Princípios importantes
- Hackers postaram um código revelando uma exploração em uma biblioteca de log de Java amplamente usada.
- Detetives de cibersegurança notaram uma varredura em massa na web em busca de servidores e serviços exploráveis.
-
A Agência de Segurança Cibernética e de Infraestrutura (CISA) instou os fornecedores e usuários a corrigir e atualizar seus softwares e serviços com urgência.
O cenário de segurança cibernética está em chamas devido a uma vulnerabilidade facilmente explorável em uma popular biblioteca de log Java, Log4j. Ele é usado por todos os softwares e serviços populares e talvez já tenha começado a afetar o usuário diário de desktops e smartphones.
Especialistas em segurança cibernética estão vendo uma grande variedade de casos de uso para a exploração Log4j já começando a aparecer na dark web, desde a exploração de servidores Minecraft até problemas mais importantes que eles acreditam que possam afetar o Apple iCloud.
"Esta vulnerabilidade do Log4j tem um efeito trickle-down, impactando todos os grandes provedores de software que podem usar esse componente como parte de seu pacote de aplicativos", disse John Hammond, pesquisador de segurança sênior da Huntress, à Lifewire por e-mail. "A comunidade de segurança descobriu aplicativos vulneráveis de outros fabricantes de tecnologia, como Apple, Twitter, Tesla, [e] Cloudflare, entre outros. Enquanto falamos, o setor ainda está explorando a vasta superfície de ataque e os riscos que essa vulnerabilidade representa."
Fogo no Buraco
A vulnerabilidade rastreada como CVE-2021-44228 e apelidada de Log4Shell, tem a pontuação de gravidade mais alta de 10 no sistema de pontuação de vulnerabilidade comum (CVSS).
GreyNoise, que analisa o tráfego da Internet para captar sinais de segurança importantes, observou pela primeira vez a atividade dessa vulnerabilidade em 9 de dezembro de 2021. Foi quando as explorações de prova de conceito (PoCs) começaram a aparecer, levando a um rápido aumento da varredura e exploração pública em 10 de dezembro de 2021 e durante o fim de semana.
Log4j é fortemente integrado a um amplo conjunto de estruturas de DevOps e sistemas de TI corporativos e em software de usuário final e aplicativos de nuvem populares.
Explicando a gravidade da vulnerabilidade, Anirudh Batra, analista de ameaças da CloudSEK, disse à Lifewire por e-mail que um agente de ameaças poderia explorá-la para executar código em um servidor remoto.
"Isso deixou até mesmo jogos populares como o Minecraft também vulneráveis. Um invasor pode explorá-lo apenas postando uma carga útil na caixa de bate-papo. Não apenas o Minecraft, mas outros serviços populares como o iCloud [e] o Steam também são vulneráveis " Batra explicou, acrescentando que "acionar a vulnerabilidade em um iPhone é tão simples quanto alterar o nome do dispositivo."
Ponta do Iceberg
Empresa de cibersegurança Tenable sugere que, como o Log4j está incluído em vários aplicativos da Web e é usado por vários serviços em nuvem, o escopo completo da vulnerabilidade não será conhecido por algum tempo.
A empresa aponta para um repositório GitHub que rastreia os serviços afetados, que no momento da redação lista cerca de três dezenas de fabricantes e serviços, incluindo os populares como Google, LinkedIn, Webex, Blender e outros mencionados anteriormente.
Enquanto falamos, a indústria ainda está explorando a vasta superfície de ataque e o risco que essa vulnerabilidade representa.
Até agora, a grande maioria das atividades era de varredura, mas as atividades de exploração e pós-exploração também foram vistas.
"A Microsoft observou atividades incluindo a instalação de mineradores de moedas, Cob alt Strike para permitir roubo de credenciais e movimentação lateral e exfiltração de dados de sistemas comprometidos ", escreve o Microsoft Threat Intelligence Center.
Batten Down the Hatches
Não é surpresa, então, que devido à facilidade de exploração e prevalência do Log4j, Andrew Morris, fundador e CEO da GreyNoise, disse à Lifewire que acredita que a atividade hostil continuará a aumentar nos próximos dias.
A boa notícia, no entanto, é que o Apache, os desenvolvedores da biblioteca vulnerável, lançou um patch para neutralizar os exploits. Mas agora cabe a cada fabricante de software corrigir suas versões para proteger seus clientes.
Kunal Anand, CTO da empresa de segurança cibernética Imperva, disse à Lifewire por e-mail que, embora a maior parte da campanha adversária que explora a vulnerabilidade seja atualmente direcionada a usuários corporativos, os usuários finais precisam ficar atentos e certificar-se de atualizar seus softwares afetados assim que os patches estiverem disponíveis.
O sentimento foi ecoado por Jen Easterly, Diretora da Agência de Segurança Cibernética e Infraestrutura (CISA).
"Os usuários finais serão dependentes de seus fornecedores, e a comunidade de fornecedores deve identificar, mitigar e corrigir imediatamente a ampla gama de produtos que usam este software. Os fornecedores também devem se comunicar com seus clientes para garantir que os usuários finais saibam que seu produto contém essa vulnerabilidade e deve priorizar atualizações de software ", disse Easterly por meio de um comunicado.