A Apache Software Foundation lançou, na última sexta-feira (10), patches de segurança para corrigir uma vulnerabilidade do tipo “dia-zero”. Esta falha já havia sido ativamente explorada. Ela afeta a biblioteca de registro baseada em Java do Apache, a Log4j. Com isso, a biblioteca pode ser usada para executar código malicioso e permitir uma tomada completa dos sistemas vulneráveis.
A falha foi batizada como CVE-2021-44228, mas é chamada também de Log4Shell ou LogJam. O problema diz respeito a um caso de execução remota de código (RCE) não autenticado em qualquer aplicativo que usa a biblioteca em questão. Esta vulnerabilidade afeta as versões Log4j 2.0-beta9 até 2.14. 1. O bug obteve a pontuação máxima no sistema de classificação CVSS, que mede a gravidade do problema.
Leia também
Site do Ministério da Saúde sofre ataque hacker
Hackers vendem dados de mais de 3 milhões de clientes do Habib’s
Em comunicado, a Apache Foundation deu maiores explicações sobre esta vulnerabilidade de “dia-zero”:
“O invasor pode controlar mensagens de log ou parâmetros de mensagem de log e pode também executar código arbitrário carregado de servidores LDAP quando a substituição de pesquisa de mensagem está habilitada. A partir do Log4j 2.15.0, este comportamento foi desabilitado por padrão.“
/@/static/wp/2021/12/13/log4j-exploit.jpg)
A vulnerabilidade pode ser explorada por uma única string de texto, que pode acionar um aplicativo para chegar a um host externo. Este, por sua vez, contém softwares maliciosos que se aproveitam da instância vulnerável do Log4j. Os mantenedores do projeto Apache creditaram a Chen Zhaojun, da equipe de segurança em nuvem do Alibaba, a descoberta do problema.
Log4j é usado no processo de autenticação via internet por várias empresas gigantes, tais como Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter e alguns jogos, como Minecraft. No caso deste último, os hackers conseguiram executar código remotamente nos servidores do Minecraft simplesmente colando uma mensagem especialmente feita para isso no bate-papo. Por aí você tira a gravidade dessa falha.
Uma falha extremamente grave
“A vulnerabilidade de dia zero do Apache Log4j é provavelmente a vulnerabilidade mais crítica que vimos este ano“, disse Bharat Jogi, gerente sênior de vulnerabilidades e assinaturas da Qualys. “Log4j é uma biblioteca onipresente usada por milhões de aplicativos Java para registrar mensagens de erro. Essa vulnerabilidade é fácil de explorar.“
As empresas de segurança cibernética BitDefender, Cisco Talos, Huntress Labs e Sonatype confirmaram evidências de que essa falha foi explorada massivamente em vários serviços. “Este é um ataque de baixa habilidade extremamente simples de executar“, disse Ilkka Turunen, da Sonatype.
:upscale:():format:(jpeg)/@/static/wp/2021/12/13/log4shell-flames-header.jpg?fit=scale)
GreyNoise disse que observou atividades maliciosas explorando a vulnerabilidade começando em 9 de dezembro de 2021. A empresa Cloudflare observou que bloqueou cerca de 20.000 solicitações por minuto por volta das 18h00 na última sexta-feira. A maioria das tentativas de invasão foram originárias do Canadá, EUA, Holanda, França e Reino Unido.
Dada a facilidade de exploração e prevalência do Log4j no mundo corporativo, espera-se que os ataques direcionados a servidores suscetíveis aumentem nos próximos dias, tornando-se imperativo resolver a falha imediatamente. A empresa israelense de segurança cibernética Cybereason também lançou uma correção chamada “Logout4Shell” que elimina a lacuna usando a própria vulnerabilidade para reconfigurar o logger e impedir a exploração do ataque.
“Esta vulnerabilidade Log4j (CVE-2021-44228) é extremamente ruim. Milhões de aplicativos usam Log4j para registro e tudo o que o invasor precisa é fazer o aplicativo registrar uma string especial“, disse o especialista em segurança Marcus Hutchins em um tweet.
:upscale:():format:(jpeg)/@/static/wp/2021/12/13/other-miner-exploits.jpg?fit=scale)
O site Bleeping Computer listou vários casos em que a falha já está sendo explorada. Os hackers estão instalando mineradores de criptomoedas, criando botnets e, claro, capturando dados silenciosamente.
Apesar da Apache Software Foundation já ter lançado um patch corretivo, nada garante que os milhões de servidores que usam a biblioteca Log4j atualizem seus softwares. Ou seja, caso essa brecha de segurança não seja fechada, o estrago pode ser enorme.
Fontes: NVD e Bleeping Computer
Veja também
Sobre o Autor
Deixe seu comentário