Princípios importantes
- Milhares de servidores e serviços online ainda estão expostos à perigosa e facilmente explorável vulnerabilidade loj4j, encontre pesquisadores.
- Embora as principais ameaças sejam os próprios servidores, os servidores expostos também podem colocar os usuários finais em risco, sugerem especialistas em segurança cibernética.
- Infelizmente, há pouco que a maioria dos usuários possa fazer para corrigir o problema além de seguir as melhores práticas de segurança de desktop.
A perigosa vulnerabilidade log4J se recusa a morrer, mesmo meses depois que uma correção para o bug facilmente explorável foi disponibilizada.
Pesquisadores de segurança cibernética da Rezilion descobriram recentemente mais de 90.000 aplicativos vulneráveis voltados para a Internet, incluindo mais de 68.000 servidores Minecraft potencialmente vulneráveis cujos administradores ainda não aplicaram os patches de segurança, expondo eles e seus usuários a ataques cibernéticos. E há pouco que você possa fazer sobre isso.
"Infelizmente, o log4j vai assombrar os usuários da Internet por um bom tempo", disse Harman Singh, diretor do provedor de serviços de segurança cibernética Cyphere, à Lifewire por e-mail. "Como esse problema é explorado do lado do servidor, [as pessoas] não podem fazer muito para evitar o impacto de um comprometimento do servidor."
A Maldição
A vulnerabilidade, apelidada de Log4 Shell, foi detalhada pela primeira vez em dezembro de 2021. Em um briefing por telefone na época, a diretora da agência de segurança cibernética e infraestrutura dos EUA (CISA), Jen Easterly, descreveu a vulnerabilidade como "uma das mais grave que vi em toda a minha carreira, se não o mais grave."
Em uma troca de e-mail com a Lifewire, Pete Hay, líder de instrução da empresa de testes e treinamento de segurança cibernética SimSpace, disse que o escopo do problema pode ser medido a partir da compilação de serviços e aplicativos vulneráveis de fornecedores populares como Apple, Steam, Twitter, Amazon, LinkedIn, Tesla e dezenas de outros. Sem surpresa, a comunidade de segurança cibernética respondeu com força total, com o Apache lançando um patch quase imediatamente.
Compartilhando suas descobertas, os pesquisadores da Rezilion esperavam que a maioria, se não todos, os servidores vulneráveis tivessem sido corrigidos, dada a enorme cobertura da mídia em torno do bug. "Estávamos errados", escrevem os pesquisadores surpresos. "Infelizmente, as coisas estão longe do ideal, e muitos aplicativos vulneráveis ao Log4 Shell ainda existem em estado selvagem."
Os pesquisadores encontraram as instâncias vulneráveis usando o mecanismo de busca Shodan Internet of Things (IoT) e acreditam que os resultados são apenas a ponta do iceberg. A superfície de ataque vulnerável real é muito maior.
Você está em risco?
Apesar da superfície de ataque exposta bastante significativa, Hay acreditava que há boas notícias para o usuário doméstico médio. "A maioria dessas vulnerabilidades [Log4J] existe em servidores de aplicativos e, portanto, é muito improvável que afete seu computador doméstico", disse Hay.
No entanto, Jack Marsal, Diretor Sênior de Marketing de Produto do fornecedor de segurança cibernética WhiteSource, apontou que as pessoas interagem com aplicativos na Internet o tempo todo, desde compras on-line até jogos on-line, expondo-os a ataques secundários. Um servidor comprometido pode revelar todas as informações que o provedor de serviços possui sobre o usuário.
"Não há como um indivíduo ter certeza de que os servidores de aplicativos com os quais interage não são vulneráveis a ataques", advertiu Marsal. "A visibilidade simplesmente não existe."
Infelizmente, as coisas estão longe do ideal, e muitos aplicativos vulneráveis ao Log4 Shell ainda existem.
Em uma nota positiva, Singh apontou que alguns fornecedores tornaram bastante simples para usuários domésticos resolver a vulnerabilidade. Por exemplo, apontando para o aviso oficial do Minecraft, ele disse que as pessoas que jogam a edição Java do jogo precisam simplesmente fechar todas as instâncias em execução do jogo e reiniciar o iniciador do Minecraft, que baixará a versão corrigida automaticamente.
O processo é um pouco mais complicado e complicado se você não tiver certeza de quais aplicativos Java você está executando no seu computador. Hay sugeriu procurar arquivos com extensões.jar,.ear ou.war. No entanto, ele acrescentou que a mera presença desses arquivos não é suficiente para determinar se eles estão expostos à vulnerabilidade log4j.
Ele sugeriu que as pessoas usassem os scripts lançados pela Equipe de Preparação para Emergências de Computadores (CERT) do Instituto de Engenharia de Software da Carnegie Mellon University (CMU) (SEI) para rastrear a vulnerabilidade em seus computadores. No entanto, os scripts não são gráficos e usá-los requer descer à linha de comando.
Todas as coisas consideradas, Marsal acreditava que no mundo conectado de hoje, cabe a todos aplicar seu melhor esforço para permanecer seguro. Singh concordou e aconselhou as pessoas a seguirem as práticas básicas de segurança de desktop para ficarem por dentro de qualquer atividade maliciosa perpetuada pela exploração da vulnerabilidade.
"[As pessoas] podem garantir que seus sistemas e dispositivos estejam atualizados e que as proteções de endpoint estejam em vigor ", sugeriu Singh. "Isso os ajudaria com qualquer alerta de fraude e prevenção contra quaisquer consequências de explorações selvagens."