Log4Shell: Maior zero day da última década está tornando 10% da Internet vulnerável

Surpreende empresas e governos em todo o mundo e levanta alerta sobre vulnerabilidades que seguirão por muitos anos

Compartilhar:

*Por Arthur Capella

 

Há poucos dias, no início de um final de semana, o mundo foi surpreendido pela descoberta de uma vulnerabilidade altamente crítica encontrada na proeminente biblioteca de código aberto Apache Log4j. Rapidamente apelidada de Log4Shell, a falha foi descoberta pela primeira vez no popular jogo Minecraft. Desde então, a falha vem sendo ativamente explorada, causando impacto importante em uma série de serviços e aplicativos como Apple, iCloud, Amazon, Tesla, Steam e o próprio Minecraft.

 

A falha foi encontrada na mundialmente popular biblioteca Java de criação de log Apache de código aberto e sua função é capturar os dados de registro que são utilizados para diferentes ações. O paradoxo é que quanto mais madura a organização, maior quantidade de dados são guardados, porém maior oportunidade de explorar a falha e mais dificuldade para o mundo de cibersegurança.  Além da preocupação proveniente do uso massivo no mundo tem outro problema: a execução é extremamente simples, não precisa uma autenticação de um usuário, e o código de exploração está amplamente disponível. Não por nada foi definida como “a maior e mais crítica vulnerabilidade da última década”, por Amit Yoran, CEO e Chairman da Tenable.

 

A cada minuto descobrimos novos aplicativos que usam Log4j de alguma forma, o que pode afetar não somente o código que uma empresa constrói, mas também os sistemas de terceiros que estiverem em vigor. Dados da equipe de pesquisa da Tenable mostram porque o mundo da cibersegurança está preocupado: a cada segundo, 1400 ativos estão sendo escaneados a cada segundo para a vulnerabilidade Log4Shell.  Isso é quase 90 mil por dia. Os resultados apontam que 1 em cada 10 ativos é vulnerável. Isso é 9 mil oportunidades por dia para cibercriminosos. Do total de organizações que fizeram a varredura de seus ativos, 75% encontraram ativos vulneráveis.

 

Fazendo uma rápida analogia, uma década atrás, um terremoto e uma onda de marés subsequente desencadearam o colapso da usina nuclear de Fukushima, que continua a assolar a região até os dias de hoje. Da mesma forma, a exploração precoce do log4Shell ainda irá evoluir de forma devastadora ao longo do tempo, e tende a assumir formas mais complexas de ataques a sistemas mais sensíveis e que tenham menos exposição à internet. A curto prazo, veremos correções rápidas, mas nas próximas semanas e meses, poderemos presenciar grandes interrupções em que a Log4Shell será a causa principal.

 

O que temos observado até o momento, é o seguinte cenário: criminosos já estão fazendo diversos movimentos paralelos, com ataques por meio de ransomwares, mineração de criptomoedas e ataques à serviços. Até agora, já vimos dois grupos de ransomware aproveitando essa vulnerabilidade: Khonsari e Conti. Este último, é um dos maiores grupos de ransomware da atualidade, não somente está usando a vulnerabilidade para explorar, mas para se mover lateralmente dentro de uma organização. Se calcula que arrecadou mais de 150 milhões nos últimos 6 meses e já foi registrado seu primeiro ataque, ao ministério de defesa da Bélgica. Já o grupo Khonsari foi o primeiro a usar Log4Shell e é conhecido como um “skidware” de baixo esforço (script kiddie-ware). No entanto, o ransomware é funcional e tem sucesso na criptografia de arquivos.

 

Já os mineradores maliciosos de criptomoedas estão tentando alavancar a vulnerabilidade instalando softwares em seus sistemas para usá-los como recursos, a fim de gerar criptomoedas para os invasores. Também estamos vendo a instalação de botnets que são usados para realizar grandes ataques de negação de serviço (DDoS). E este é apenas o começo, continuaremos a ver mais e mais maneiras de explorar essa vulnerabilidade.

 

Neste momento, as organizações devem se preparar para responder a qualquer incidente e reduzir o risco da forma mais ágil que puderem. Para isso, precisam saber o que está em seu ambiente, conhecer sua superfície de ataque, incluindo o ambiente de terceiros que se relacionam. Tão importante quanto cuidar da sua empresa é também garantir que seus fornecedores e parceiros estejam fazendo o mesmo, criando uma rede mais segura para todos. É preciso que os sistemas e seus riscos ou falhas iminentes sejam avaliados e mitigados de forma constante.

 

Os criminosos já estão em andamento. O tempo é essencial. Se não for combatido agora, mudará a forma como a computação é definida em 2022.

 

*Arthur Capella é Diretor na Tenable Brasil

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Espionagem digital iraniana mira governos e empresas Latinas, alerta relatório

Estudo da WatchGuard mostra que grupo MuddyWater foca no roubo de propriedade intelectual e dados de navegadores mesmo durante tréguas...
Security Report | Overview

Golpe que engana funcionários sem vírus se multiplica 37 vezes em dois anos

O golpe destaca-se por sua natureza de 'rastro zero'. Os criminosos utilizam uma estratégia focada em convencer o usuário a...
Security Report | Overview

Gartner: US$ 234 bilhões gastos com aplicações corporativas correm risco com IA Agêntica

Arbitragem agêntica rompe o modelo tradicional de licenciamento SaaS baseado em usuários
Security Report | Overview

Threat Intel detecta nova técnica de ransomware executado pelo navegador

Especialistas mostram que modelo de IA conectou recursos legítimos do navegador para construir uma cadeia prática de ataque sem exploração...