Subscribe to our Newsletter!
By subscribing to our newsletter, you agree with our privacy terms
Home > Cibersegurança > Bug Log4Shell coloca a Internet em risco
Dezembro 14, 2021
Empresas em todo o mundo estão lutando para limitar os danos de uma das mais importantes vulnerabilidades de segurança de software de código aberto descobertas em anos, divulgada publicamente pela primeira vez na sexta-feira, 10 de dezembro. Um bug em um programa chamado Log4j, que tem sido usado em incontáveis aplicativos Java construídos nas últimas duas décadas, forçou praticamente todas as empresas que fazem negócios na Internet a examinar seu software para determinar se estão vulneráveis.
No Brasil, por exemplo, o impacto dessa exploração alcançou 53% das redes corporativas que sofreram tentativas dessa exploração, segundo levantamento da Check Point Research (CPR). É uma fatia maior do que o total global, de 44%. Mais de 90 países foram atingidos.
Denominada Log4Shell, a vulnerabilidade zero-day, considerada crítica, foi explorada inicialmente para comprometer servidores do Minecraft. Passados quatro dias da primeira notificação está claro que ela é uma ameaça grave, que vem comprometendo inúmeros serviços em nuvem. Analistas de ameaças e pesquisadores ainda estão avaliando os danos, mas as perspectivas são ruins.
“Esta é uma vulnerabilidade muito séria devido ao uso generalizado de Java e deste pacote log4j”, disse o CTO da Cloudflare, John Graham-Cumming, ao The Verge. “Há uma quantidade enorme de software Java conectado à Internet e em sistemas back-end”.
Aqui está o que você precisa saber por enquanto.
A principal causa do Log4Shell, formalmente conhecido como CVE-2021-44228 , é o que o NIST chama de validação de entrada imprópria. Em termos gerais, isso significa que você confia demais em dados não confiáveis que chegam de estranhos e abre seu software para truques sorrateiros baseados em dados armadilhados.
O que torna a CVE-2021-44228 especialmente perigoso é a facilidade de exploração: até mesmo um hacker inexperiente pode executar um ataque com sucesso usando esta vulnerabilidade. De acordo com os pesquisadores de segurança, os invasores precisam somente forçar o aplicativo a gravar apenas uma string no log e, depois disso, podem fazer upload de seu próprio código no aplicativo devido à função substituição de mensagem de aviso.
Para a maioria das grandes empresas e agências governamentais, não é uma questão de saber se eles foram afetados, mas sim quantos sistemas diferentes foram afetados.O trabalho agora é identificar e corrigir todos os sistemas em risco. Para complicar a tarefa, muitos governos, empresas e consumidores provavelmente não sabem se possuem produtos usando o código. A Cybersecurity and Infrastructure Security Agency (CISA) está trabalhando para desenvolver uma lista abrangente de todos os produtos que incluem o código afetado e incentivando os pesquisadores de segurança a compartilhar detalhes sobre quaisquer produtos que eles acreditem estar infectados.
Uma atualização da biblioteca log4j já foi lançada para mitigar a vulnerabilidade, mas dado o tempo necessário para garantir que todas as máquinas vulneráveis sejam atualizadas, Log4Shell continua a ser uma ameaça urgente.
A Oracle lançou um patch de segurança e aconselhou os clientes a aplicá-lo o mais rápido possível devido à gravidade da vulnerabilidade.
A Trend Micro criou uma ferramenta de varredura rápida, baseada na web, para identificar aplicativos que podem ser afetados pelo Log4Shell.
E informações da The Ecletic Light Company dão conta de que a Apple disponibilizou uma correção para o iOS/iPadOS 15.2 e para o macOS Monterey 12.1.
Novembro 25, 2022
Novembro 14, 2022
Novembro 03, 2022
Outubro 18, 2022
Outubro 13, 2022
Outubro 05, 2022
Setembro 19, 2022
Previous
APIs carecem de estratégias de cibersegurança
Next
Riscos às infraestruturas críticas aumentarão