No fim de semana passado, soube-se sobre uma vulnerabilidade na ferramenta de registro Log4j, que é distribuída como código aberto (biblioteca) como parte do Apache Logging Project. A vulnerabilidade permite, por meios simples, sem a necessidade de habilidades especiais, obter controle total sobre os dispositivos vulneráveis. A escala dos problemas surpreendeu os especialistas, que podem levar semanas ou até meses para serem corrigidos.
De acordo com o Scoop News Group, a diretora da Agência de Proteção de Infraestrutura e Cibernética dos Estados Unidos, Jen Easterly, disse aos líderes da indústria durante uma reunião por telefone na segunda-feira que a vulnerabilidade na amplamente usada biblioteca de registro Log4j “é uma das mais sérias que ela viu em seu carreira inteira, senão a mais séria. “
Nos primeiros dias úteis após o fim de semana, especialistas em segurança de muitas, muitas empresas e governos começaram a estudar a extensão do problema e como mitigá-lo. Até agora, tudo parece que vai demorar muito tempo, calculado em semanas e até meses, para eliminar a vulnerabilidade. A situação é agravada pelas férias que se aproximam, o que pode atrasar ainda mais o processo e exigirá um estresse colossal dos especialistas em segurança cibernética e um aumento nos custos de horas extras para os departamentos de TI.
A vulnerabilidade Log4j foi descoberta e classificada por especialistas do Alibaba Cloud. Eles deram a ela o nome de Log4Shell e o número CVE-2021-44228 com a atribuição da classe de risco mais alta. Os desenvolvedores foram avisados com antecedência sobre a vulnerabilidade e lançaram uma versão corrigida atualizada da biblioteca 2.15.0. É importante observar que a exploração baseada na vulnerabilidade Log4j foi descoberta 9 dias antes do lançamento da biblioteca atualizada e antes da divulgação pública de informações sobre ela. Ataques com seu uso começaram no início de dezembro, e tentativas massivas de exploração foram registradas no fim de semana.
Apache Log4j, uma ferramenta de registro baseada em Java, é usada por uma miríade de programas. Assim, o problema afeta milhões de computadores. Com apenas uma linha de código usando a sintaxe $ {}, você pode incluir comandos em agentes de usuário do navegador ou outros atributos comumente registrados. Ao processar logs infectados, o sistema vulnerável baixa um script malicioso do domínio especificado pelo invasor e o processa, fornecendo acesso remoto a uma pessoa não autorizada. Em outras palavras, o aplicativo ou servidor vulnerável é assumido pelo invasor.
De acordo com fontes, Log4Shell já está sendo usado para infectar dispositivos vulneráveis com malware Mirai e Muhstik para instalar criptominadores e para ataques DDoS em grande escala. O carregamento do criptominer de Kinsing também foi registrado. Ataques ao Apple iCloud e Minecraft já são conhecidos, e a Microsoft relatou casos de sinalizadores Cobalt Strike sendo derrubados, sugerindo um ataque iminente a recursos de rede sérios.
Uma lista constantemente atualizada de empresas e serviços afetados pela vulnerabilidade pode ser encontrada nesta página. Não há aglomeração de empresas de alto nível, o que mais uma vez mostra a gravidade do perigo. Um simples usuário não pode fazer nada a respeito. Só podemos esperar que os poderosos deste mundo percebam as consequências de atrasar a solução do problema e façam todos os esforços para eliminá-lo.