os problemas para todos no Log4j 2.15.0 e superior, pois estão desabilitando o comportamento por padrão. Os especialistas estão continuamente tentando avaliar como minimizar o risco dessa ameaça e proteger os sistemas. A Microsoft e a Cisco também publicaram avisos sobre a falha.
LunaSec mencionou que O Minecraft já afirmou que os usuários podem atualizar o jogo para evitar problemas. Outros projetos de código aberto, como o Paper, também estão emitindo patches para corrigir o problema .
Cisco e VMware também lançaram patches para seus produtos afetados. A maioria das grandes empresas de tecnologia já abordou o assunto publicamente e ofereceu medidas de segurança para seus usuários e funcionários. Eles só precisam segui-los estritamente.
O que os especialistas estão dizendo sobre a vulnerabilidade do Log4j?
A vulnerabilidade do Log4j deixou os administradores de sistema e profissionais de segurança enganados no fim de semana. Cisco e Cloudflare relataram que os hackers estão explorando esse bug desde o início deste mês. No entanto, os números aumentaram drasticamente após a divulgação pela Apache na quinta-feira.
Normalmente, as empresas lidam com essas falhas em particular. Mas, o alcance do impacto dessa vulnerabilidade foi tão grande que as empresas tiveram que abordá-la publicamente. Até a ala de segurança cibernética do governo dos EUA emitiu um aviso sério.
No sábado, Jen Easterly, diretora da Agência de Segurança Cibernética e Infraestrutura dos EUA, disse que A vulnerabilidade já está sendo usada por um 'conjunto crescente de atores de ameaças', essa falha é uma das mais sérias que já vi em toda a minha carreira, se não a mais séria.
Chris Frohoff, um pesquisador de segurança independente diz que O que é quase certo é que, durante anos, as pessoas descobrirão a longa cauda de novos softwares vulneráveis à medida que pensam em novos lugares para colocar strings de exploração. Isso provavelmente aparecerá em avaliações e testes de penetração de aplicativos corporativos personalizados por um longo tempo.
Os especialistas acreditam que, embora seja importante estar ciente do impacto duradouro iminente da vulnerabilidade, a primeira prioridade deve ser tomar todas as medidas possíveis agora para reduzir os danos.
Como os invasores agora procurarão maneiras mais criativas de descobrir e explorar o maior número possível de sistemas, essa falha assustadora continuará causando destruição na Internet nos próximos anos!
