Empresa gaúcha bloqueia ataque a Log4J em data center

Paulo Brito
09/02/2022

No dia 9 de Dezembro de 2021, mesmo dia em que o pesquisador chinês Chen Zhoujun, do Alibaba Cloud Security Team, revelou a vulnerabilidade do utilitário Log4J, houve um ataque tentando explorar essa falha contra operações de um dos maiores provedores de data center do país. O ataque foi bloqueado pela empresa gaúcha de segurança XLabs Security, uma das parceiras do provedor, revelou ao CISO Advisor seu CEO Maurício Corrêa.

Veja isso
Ransomware REvil está pedindo US$ 5 milhões de resgate ao TJRS
Problema de refrigeração em data center atinge IBM e AWS

A publicação da vulnerabilidade disparou uma avalanche de ataques no mundo inteiro, lançados por malfeitores que buscavam explorar a falha, conta Maurício. A tentativa foi bloqueada pelo firewall de aplicações web da empresa, que opera em conjunto com a CDN dela (content delivery network ou rede de entrega de conteúdo). O conjunto recebe e filtra o tráfego destinado ao cliente, descartando os pacotes de dados considerados nocivos ou suspeitos.

O CEO da XLabs contou que somente alguns dias depois do ataque ficou sabendo que a aplicação do cliente estava vulnerável ao Log4J, ou seja, a versão ali instalada do utilitário ainda era uma das vulneráveis, iguais ou anteriores à 2.15: “Acrescentamos esses dias de sono tranquilo aos especialistas do data center”, comentou Maurício num post de seu perfil no Linkedin. A falha, se bem explorada, dá ao cibercriminoso privilégios de administrador na máquina-alvo e permite a execução de código da sua livre escolha.

Teve origem justamente na China o ataque detectado pela XLabs, e foi direcionado contra a aplicação de colaboração de equipes Confluence, produzido pela Atlassian. Somente em 21 de dezembro a Atlassian comunicou ao mercado que a sua solução utilizava um Log4J vulnerável. O número do IP que originou o ataque era 114.254.20.186, alocado para a capital da China. O ataque usou padrões de injeções RMI para verificar a falha, enquanto a maioria é por LDAP.

Maurício acha que o ataque foi cuidadosamente elaborado e direcionado, já que além de utilizar RMI o payload utilizou strings com variações. Segundo ele, foi usado o domínio “yunzhanghu.co”, registrado em 15 de Junho de 2020 e pouquíssimo conhecido por atividades maliciosas na internet conforme registros da Vírus Total e Cisco Umbrella.

A empresa está completando um ano de parceria com o provedor de data center. Os clientes, segundo Maurício Corrêa, têm se beneficiado não só da eficiência das ferramentas WAF e CDN como, também, do fato de contratarem os serviços especializados da XLabs em reais brasileiros e não em moeda estrangeira.

Compartilhar: