*Por Arthur Capella
Há poucos dias, no início de um final de semana, o mundo foi surpreendido pela descoberta de uma vulnerabilidade altamente crítica encontrada na proeminente biblioteca de código aberto Apache Log4j. Rapidamente apelidada de Log4Shell, a falha foi descoberta pela primeira vez no popular jogo Minecraft. Desde então, a falha vem sendo ativamente explorada, causando impacto importante em uma série de serviços e aplicativos como Apple, iCloud, Amazon, Tesla, Steam e o próprio Minecraft.
A falha foi encontrada na mundialmente popular biblioteca Java de criação de log Apache de código aberto e sua função é capturar os dados de registro que são utilizados para diferentes ações. O paradoxo é que quanto mais madura a organização, maior quantidade de dados são guardados, porém maior oportunidade de explorar a falha e mais dificuldade para o mundo de cibersegurança. Além da preocupação proveniente do uso massivo no mundo tem outro problema: a execução é extremamente simples, não precisa uma autenticação de um usuário, e o código de exploração está amplamente disponível. Não por nada foi definida como “a maior e mais crítica vulnerabilidade da última década”, por Amit Yoran, CEO e Chairman da Tenable.
A cada minuto descobrimos novos aplicativos que usam Log4j de alguma forma, o que pode afetar não somente o código que uma empresa constrói, mas também os sistemas de terceiros que estiverem em vigor. Dados da equipe de pesquisa da Tenable mostram porque o mundo da cibersegurança está preocupado: a cada segundo, 1400 ativos estão sendo escaneados a cada segundo para a vulnerabilidade Log4Shell. Isso é quase 90 mil por dia. Os resultados apontam que 1 em cada 10 ativos é vulnerável. Isso é 9 mil oportunidades por dia para cibercriminosos. Do total de organizações que fizeram a varredura de seus ativos, 75% encontraram ativos vulneráveis.
Fazendo uma rápida analogia, uma década atrás, um terremoto e uma onda de marés subsequente desencadearam o colapso da usina nuclear de Fukushima, que continua a assolar a região até os dias de hoje. Da mesma forma, a exploração precoce do log4Shell ainda irá evoluir de forma devastadora ao longo do tempo, e tende a assumir formas mais complexas de ataques a sistemas mais sensíveis e que tenham menos exposição à internet. A curto prazo, veremos correções rápidas, mas nas próximas semanas e meses, poderemos presenciar grandes interrupções em que a Log4Shell será a causa principal.
O que temos observado até o momento, é o seguinte cenário: criminosos já estão fazendo diversos movimentos paralelos, com ataques por meio de ransomwares, mineração de criptomoedas e ataques à serviços. Até agora, já vimos dois grupos de ransomware aproveitando essa vulnerabilidade: Khonsari e Conti. Este último, é um dos maiores grupos de ransomware da atualidade, não somente está usando a vulnerabilidade para explorar, mas para se mover lateralmente dentro de uma organização. Se calcula que arrecadou mais de 150 milhões nos últimos 6 meses e já foi registrado seu primeiro ataque, ao ministério de defesa da Bélgica. Já o grupo Khonsari foi o primeiro a usar Log4Shell e é conhecido como um “skidware” de baixo esforço (script kiddie-ware). No entanto, o ransomware é funcional e tem sucesso na criptografia de arquivos.
Já os mineradores maliciosos de criptomoedas estão tentando alavancar a vulnerabilidade instalando softwares em seus sistemas para usá-los como recursos, a fim de gerar criptomoedas para os invasores. Também estamos vendo a instalação de botnets que são usados para realizar grandes ataques de negação de serviço (DDoS). E este é apenas o começo, continuaremos a ver mais e mais maneiras de explorar essa vulnerabilidade.
Neste momento, as organizações devem se preparar para responder a qualquer incidente e reduzir o risco da forma mais ágil que puderem. Para isso, precisam saber o que está em seu ambiente, conhecer sua superfície de ataque, incluindo o ambiente de terceiros que se relacionam. Tão importante quanto cuidar da sua empresa é também garantir que seus fornecedores e parceiros estejam fazendo o mesmo, criando uma rede mais segura para todos. É preciso que os sistemas e seus riscos ou falhas iminentes sejam avaliados e mitigados de forma constante.
Os criminosos já estão em andamento. O tempo é essencial. Se não for combatido agora, mudará a forma como a computação é definida em 2022.
*Arthur Capella é Diretor na Tenable Brasil
