Os especialistas em segurança cibernética do Alibaba Cloud descobriram uma vulnerabilidade perigosa que pode permitir que invasores executem códigos arbitrários remotamente e hackem servidores de grandes empresas, bem como milhões de dispositivos na Internet. No momento, um patch foi lançado que corrige esse bug.
Fonte da imagem: Gerd Altmann / pixabay.com
A vulnerabilidade foi descoberta na estrutura Log4j extremamente popular para coleta de logs, que é usada por vários aplicativos e serviços na Internet. O renomado especialista em segurança cibernética Marcus Hutchins, que certa vez impediu o ataque de ransomware WannaCry, observou que o problema pode afetar milhões de aplicativos na Internet.
A vulnerabilidade foi nomeada Log4Shell e número CVE-2021-44228 – sua característica distintiva é que é muito fácil de explorar. Um invasor só precisa forçar o aplicativo a registrar uma linha de código. Os especialistas em segurança da GreyNoise já descobriram muitos servidores que procuram sistemas vulneráveis na Internet.
De acordo com o LunaSec, a vulnerabilidade foi confirmada para a plataforma de jogos Steam e armazenamento iCloud – representantes da Valve e da Apple até agora se abstiveram de comentar. Recursos da Tencent, Twitter, CloudFlare, Amazon, Tesla, Minecraft e VMWare também podem estar em risco. Os especialistas do Alibaba Cloud que descobriram o problema demonstraram a exploração executando um código de terceiros em servidores do Minecraft, simplesmente enviando uma mensagem com o código para a janela de bate-papo.
Fonte da imagem: logging.apache.org
O CTO da Cloudflare, John Graham-Cumming, disse que nos últimos 10 anos ele consegue se lembrar de apenas duas vulnerabilidades desse nível: Heartbleed, que permitiu que os dados fossem recuperados da memória do servidor, e Shellshock, que permitiu a execução remota de código. A gama de ataques possíveis é incrivelmente ampla. Considerando que serviços muito diferentes entre si estão sob ameaça, o ataque pode ser realizado até mesmo codificando a string em um código QR que pode ser lido por um provedor de serviços de correio expresso.
Vulneráveis eram as versões da biblioteca Log4j até 2.14.1. No momento, já foi lançada uma atualização para a versão 2.15.0, na qual foi eliminada. No entanto, alguns especialistas estão convencidos de que ainda não há garantia de segurança, já que muitas empresas podem assumir riscos e deixar seus sistemas temporariamente em risco, já que o tempo de inatividade durante as semanas anteriores ao feriado pode acarretar em perda de receita.