Em dezembro de 2021, pesquisadores de segurança alertaram o mundo sobre a vulnerabilidade com potencial de comprometer milhões de dispositivos. Essa vulnerabilidade era o Log4Shell que ataca o Log4J, uma das bibliotecas de log mais populares usada para criar arquivos de log que rastreiam eventos e atividades dentro de um sistema ou aplicação.
Mais de um ano após essa descoberta, o Log4shell ainda está entre nós. Apesar das atualizações de software lançadas pelo Apache e dos esforços das equipes de segurança para proteger as redes das empresas, as tentativas do Log4j seguem ocorrendo com frequência, principalmente em ambientes OT e IoT.
A Nozomi Networks aproveitou a telemetria anônima de sua base de clientes que optou por compartilhar as informações e sua equipe de pesquisadores desenvolveu regras de pacotes para identificar possíveis atividades do Log4shell nos ambientes dessas empresas.
Como os cibercriminosos preferem usar TCP em vez de UDP e HTTP porque isso permite que estabeleçam uma conexão confiável com o sistema de destino, facilita a exploração de vulnerabilidades conhecidas. O TCP também fornece segurança para dados que estão sendo transferidos por meio de criptografia e autenticação, permitindo que os hackers transfiram dados sem serem interceptados.
“É fundamental garantir que o Log4j seja atualizado para a versão mais recente para proteger as empresas contra CVE-2021-44228, CVE-2021-45105 e outras vulnerabilidades. É importante ainda que os especialistas em segurança sigam as recomendações da CISA para mitigações de riscos, principalmente no que diz respeito ao inventário de ativos vulneráveis e na verificação de redes e busca de ameaças”, explica Nycholas Szucko, diretor de vendas da Nozomi Networks.