Log4Shell: uma das piores vulnerabilidades de 2021

Se 2021, como um todo, foi um ano marcado por vários ciberataques e novas vulnerabilidades descobertas prontas a serem exploradas, o final do ano revelou-se um autêntico pandemónio para as equipas de cibersegurança das organizações.

A 9 de dezembro foram divulgados detalhes de uma vulnerabilidade crítica no Log4j, que fica conhecida como Log4shell e tem uma criticidade de dez em dez. Desde então, foram descobertas outras vulnerabilidades relacionadas e, desde o início de dezembro, têm sido lançadas correções de segurança. Estima-se que cerca de 58% das aplicações Java contem com uma versão vulnerável do Log4j.

Novos vetores de ataque

Incorporado em quase todos os serviços e aplicações conhecidas – como Twitter, Amazon, Microsoft, Minecraft –, o Log4j conta com mais de 400 mil downloads. É utilizado num vasto número de empresas a nível mundial e permite o logging em várias aplicações amplamente conhecidas.

A 13 de dezembro, a Check Point Research partilhou que, em apenas quatro dias, mais de 40% das redes corporativas europeias já tinham sido impactadas pela vulnerabilidade. Em Portugal, segundo a mesma organização, a percentagem de redes corporativas vítimas de uma tentativa de exploração maliciosa desta vulnerabilidade subia para 43%.

Inicialmente, as empresas de segurança viram estas vulnerabilidades serem exploradas para a mineração de criptomoedas, mas, desde então, têm sido descobertos vários grupos que têm aproveitado esta vulnerabilidade para implementar ransomware – nomeadamente o LockFile, AtomSilo e Rook.

A Check Point explica que os ataques iniciais – mais orientados para a mineração de criptomoedas e menos destrutivos – funcionam como as fases iniciais de ataques em larga escala. A equipa de investigação da empresa de cibersegurança alerta que se trata de um teste real da vulnerabilidade e das suas potencialidades para imputar danos de maior amplitude. No fundo, assim que qualquer tipo de malware é colocado na rede corporativa, é apenas uma questão de tempo para um ataque de maior escala.

Facilidade de exploração

O Log4Shell recebeu o track number CVE-2021- 44228 e é uma vulnerabilidade na classe remote code execution (RCE). Se os ciberatacantes conseguirem explorar a vulnerabilidade num servidor, conseguem ter a habilidade de executar código arbitrário e, potencialmente, tomar o controlo total do sistema.

Diz a Kaspersky que o que torna o Log4Shell especialmente perigoso é “a facilidade de exploração”, uma vez que até um cibercriminoso menos experiente “consegue executar com sucesso um ataque através desta vulnerabilidade”.

De acordo com os investigadores, os cibercriminosos só precisam de forçar a aplicação a escrever apenas uma string no log e, depois disso, podem fazer upload do seu próprio código na aplicação devido à função de substituição de lookup de mensagens.

No seu blog, a Microsoft escreveu que, “em janeiro [de 2022], começámos a ver cibercriminosos a aproveitar as vulnerabilidades em sistemas voltados para a Internet, eventualmente implementando ransomware. Observámos muitos cibercriminosos a adicionar explorações dessas vulnerabilidades nos seus kits e táticas de malware existentes, desde mineração de criptomedas a ataques hands-on-keyboard. As organizações podem não perceber que os seus ambientes podem já estar comprometidos”.

Ainda que a Apache tenha lançado a correção para a vulnerabilidade, leva sempre algum tempo até que as organizações façam a atualização necessária. Além do mais, já foram adicionados novos CVE associados ao Log4Shell. Ainda que os produtos SaaS possam ser atualizados relativamente depressa, os softwares mais tradicionais podem levar muito mais tempo, aumentando o tempo que estão vulneráveis.

Estratégia para minimizar o impacto

A CISA, assim como muitas outras organizações, têm sugerido uma série de práticas que podem minimizar o impacto da vulnerabilidade nos sistemas, nomeadamente:

1. Enumerar quaisquer dispositivos externos que tenham o Log4j instalado;
2. Certificar-se que o centro de operações de segurança está a acionar todos os alertas nos dispositivos que se enquadram na categoria anterior;
3. Instalar um web application firewall (WAF) com regras que são atualizadas automaticamente para que o SOC possa concentrar-se em menos alertas;
4. Instalar a versão mais recente do Log4j (à data de edição deste artigo, a versão mais recente é o 2.17.0) ou as atualizações que os vários fabricantes têm disponibilizado para corrigir a falha.

Várias empresas de cibersegurança têm disponibilizado recursos gratuitamente para ajudar as equipas de cibersegurança das organizações a perceberem que serviços são afetados pelo Log4Shell.