book_icon

Log4Shell: maior zero day da última década está tornando 10% da Internet vulnerável

Há poucos dias, no início de um final de semana, o mundo foi surpreendido pela descoberta de uma vulnerabilidade altamente crítica encontrada na proeminente biblioteca de código aberto Apache Log4j. Rapidamente apelidada de Log4Shell, a falha foi descoberta pela primeira vez no popular jogo Minecraft. Desde então, a falha vem sendo ativamente explorada, causando impacto importante em uma série de serviços e aplicativos como Apple, iCloud, Amazon, Tesla, Steam e o próprio Minecraft.

A falha foi encontrada na mundialmente popular biblioteca Java de criação de log Apache de código aberto e sua função é capturar os dados de registro que são utilizados para diferentes ações. O paradoxo é que quanto mais madura a organização, maior quantidade de dados são guardados, porém maior oportunidade de explorar a falha e mais dificuldade para o mundo de cibersegurança. Além da preocupação proveniente do uso massivo no mundo tem outro problema: a execução é extremamente simples, não precisa uma autenticação de um usuário, e o código de exploração está amplamente disponível.

A cada minuto descobrimos novos aplicativos que usam Log4j de alguma forma, o que pode afetar não somente o código que uma empresa constrói, mas também os sistemas de terceiros que estiverem em vigor. Dados da equipe de pesquisa da Tenable mostram porque o mundo da cibersegurança está preocupado: a cada segundo 1400 ativos estão sendo escaneados a cada segundo para a vulnerabilidade Log4Shell. Isso é quase 90 mil por dia. Os resultados apontam que 1 em cada 10 ativos é vulnerável. Isso é 9 mil oportunidades por dia para cibercriminosos. Do total de organizações que fizeram a varredura de seus ativos, 75% encontraram ativos vulneráveis.

Fazendo uma rápida analogia, uma década atrás, um terremoto e uma onda de marés subsequente desencadearam o colapso da usina nuclear de Fukushima, que continua a assolar a região até os dias de hoje. Da mesma forma, a exploração precoce do log4Shell ainda irá evoluir de forma devastadora ao longo do tempo, e tende a assumir formas mais complexas de ataques a sistemas mais sensíveis e que tenham menos exposição à internet. A curto prazo, veremos correções rápidas, mas nas próximas semanas e meses, poderemos presenciar grandes interrupções em que a Log4Shell será a causa principal.

O que temos observado até o momento, é o seguinte cenário: criminosos já estão fazendo diversos movimentos paralelos, com ataques por meio de ransomwares, mineração de criptomoedas e ataques à serviços. Até agora, já vimos dois grupos de ransomware aproveitando essa vulnerabilidade: Khonsari e Conti. Este último, é um dos maiores grupos de ransomware da atualidade, não somente está usando a vulnerabilidade para explorar, mas para se mover lateralmente dentro de uma organização. Se calcula que arrecadou mais de 150 milhões nos últimos 6 meses e já foi registrado seu primeiro ataque, ao ministério de defesa da Bélgica. Já o grupo Khonsari foi o primeiro a usar Log4Shell e é conhecido como um “skidware” de baixo esforço (script kiddie-ware). No entanto, o ransomware é funcional e tem sucesso na criptografia de arquivos.

Já os mineradores maliciosos de criptomoedas estão tentando alavancar a vulnerabilidade instalando softwares em seus sistemas para usá-los como recursos, a fim de gerar criptomoedas para os invasores. Também estamos vendo a instalação de botnets que são usados ​​para realizar grandes ataques de negação de serviço (DDoS). E este é apenas o começo, continuaremos a ver mais e mais maneiras de explorar essa vulnerabilidade.

Neste momento as organizações devem se preparar para responder a qualquer incidente e reduzir o risco da forma mais ágil que puderem. Para isso, precisam saber o que está em seu ambiente, conhecer sua superfície de ataque, incluindo o ambiente de terceiros que se relacionam. Tão importante quanto cuidar da sua empresa é também garantir que seus fornecedores e parceiros estejam fazendo o mesmo, criando uma rede mais segura para todos. É preciso que os sistemas e seus riscos ou falhas iminentes sejam avaliados e mitigados de forma constante.

Os criminosos já estão em andamento. O tempo é essencial. Se não for combatido agora, mudará a forma como a computação é definida em 2022.

Por Arthur Capella, diretor na Tenable Brasil.

Apache Log4j

Arthur Capella

Internet vulnerável

Log4Shell

mineração de criptomoedas

ransomwares

Tenable Brasil

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.