A vulnerabilidade no utilitário de log Log4j (CVE-2021-44228) deve permanecer na rede por muito tempo. Serão necessários muitos meses, talvez anos, até que todo o mercado a tenha corrigido, acreditam muitos especialistas em segurança. Descoberta no dia 24 de novembro, ela está num enorme número de aplicações, de fornecedores de todos os tamanhos. Existe até mesmo na plataforma Zed Attack, da fundação Owasp. O portal Bleeping Computer listou 24 grandes organizações que adotam o Log4J-2, entre os quais IBM e SolarWinds.
Veja isso
Máquinas com Log4j-2 vulnerável se tornam alvo do dia
Invasão da FireEye é recado e demonstração de poder da Rússia
Steve Povolny, especialista que chefia a área de pesquisas da McAfee Enterprise e FireEye, afirma que a vulnerabilidade (agora apelidada de Log4Shell) está no mesmo nível de permanência que a Shellshock, o Heartbleed e a EternalBlue. Neste momento, os invasores já estão explorando essa vulnerabilidade para instalar criptominadores e Cobalt Strike, o que abre caminho para novos ataques, incluindo aqueles que visam roubar informações confidenciais, disse Povolny: “Esperamos uma evolução dos ataques”, disse o especialista.
Segundo ele, o impacto dessa vulnerabilidade pode ser enorme devido à sua natureza “worm-like”, de forma que os ataques por meio ela podem ser automatizados. Mesmo com o hotfix disponível, atualmente existem dezenas de versões do componente instaladas e ainda vulneráveis. Devido ao grande número de ataques observados no momento, disse Povolny, “pode-se presumir que muitas organizações já foram invadidas”.
A Check Point software informou ter bloqueado 846 mil varreduras de vulnerabilidades nas redes de seus clientes. No total, cerca de 40% das redes corporativas em todo o mundo já foram atacadas por cibercriminosos na tentativa de explorar o Log4Shell, de acordo com a Check Point. A cada minuto, os especialistas registravam 100 tentativas de explorar a vulnerabilidade. Grupos cibercriminosos conhecidos são responsáveis por 46% das tentativas de exploração de vulnerabilidades nas redes dos clientes da empresa, informou a Check Point.
Para piorar, novas variantes do exploit original, publicado pela primeira vez no GitHub, estão surgindo em ritmo acelerado. Em apenas um dia, os pesquisadores da Check Point registraram cerca de 60 exploits disponíveis: o Log4Shell agora pode ser explorado de várias maneiras, incluindo sobre HTTP e HTTPS. Em outras palavras, um nível de proteção não é suficiente para garantir a segurança.
Outras empresas de segurança da informação trouxeram dados semelhantes. Os especialistas da Sophos, por exemplo, registraram “centenas de milhares” de tentativas de explorar a vulnerabilidade. Em muitos casos, são varreduras em busca de instalações vulneráveis, teste de exploits e tentativas de instalação de criptominers. Os pesquisadores também encontraram ataques para extrair chaves de criptografia e outras informações confidenciais de serviços em nuvem, entre os quais Amazon Web Services, é claro.
Com agências de notícias internacionais