Bug Log4Shell coloca a Internet em risco

Empresas em todo o mundo estão lutando para limitar os danos de uma das mais importantes vulnerabilidades de segurança de software de código aberto descobertas em anos, divulgada publicamente pela primeira vez na sexta-feira, 10 de dezembro. Um bug em um programa chamado Log4j, que tem sido usado em incontáveis ​​aplicativos Java construídos nas últimas duas décadas, forçou praticamente todas as empresas que fazem negócios na Internet a examinar seu software para determinar se estão vulneráveis.

No Brasil, por exemplo, o impacto dessa exploração alcançou 53% das redes corporativas que sofreram tentativas dessa exploração, segundo levantamento da Check Point Research (CPR). É uma fatia maior do que o total global, de 44%. Mais de 90 países foram atingidos.

Denominada Log4Shell, a vulnerabilidade zero-day, considerada crítica, foi explorada inicialmente para comprometer servidores do Minecraft. Passados quatro dias da primeira notificação está claro que ela é uma ameaça grave, que vem comprometendo inúmeros serviços em nuvem. Analistas de ameaças e pesquisadores ainda estão avaliando os danos, mas as perspectivas são ruins.

“Esta é uma vulnerabilidade muito séria devido ao uso generalizado de Java e deste pacote log4j”, disse o CTO da Cloudflare, John Graham-Cumming, ao The Verge. “Há uma quantidade enorme de software Java conectado à Internet e em sistemas back-end”.

 Aqui está o que você precisa saber por enquanto.

•  O Log4j é uma biblioteca de registro de código aberto usada por aplicativos e serviços na Internet. O registro é um processo no qual os aplicativos mantêm uma lista em execução das atividades que realizaram, que pode ser revisada posteriormente em caso de erro. Quase todo sistema de segurança de rede executa algum tipo de processo de registro, o que dá a bibliotecas populares como o log4j um alcance enorme.
• O bug Log4Shell permite que um invasor simplesmente insira uma sequência de caracteres cuidadosamente elaborada em um formulário da web que, uma vez conectado, direciona o computador no qual está sendo executado para baixar o código malicioso.
• Nesse ponto, seu computador não é mais seu.
• A exploração, que concede acesso remoto total às redes internas sem a necessidade de um nome de usuário ou senha, pode ser usada para infiltrar e extrair dados valiosos, plantar malware e apagar informações críticas em dispositivos não corrigidos.
• A vulnerabilidade Log4Shell pode ser usada para explorar servidores em execução com empresas como Apple, Amazon, Cloudflare, Twitter, Steam, Baidu, NetEase, Tencent e Elastic, junto com muitas outras organizações.  
• Quase todas as versões do Log4j estão vulneráveis, a partir de 2.0-beta9 a 2.14.1. 
• Como um invasor pode usar a falha para forçar um sistema afetado a aceitar comandos de um servidor remoto malicioso, Sean Gallagher, pesquisador sênior de ameaças da Sophos, alert que isso pode incluir comandos para baixar e instalar todos os tipos de código em sistemas vulneráveis, incluindo mineradores de criptomoedas ou outro software malicioso.

A principal causa do Log4Shell, formalmente conhecido como CVE-2021-44228 , é o que o NIST chama de validação de entrada imprópria. Em termos gerais, isso significa que você confia demais em dados não confiáveis ​​que chegam de estranhos e abre seu software para truques sorrateiros baseados em dados armadilhados.

O que torna a CVE-2021-44228 especialmente perigoso é a facilidade de exploração: até mesmo um hacker inexperiente pode executar um ataque com sucesso usando esta vulnerabilidade.  De acordo com os pesquisadores de segurança, os invasores precisam somente forçar o aplicativo a gravar apenas uma string no log e, depois disso, podem fazer upload de seu próprio código no aplicativo devido à função substituição de mensagem de aviso.

Para a maioria das grandes empresas e agências governamentais, não é uma questão de saber se eles foram afetados, mas sim quantos sistemas diferentes foram afetados.O trabalho agora é identificar e corrigir todos os sistemas em risco. Para complicar a tarefa, muitos governos, empresas e consumidores provavelmente não sabem se possuem produtos usando o código. A Cybersecurity and Infrastructure Security Agency (CISA) está trabalhando para desenvolver uma lista abrangente de todos os produtos que incluem o código afetado e incentivando os pesquisadores de segurança a compartilhar detalhes sobre quaisquer produtos que eles acreditem estar infectados.

Uma atualização da biblioteca log4j já foi lançada para mitigar a vulnerabilidade, mas dado o tempo necessário para garantir que todas as máquinas vulneráveis ​​sejam atualizadas, Log4Shell continua a ser uma ameaça urgente.

A Oracle lançou um patch de segurança e aconselhou os clientes a aplicá-lo o mais rápido possível devido à gravidade da vulnerabilidade.

A Trend Micro criou uma ferramenta de varredura rápida, baseada na web, para identificar aplicativos que podem ser afetados pelo Log4Shell.

E informações da The Ecletic Light Company dão conta de que a Apple disponibilizou uma correção para o iOS/iPadOS 15.2 e para o macOS Monterey 12.1.