A ameaça baseada na Apache Log4j continua sendo ativamente explorada – e fazendo vítimas significativas, por falta de rotinha de correção de vulnerabilidades
Meses após a vulnerabilidade zero-day na amplamente utilizada biblioteca de Java Apache Log4j ser divulgada – e ter causado pânico geral, ficando conhecida como ameaça Log4shell – um número significativo de softwares e servidores ainda estão vulneráveis a ataques cibernéticos oriundos dessa ameaça porque os patches de segurança não foram aplicados.
Detalhada pela primeira vez em dezembro, a vulnerabilidade CVE-2021-44228 permite que invasores executem código remotamente e obtenham acesso a sistemas que usam o Log4j.
Não apenas a vulnerabilidade é relativamente simples de ser explorada, mas a natureza quase que onipresente do Log4j significa que ele pode ser encontrado em uma vasta gama de aplicativos, serviços e ferramentas empresariais, usadas por organizações e indivíduos em todo o mundo.
É por isso que a Agência de Segurança Cibernética e Infraestrutura dos EUA, CISA, descreveu a vulnerabilidade como “uma das mais graves que já vistas em toda a história, se não a mais grave”.
Mas, apesar dos avisos e das urgências impostas pela vulnerabilidade, ainda há uma grande quantidade de instâncias Log4j operando e expostas a ataques cibernéticos.
Milhares de aplicativos e servidores estão vulneráveis ao Log4shell
De acordo com pesquisadores da empresa de segurança cibernética Rezilion, existem mais de 90.000 aplicativos vulneráveis e mais de 68.000 servidores que ainda estão expostos publicamente, operando sem as correções necessárias.
As instâncias expostas foram descobertas executando pesquisas no mecanismo de pesquisa de dispositivos IoT, Shodan – e os pesquisadores alertam que o que foi descoberto provavelmente é “apenas a ponta do iceberg” em termos da superfície de ataque vulnerável real.
Riscos do Log4shell para as organizações não diminuíram
As vulnerabilidades do Log4j deixam as organizações expostas aos mais diferentes tipos de ataques cibernéticos e a criminosos cibernéticos que podem facilmente verificar as vulnerabilidades a serem exploradas.
Tanto é que, pouco tempo depois que o Log4j foi divulgado, foram feitas milhares de tentativas de implantar ransomware e malware de mineração em servidores vulneráveis.
Grupos de hackers financiados pelo Estado também foram flagrados tentando tirar proveito das vulnerabilidades do Log4j. Estes incluem os grupos de espionagem chineses Hafnium e APT41, bem como grupos de hackers iranianos – APT35 e Tunnel Vision.
Embora esses grupos de hackers se beneficiem de recursos abundantes e investimento estatal para bancar suas operações, a capacidade de explorar vulnerabilidades comuns é particularmente útil, pois os ataques são menos propensos a deixar rastros que possam estar vinculados a um grupo de hackers específico.
Como se proteger dos ataques baseados no Log4j
Uma das razões pelas quais as vulnerabilidades do Log4j ainda persistem é porque a falha pode estar profundamente arraigada nos aplicativos, a ponto de não ficar claro que a biblioteca de log Java seja parte desse sistema.
Mas há passos que podem – e devem – ser dados para garantir que a rede esteja protegida contra ataques que tentam explorar o Log4j. O mais importante é, sem dúvidas, identificar e corrigir instâncias inseguras do Log4j.
A rede também deve ser examinada regularmente para ajudar a identificar possíveis vulnerabilidades.
“Você precisa ter processos que monitorem continuamente seu ambiente em busca de vulnerabilidades críticas com ênfase em código de terceiros”, disseram os pesquisadores.
Se um ativo Log4j vulnerável for identificado, é recomendável que as equipes de segurança da informação ajam com base no comprometimento do sistema, para procurar sinais de atividade maliciosa em potencial e se preparar para agir.
As soluções de segurança da Compugraf ajudam a manter seus dispositivos e sistemas protegidos. Conheça!
