Segurança da Informação: Mais de 800 mil ataques em 72 horas na brecha Log4j
A Check Point Research investigou a vulnerabilidade crítica de execução remota de código (RCE) no pacote Apache Log4j 2 versões 2.14.1 e inferior (CVE-2021-44228) e alerta: a vulnerabilidade é uma das mais sérias da Internet e tem um potencial de danos incalculável. A Apache já forneceu um patch (Log4j 2.15.0) para atenuar a vulnerabilidade, por meio do qual os usuários podem e devem atualizar o quanto antes. O governo brasileiro, aliás, teria feito a atualização do Apache na manhã desta quarta-feira, 14/12, o que teria ocasionado a falha de quase duas horas no acesso aos sites do domínio gov.br, revelam fontes do Governo.
A Secretaria de Governo Digital, procurada pelo Convergência Digital, admitiu instabilidade, mas alega que se deve a manutenção preventiva. Só que em TI, manutenções preventivas se fazem a noite -fora do expediente- ou no final de semana. Manutenção preventiva no horário do expediente não é uma medida usual. O GSI, também procurado sobre o não funcionamento dos sites gov.br, “descartou ser um ataque cibernético’.
O Apache Log4j é a biblioteca de registro Java mais popular, com mais de 400 mil downloads em seu projeto GitHub. É utilizado por um grande número de empresas em todo o mundo, permitindo o registro em um amplo conjunto de aplicativos bem conhecidos. Desde a última sexta-feira (10 de dezembro), os pesquisadores da Check Point Research testemunharam o que parece ser uma repressão evolutiva, com a rápida introdução de novas variantes da exploração original, mais de 60 em menos de 24 horas.
Ao contrário de outros ataques cibernéticos principais que envolvem um ou um número limitado de software, o Log4j é basicamente incorporado em todos os produtos ou serviços da web baseados em Java. É muito difícil remediar manualmente. Assim que uma exploração foi publicada (no dia 10 de dezembro), seguiram-se varreduras na Internet (para alocar superfícies que são vulneráveis devido a este incidente). Aqueles que não implementam uma proteção, provavelmente, já foram verificados por agentes mal-intencionados.
Pandemia cibernética
A propagação é semelhante a uma pandemia desde o surto na sexta-feira, dia 10 de dezembro de 2021, até o início da semana, nesta segunda-feira (dia 13). Os primeiros relatórios em 10 de dezembro mostraram apenas milhares de tentativas de ataque, aumentando para mais de 40 mil durante o sábado, 11 de dezembro. Vinte e quatro horas após o surto inicial, os sensores da Check Point Software registraram quase 200 mil tentativas de ataque em todo o mundo se aproveitando dessa vulnerabilidade. Nas 72 horas após o surto inicial, o número atingiu mais de 800 mil ataques.
Uma das características mais dramáticas de uma pandemia cibernética são as principais vulnerabilidades em software e serviços populares, que afetam um grande número de organizações em todo o mundo, espalhando-se rapidamente. Desde que a Check Point Research começou a implementar a solução de proteção da empresa, foram evitadas mais de 1.272.000 tentativas de alocar a vulnerabilidade, mais de 46% dessas tentativas foram feitas por grupos mal-intencionados conhecidos. Até agora, a CPR viu uma tentativa de exploração em quase 44% das redes corporativas em todo o mundo.
“É muito importante destacar a gravidade dessa ameaça. À primeira vista, a exploração é voltada para mineradores de criptomoedas, mas acreditamos que isso é para criar um tipo de distração para que os cibercriminosos tentem explorar e atacar uma série de alvos de alto valor, como bancos, governos e infraestruturas”, comenta Lotem Finkelstein, diretor de Inteligência de Ameaças e Pesquisa da Check Point Software Technologies.
