Vulnerabilidade crítica no Apache Log4j está a ser ativamente explorada

A vulnerabilidade Log4Shell é uma ameaça crítica a todos os que utilizam a framework Apache Struts. Uma falha relativamente fácil de explorar no Apache Log4j 2.14.1 pode permitir a execução de código remoto não autenticado e fazer um takeover completo ao servidor. A vulnerabilidade está a ser explorada.

A falha foi revelada em sites referentes ao jogo ‘Minecraft’ – que tem uma versão Java – na última quinta-feira. Os atacantes conseguiam lançar código malicioso tanto em servidores como clientes que corriam a referida versão do jogo através da manipulação de mensagens de log.

Ainda na mesma quinta-feira, a falha recebeu o nome de ‘Log4Shell’ e recebeu o track number CVE-2021-44228. O CERT da Deutsche Telekom revelou na sexta-feira que existiam atores maliciosos a explorar o novo bug.

O NIST detalha que um atacante pode controlar as mensagens de log ou os parâmetros das mensagens de log para executar código arbitrário de servidores LDAP. A versão 2.15.0 do log4j desativou por definição esta função.

Em comunicado enviado às redações, a Sophos explica que registou “uma rápida aceleração nos ataques que exploram ou tentam explorar esta vulnerabilidade, com centenas de milhares de tentativas detetadas” e onde “os botnets de cryptomining estão entre os primeiros a adotar este ataque”. A empresa de cibersegurança acrescenta que os ataques se têm “focado nas plataformas de servidor Linux, que estão particularmente expostas a esta vulnerabilidade”.

Sean Gallagher, Senior Threat Researcher da Sophos, explica, através de um artigo, que “a vulnerabilidade Log4Shell apresenta um tipo diferente de desafio para os defensores. Muitas vulnerabilidades de software são limitadas a um produto ou plataforma específica, como as vulnerabilidades ProxyLogon e ProxyShell no Microsoft Exchange. Assim que os defensores souberem que software está vulnerável, podem verificá-lo e corrigi-lo. No entanto, o Log4Shell é uma biblioteca utilizada por muitos produtos; pode, portanto, estar presente nos cantos mais sombrios da infraestrutura de uma organização, por exemplo em qualquer software desenvolvido internamente. Encontrar todos os sistemas vulneráveis por causa do Log4Shell deve ser uma prioridade para as equipas de segurança de IT”.

O investigador da Sophos considera, ainda, “que a velocidade a que os invasores estão a controlar e utilizar a vulnerabilidade vai intensificar-se e diversificar-nos nos próximos dias e semanas. Depois de um invasor garantir o acesso a uma rede, qualquer infeção pode seguir-se. Assim sendo, juntamente com a atualização de software já lançada pela Apache no Log4j 2.15.0, as equipas de segurança de TI precisam de fazer uma revisão completa da atividade na rede para detetar e remover quaisquer vestígios de intrusos, mesmo que pareçam apenas um commodity malware incómodo”.

Incremente segurança 365 dias por ano com SOPHOS. Conheça as soluções em sophos.artvision.pt

Fonte: IT Channel