A vulnerabilidade do Log4Shell comprometeu os serviços da Apple, Steam, Twitter, CloudFlare, Tesla, Minecraft e muitos outros

Os especialistas em segurança cibernética do Alibaba Cloud descobriram uma vulnerabilidade perigosa que pode permitir que invasores executem códigos arbitrários remotamente e hackem servidores de grandes empresas, bem como milhões de dispositivos na Internet. No momento, um patch foi lançado que corrige esse bug.

Fonte da imagem: Gerd Altmann / pixabay.com

A vulnerabilidade foi descoberta na estrutura Log4j extremamente popular para coleta de logs, que é usada por vários aplicativos e serviços na Internet. O renomado especialista em segurança cibernética Marcus Hutchins, que certa vez impediu o ataque de ransomware WannaCry, observou que o problema pode afetar milhões de aplicativos na Internet.

A vulnerabilidade foi nomeada Log4Shell e número CVE-2021-44228 – sua característica distintiva é que é muito fácil de explorar. Um invasor só precisa forçar o aplicativo a registrar uma linha de código. Os especialistas em segurança da GreyNoise já descobriram muitos servidores que procuram sistemas vulneráveis ​​na Internet.

De acordo com o LunaSec, a vulnerabilidade foi confirmada para a plataforma de jogos Steam e armazenamento iCloud – representantes da Valve e da Apple até agora se abstiveram de comentar. Recursos da Tencent, Twitter, CloudFlare, Amazon, Tesla, Minecraft e VMWare também podem estar em risco. Os especialistas do Alibaba Cloud que descobriram o problema demonstraram a exploração executando um código de terceiros em servidores do Minecraft, simplesmente enviando uma mensagem com o código para a janela de bate-papo.

Fonte da imagem: logging.apache.org

O CTO da Cloudflare, John Graham-Cumming, disse que nos últimos 10 anos ele consegue se lembrar de apenas duas vulnerabilidades desse nível: Heartbleed, que permitiu que os dados fossem recuperados da memória do servidor, e Shellshock, que permitiu a execução remota de código. A gama de ataques possíveis é incrivelmente ampla. Considerando que serviços muito diferentes entre si estão sob ameaça, o ataque pode ser realizado até mesmo codificando a string em um código QR que pode ser lido por um provedor de serviços de correio expresso.

Vulneráveis ​​eram as versões da biblioteca Log4j até 2.14.1. No momento, já foi lançada uma atualização para a versão 2.15.0, na qual foi eliminada. No entanto, alguns especialistas estão convencidos de que ainda não há garantia de segurança, já que muitas empresas podem assumir riscos e deixar seus sistemas temporariamente em risco, já que o tempo de inatividade durante as semanas anteriores ao feriado pode acarretar em perda de receita.