Uma falha de segurança na biblioteca de software Log4j cujo exploit foi revelado no dia 9/12 está preocupando grande parte da indústria de tecnologia. O Log4j é um utilitário de registro baseado em Java, parte do Apache Logging Services, projeto da Apache Software Foundation, e é amplamente utilizado por empresas e aplicativos web em todo o mundo.
Log4j é uma biblioteca usada por desenvolvedores para fazer logging, um processo que permite guardar registros, envio de informações, processamento de dados, e é através desta biblioteca que o sistema registra erros. Através do logging é possível analisar as ações da aplicação e acompanhar as alterações durante o desenvolvimento.
A falha foi descoberta durante um programa de bug bounty em servidores Minecraft, mas é extremamente preocupante visto que o Log4j está presente em quase todos os principais aplicativos e servidores corporativos baseados em Java.
Rastreada como CVE-2021-44228 e também conhecida como Log4Shell, é a vulnerabilidade de segurança mais destacada na Internet neste momento e vem com uma pontuação de severidade de 10 (o maior valor possível). A falha exige pouca habilidade para ser explorada e é capaz de fazer com que aplicativos e servidores registrem uma string específica em seus sistemas internos. Quando o aplicativo ou servidor processa os logs, essa string pode forçar o sistema vulnerável a baixar e executar um script malicioso de um domínio controlado pelo atacante, que assume efetivamente o aplicativo/servidor.
Quais dispositivos e aplicações estão em risco?
Basicamente qualquer dispositivo que esteja exposto à Internet está em risco se estiver executando o Apache Log4J, versões 2.0 a 2.14.1.
Em suma, a falha permite que atacantes executem código remotamente em um sistema alvo de maneira rápida e fácil, o que significa que eles podem roubar dados, instalar malware ou obter controle total.
Dados indicam que o número de tentativas de ataque está crescendo de maneira exponencial. Foi lançada uma atualização urgente de segurança para corrigir a zero-day, e, embora a exploração em massa só tenha começado depois que o exploit foi disponibilizado, especialistas afirmam que foram detectados ataques desde o início de dezembro. Trata-se de uma corrida contra o tempo, pois a correção pode ser relativamente complexa e demorada por não ser feita de maneira automática, e assim, criminosos realizam varreduras de maneira ininterrupta em busca de sistemas vulneráveis.
Dada a severidade da vulnerabilidade e a facilidade de explorá-la, a CISA – Cybersecurity & Infrastructure Security Agency, dos EUA, divulgou orientações para que as empresas criem defesas contra os ataques via Log4Shell. A recomendação da agência é identificar dispositivos voltados para a Internet rodando Log4j, aplicar as correções disponíveis imediatamente e priorizar este processo.
No GitHub há uma lista de todos os produtos e serviços impactados pela falha.
