Vulnerabilidade crítica no Apache Log4j está a ser ativamente explorada

A vulnerabilidade Log4Shell é uma ameaça crítica a todos os que utilizam a framework Apache Struts. Uma falha relativamente fácil de explorar no Apache Log4j 2.14.1 pode permitir a execução de código remoto não autenticado e fazer um takeover completo ao servidor. A vulnerabilidade está a ser explorada.

Os primeiros dados indicam que, só em Portugal, 43% das redes corporativas foram afetadas por esta vulnerabilidade.

A falha foi revelada em sites referentes ao jogo ‘Minecraft’ – que tem uma versão Java – na última quinta-feira. Os atacantes conseguiam lançar código malicioso tanto em servidores como clientes que corriam a referida versão do jogo através da manipulação de mensagens de log.

Ainda na mesma quinta-feira, a falha recebeu o nome de ‘Log4Shell’ e recebeu o track number CVE-2021-44228. O CERT da Deutsche Telekom revelou na sexta-feira que existiam atores maliciosos a explorar o novo bug.

O NIST detalha que um atacante pode controlar as mensagens de log ou os parâmetros das mensagens de log para executar código arbitrário de servidores LDAP. A versão 2.15.0 do log4j desativou por definição esta função.

Em comunicado enviado às redações, a Sophos explica que registou “uma rápida aceleração nos ataques que exploram ou tentam explorar esta vulnerabilidade, com centenas de milhares de tentativas detetadas” e onde “os botnets de cryptomining estão entre os primeiros a adotar este ataque”. A empresa de cibersegurança acrescenta que os ataques se têm “focado nas plataformas de servidor Linux, que estão particularmente expostas a esta vulnerabilidade”.

Sean Gallagher, Senior Threat Researcher da Sophos, explica, através de um artigo, que “a vulnerabilidade Log4Shell apresenta um tipo diferente de desafio para os defensores. Muitas vulnerabilidades de software são limitadas a um produto ou plataforma específica, como as vulnerabilidades ProxyLogon e ProxyShell no Microsoft Exchange. Assim que os defensores souberem que software está vulnerável, podem verificá-lo e corrigi-lo. No entanto, o Log4Shell é uma biblioteca utilizada por muitos produtos; pode, portanto, estar presente nos cantos mais sombrios da infraestrutura de uma organização, por exemplo em qualquer software desenvolvido internamente. Encontrar todos os sistemas vulneráveis por causa do Log4Shell deve ser uma prioridade para as equipas de segurança de IT”.

O investigador da Sophos considera, ainda, “que a velocidade a que os invasores estão a controlar e utilizar a vulnerabilidade vai intensificar-se e diversificar-nos nos próximos dias e semanas. Depois de um invasor garantir o acesso a uma rede, qualquer infeção pode seguir-se. Assim sendo, juntamente com a atualização de software já lançada pela Apache no Log4j 2.15.0, as equipas de segurança de TI precisam de fazer uma revisão completa da atividade na rede para detetar e remover quaisquer vestígios de intrusos, mesmo que pareçam apenas um commodity malware incómodo”.

Candid Wuerts, VP de Pesquisa em Protecção Cibernética na Acronis, refere, em comunicado, que “a vulnerabilidade Log4shell no Log4j está definitivamente entre as cinco vulnerabilidades mais graves da última década, uma que permite a execução remota de código. Compara-se ao EternalBlue usado no WannaCry, ou a vulnerabilidade ShellShock Bash. O que o torna tão sério é o quão simples é explorá-lo remotamente, bem como o grande número de aplicações que o utilizam. Além disso, também leva mais tempo para corrigir - já que não é apenas um software vulnerável que pode ser atualizado, mas sim uma biblioteca que está incluída em muitos aplicações, resultando em muitas atualizações diferentes que precisam de ser instaladas”.

Notícia atualizada às 11h28 de 13 de dezembro com informações facultadas pela Sophos e às 14h37 do mesmo dia com o comentário de Candid Wuerts da Acronis. Notícia atualizada às 12h24 de 14 de dezembro com informações sobre Portugal