A atual vulnerabilidade da Log4j segue causando impactos no mercado, já que é uma das mais sérias da Internet e tem um potencial de causar danos incalculáveis. Nesta quarta-feira (15), a Apache forneceu uma nova atualização (Log4j 2.16.0) e recomenda atualização o quanto antes e reforça que a versão anterior (2.15.0) ainda poderia ser explorada em certas configurações não originais.
Em entrevista concedida à Security Report, Luiz Faro, Systems Engineer Director na Forcepoint, destacou três pontos que tornam a situação do Log4j crítica: amplitude, dificuldade de mitigação e a gravidade da exploração.
Faro acrescenta ainda que a exploração é grave, já que pode prover uma linha de comando no sistema vulnerável, o que entrega ao atacante amplas possibilidade de exploração.
Security Report: Essa é, de fato, uma das vulnerabilidades mais críticas da última década. Por que ela é tão perigosa?
Luiz Faro: O problema dessa vulnerabilidade é que ela afeta um componente de código open source, usado como parte de diversas soluções maiores. Diante isso, a vulnerabilidade criada nesse componente afeta muito mais do que só ele. Além disso, é um código antigo (a vulnerabilidade afeta versões de 2014, por exemplo), muitos sistemas que o usaram foram esquecidos no tempo e o esforço de atualizar e mitigar é bem complexo.
Security Report: Mas tem solução?
Luiz Faro: Precisamos tomar cuidado com a posição de “arauto do apocalipse”. Essa não é a primeira vez que tivemos vulnerabilidades desse tipo e dessa magnitude. É grave e demanda trabalho, mas o mundo não vai acabar. Precisamos avaliar o risco, priorizar e agir. E lembrar que os fundamentos de segurança ainda são verdade: uma estratégia de defesa em camadas vai sempre ajudar a evitar uma possível invasão por um problema em uma única camada, ou ao menos reduzir sua extensão.
Security Report: É possível detectar algum grupo de ransomware que aproveita dessa vulnerabilidade para infectar e criptografar sistemas sem patch?
Luiz Faro: Com um shell as possibilidades são amplas, incluindo ransomware, exfiltração de dados, movimentação lateral e comprometimento das camadas de defesa.
Security Report: É possível destacar as melhores práticas para empresas não caírem nessa armadilha?
Luiz Faro: É necessária uma atualização do componente afetado. Porém, essa atualização traz seus desafios, como a possibilidade de danificar o funcionamento do sistema; além o de mapear todos os serviços que possuem esse componente e as janelas de mudança e tempos de atualização.
Security Report: Em 2022, ainda veremos muitas vulnerabilidades como essa?
Luiz Faro: Esse tipo de ataque não é novidade, vulnerabilidades de dia zero em componentes básicos já aconteceram e sempre causam dor de cabeça. Eles vão continuar acontecendo, e uma vez públicos, precisam ser corrigidos para que os criminosos não a explorem. Se não corrigidas, certamente serão exploradas, dado ser uma vulnerabilidade fácil de explorar e difícil de consertar.
