Vulnerabilidade Log4j: o que saber e como se proteger

Share on facebook
Share on twitter
Share on linkedin
Share on reddit
Share on whatsapp

A Apache Log4j (também conhecida como “Log4Shell) é uma biblioteca de registo muito popular – com mais de 400 mil downloads no GitHub – e amplamente incorporada em produtos ou serviços da web baseados em Java (plataformas de nuvem, aplicativos web, serviços de e-mail) para registrar solicitações e mensagens de erro em aplicativos desenvolvidos nesta linguagem de programação.

Veja, neste artigo, todos os detalhes da vulnerabilidade e por que os especialistas acreditam que aumentará ainda mais sua exploração por agentes maliciosos:

O que você vai ver neste post

O que a falha permite

A falha na Log4j, rastreada como CVE-2021-44228, é uma vulnerabilidade zero-day classificada como 10/10 na escala de gravidade. Ela permite que um hacker insira um código remoto não autenticado e assumir controle total sobre o sistema infectado.
Uma vez que o software malicioso é instalado, pode facilmente transmitir outros malwares e realizar um ataque maior, como mineração de criptomoedas, web shells, backdoors, ransomware e botnets, por exemplo.
Até o momento foram rastreadas mais de 1,2 milhões de tentativas de exploração da falha, afetando mais de 44% das redes corporativas no mundo todo.
No mundo todo, foram detectadas mais de 100 invasões por minuto relacionadas a ela.

Quem a descobriu

O problema foi descoberto em 9 dezembro, através de avisos que permitiam a execução de código remoto não autenticado e acesso a servidores.

Como funcionam as explorações

  • Em um dos tipos de explorações observadas, o cibercriminoso usa a vulnerabilidade Log4j para baixar um trojan bancário, que aciona o download de um arquivo .exe, que por sua vez instala um criptominerador. Já introduzido, o programa malicioso passa a manipular os recursos da vítima para minerar criptomoeda, sem o conhecimento do afetado. Inclusive, utilizando técnicas de ocultação; todas as funções e nomes de arquivos relevantes são ofuscados para evitar sua detecção.
  • Em outro tipo de exploração, identificado por pesquisadores da Microsoft, as investidas tentam tirar proveito das falhas do Log4j, através de uma série de malwares de criptografia e da instalação do Cobalt Strike nos sistemas vulneráveis, para facilitar o roubo de credenciais e senhas dos usuários.
  • Em uma terceira exploração, através da falha o agente malicioso pode comprometer sistemas (servidores, máquinas virtuais, PCs, câmeras IP), para adiciona-las a um botnet, como o Muhstik, ou implantar backdoors.
  • Em uma quarta, a execução de um arquivo .net malicioso possibilitou listar e criptografar todas as unidades do sistema, com exceção da unidade C, a qual criptografou apenas documentos, vídeos e downloads, colocando em ação o ransomware Khonsari.

Por que se preocupar

O Log4j é comum em milhares de aplicativos, bibliotecas e frameworks, tornando seu potencial de impacto impressionante.

Com os invasores incessantemente escaneando a internet para encontrar alvos vulneráveis, é essencial que as Organizações tomem medidas mitigadoras o mais breve possível.

Além disso, novas variantes do exploit original, publicado pela primeira vez no GitHub, estão surgindo em ritmo acelerado. Em apenas um dia foram registrados cerca de 60 exploits disponíveis diferentes, possibilitando que o Log4Shell seja explorado de várias maneiras, incluindo sobre HTTP e HTTPS.

No Brasil, o impacto dessa vulnerabilidade correspondeu, até o momento, a 49% das redes corporativas que sofreram tentativas de exploração. 

Quem está em risco

Basicamente, qualquer dispositivo exposto à internet que estiver executando o Apache Log4J, versões 2.0 a 2.14.1. 

O que fazer para se proteger

  • Identificar os dispositivos que estão executando o Log4j e atualizá-los para a versão 2.15.0;
  • Aplicar os patches fornecidos pelos fabricantes imediatamente;
  • Criar alertas para testes ou ataques em dispositivos que executam o Log4j;
  • Instalar um firewall de aplicação web (WAF) com regras voltadas para o Log4j.
  • Caso a Organização utilize Log4j ou software que inclui a biblioteca, é aconselhável assumir violação e revisar aplicativos potencialmente impactados para identificar comportamentos suspeitos.
  • Caso a Companhia perceba que está violada, deve remover todo acesso à rede do ao servidor afetado e iniciar um plano de resposta a incidentes.

Desfecho do caso

A Fundação Apache divulgou recentemente uma atualização do Log4J-2, substituindo a anterior.

Apesar de uma correção parcial para a vulnerabilidade, especialistas em segurança afirmam que será necessário mais tempo para localizar o programa defeituoso e implementar as soluções.

A maior preocupação dos especialistas é que, um ator de ameaça que utilize a vulnerabilidade para criar um worm que se replique e se espalhe a uma velocidade incrível.
Outro fato preocupante é que a Apache ainda observa downloads massivos de versões vulneráveis conhecidas.
Para os invasores, a vulnerabilidade apresentou uma oportunidade quase sem precedentes de tentar atacar e comprometer bilhões de dispositivos em todo o mundo, de forma remota.
É importante lembrar que alguns cuidados valem sempre:

Recomendações finais de segurança

  • Realizar todas as atualizações dos softwares
  • Manter programas de proteção sempre ativos – antivírus e firewalls
  • Utilizar senhas fortes e não repeti-las
  • De preferencia adotar um cofre de senhas digital, como o VaultOne, para armazená-las com segurança

Bloqueie invasores e ataques, de dentro para fora

Quando se trata de segurança e gerenciamento de riscos, é importante estar preparado para combater diferentes cenários, como ataques de ransomware e roubos de credenciais com privilégios. É aqui que a VaultOne atende às suas necessidades, ajudando a bloquear ameaças internas e externas antes que elas afetem os seus negócios e as suas operações.

Fale com nossos especialistas e veja o VaultOne em ação.