Brecha no log Log4j provoca um caos sem igual na Segurança da Informação

Um pesadelo para os gestores de segurança da informação, que estão às pressas, buscando como reparar a vulnerabilidade do utilitário de log Log4j (CVE-2021-44228), descoberta no dia 24 de novembro. Isso porque esse log está presente em um enorme número de aplicações, de fornecedores de todos os tamanhos.

Reportagem do portal Ciso Advisor, mostra que Steve Povolny, especialista que chefia a área de pesquisas da McAfee Enterprise e FireEye, afirma que a vulnerabilidade (agora apelidada de Log4Shell) está no mesmo nível de permanência que a Shellshock, o Heartbleed e a EternalBlue. Neste memento, os invasores já estão explorando essa vulnerabilidade para instalar criptominadores e Cobalt Strike, o que abre caminho para novos ataques, incluindo aqueles que visam roubar informações confidenciais, disse Povolny: “Esperamos uma evolução dos ataques”, disse o especialista.

Segundo ele, o impacto dessa vulnerabilidade pode ser enorme devido à sua natureza “worm-like”, de forma que os ataques por meio ela podem ser automatizados. Mesmo com o hotfix disponível, atualmente existem dezenas de versões do componente instaladas e ainda vulneráveis. Devido ao grande número de ataques observados no momento, disse Povolny, “pode-se presumir que muitas organizações já foram invadidas”.

A Check Point, por sua vez, informou ter bloqueado 846 mil varreduras de vulnerabilidades nas redes de seus clientes. No total, cerca de 40% das redes corporativas em todo o mundo já foram atacadas por cibercriminosos na tentativa de explorar o Log4Shell, de acordo com a Check Point. A cada minuto, os especialistas registravam 100 tentativas de explorar a vulnerabilidade. Grupos cibercriminosos conhecidos são responsáveis ​​por 46% das tentativas de exploração de vulnerabilidades nas redes dos clientes da empresa, informou a Check Point.

Para piorar, novas variantes do exploit original, publicado pela primeira vez no GitHub, estão surgindo em ritmo acelerado. Em apenas um dia, os pesquisadores da Check Point registraram cerca de 60 exploits disponíveis: o Log4Shell agora pode ser explorado de várias maneiras, incluindo sobre HTTP e HTTPS. Em outras palavras, um nível de proteção não é suficiente para garantir a segurança.

Outras empresas de segurança da informação trouxeram dados semelhantes. Os especialistas da Sophos, por exemplo, registraram “centenas de milhares” de tentativas de explorar a vulnerabilidade. Em muitos casos, são varreduras em busca de instalações vulneráveis, teste de exploits e tentativas de instalação de criptominers. Os pesquisadores também encontraram ataques para extrair chaves de criptografia e outras informações confidenciais de serviços em nuvem, entre os quais Amazon Web Services, é claro, responsável pela nuvem pública do governo e do ministério da Saúde, que está com sistemas indisponíveis desde um ataque no dia 10 de dezembro. 

*Com CISO Advisor, agências de notícias e assessoria de imprensa da Check Point.