Se alguma vez houve qualquer dúvida sobre a gravidade da vulnerabilidade do Log4j, a diretora da agência de infraestrutura e segurança cibernética dos EUA CISA, Jen Easterly, imediatamente anulou essas dúvidas quando a descreveu como “uma das mais sérias que já vi em toda minha carreira , senão o mais sério “.
Na sexta-feira, 9 de dezembro, o mundo da segurança da informação foi abalado pela divulgação do Log4j (CVE-2021-44228), uma vulnerabilidade de dia zero na biblioteca de registro Java amplamente usada Apache Log4j, que permite que invasores executem código remotamente e obtenham acesso às máquinas.
A vulnerabilidade não é apenas relativamente simples de se aproveitar, a natureza onipresente do Log4j significa que ele está integrado em uma vasta gama de aplicativos, serviços e ferramentas de software corporativo que são escritos em Java – e usados por organizações e indivíduos em todo o mundo.
LOG4J FLAW COVERAGE – O QUE VOCÊ PRECISA SABER AGORA
Isso significa que, após um ano longo e exaustivo, a equipe de tecnologia se encontra lutando para consertar outra vulnerabilidade crítica.
Pior ainda, no caso do Log4j, pode ser extremamente difícil até mesmo para os profissionais de segurança entender se esse código faz parte de seus aplicativos e, portanto, é um risco potencial. Como muitos softwares de código aberto, ele está embutido na cadeia de suprimentos. Muitos fornecedores ainda estão tentando descobrir se seus produtos foram afetados.
É por isso que alguns compararam o Log4j a Heartbleed, uma vulnerabilidade em SSL que afetava muitos dos principais sites e serviços, mas também era difícil de detectar e gerenciar. Como o Heartbleed, cujas consequências continuaram a se desenrolar por anos, já existe o temor de que as vulnerabilidades do Log4j possam ser um problema de longo prazo.
Não que os hackers tenham esperado um momento antes de tentar tirar proveito de uma vulnerabilidade recém-divulgada, é claro.
Em apenas algumas horas, já havia um grande número de tentativas de explorar as vulnerabilidades do Log4j. Além do mais, a atividade mal-intencionada rastreada só continuou a aumentar – uma empresa de segurança cibernética diz que levou apenas alguns dias para que os invasores atacassem quase metade das redes corporativas.
Algumas das primeiras cargas descartadas foram criptomoedas – malware que usa o poder de processamento do dispositivo infectado para explorar a criptomoeda.
Mas ameaças muito mais perigosas logo se seguiram. Isso incluiu instâncias da ferramenta de teste de penetração Cobalt Strike sendo instalada – algo comumente usado por invasores para roubar nomes de usuário e senhas que são necessários para mover as redes.
Isso foi seguido por relatórios de ransomware que estão explorando o Log4j. Veja o Khonsari, que é uma forma incrivelmente básica de ransomware, mas os grupos de ransomware são rápidos em adotar qualquer técnica que aumente as chances de comprometer redes e exigir resgate com sucesso, o que significa que mais ataques de ransomware usando Log4j provavelmente ocorrerão.
Em seguida, vieram os grupos de hackers apoiados pelo Estado que procuram explorar a vulnerabilidade – como fizeram com SolarWinds e Microsoft Exchange. Operações de hack na China, Irã, Coréia do Norte e Turquia foram vistas tentando alavancar o Log4j – e eles continuarão a fazer esses movimentos enquanto puderem.
Já começaram as obras de reparação dos danos. A CISA determinou que as agências federais corrigissem a vulnerabilidade do Log4j em alguns dias. Mas para todos os outros, o processo pode levar anos e haverá muitos casos em que, apesar das vulnerabilidades críticas, alguns sistemas nunca obterão o patch.
Basta olhar para EternalBlue, o catalisador por trás do WannaCry e NotPetya em 2017, que ainda aparece regularmente entre as vulnerabilidades mais exploradas e, anos depois, ainda é usado por criminosos cibernéticos para lançar ataques.
Em última análise, enquanto houver sistemas que correm o risco da vulnerabilidade do Log4j, haverá criminosos cibernéticos ou hackers apoiados pelo Estado que tentarão tirar vantagem.
E mesmo que uma organização de alto perfil tenha a impressão de que está protegida contra a vulnerabilidade, há a possibilidade de que os invasores comprometam um fornecedor que não gerencia sua TI de maneira tão completa. Os criminosos poderiam então explorar essa lacuna como uma porta de entrada para um alvo maior e mais lucrativo.
LOG4J FLAW COVERAGE – COMO MANTER SUA EMPRESA SEGURA
Em última análise, é uma peculiaridade de como a Internet funciona que tantos danos possam vir de um projeto de código aberto, operado e gerenciado de forma voluntária. A Internet é uma parte crucial de nossa vida cotidiana, mas instâncias como esta vulnerabilidade Log4j demonstram o quão vulnerável ela pode ser.
Alguns especialistas pedem mais regras e regulamentos sobre como a Internet e os computadores funcionam e se adaptam. Essa seria uma conversa difícil, especialmente considerando como grande parte da infraestrutura que ajudou a tornar a internet o que é hoje é construída a partir de projetos apaixonados e esquemas de voluntariado.
Os profissionais de segurança cibernética já estavam esgotados após alguns anos difíceis. Outro grande evento de segurança cibernética na corrida para o Natal não terá ajudado em nada.
Infelizmente, Log4j provavelmente continuará a ser um problema até 2022 e além – provavelmente estamos apenas arranhando a superfície do risco e das campanhas de hackers que tentarão explorar esta vulnerabilidade.
A melhor coisa que as organizações podem fazer, por enquanto, é seguir o conselho do especialista e aplique atualizações para mitigar o dano potencial – e então torça para que vulnerabilidades semelhantes não surjam em outro lugar tão cedo para causar mais danos e mais desgaste.
source – www.zdnet.com
