Uma vulnerabilidade crítica descoberta no ano passado no software Apache Log4j, escrito na linguagem de programação Java, pode se tornar um problema “endêmico” e trazer riscos à cibersegurança por potencialmente uma década ou mais, de acordo com um novo painel de segurança cibernética criado pelo governo dos EUA.
O Conselho de Revisão de Segurança Cibernética disse em um relatório na quinta-feira, 14, que, embora não tenha havido nenhum sinal de algum grande ataque cibernético devido à falha do Log4j, ela ainda será “explorada nos próximos anos”. “O Log4j é uma das vulnerabilidades de software mais sérias da história”, disse o presidente do conselho, subsecretário do Departamento de Segurança Interna (DHS, na sigla em inglês) Rob Silvers, a repórteres na quarta-feira, 13.
A falha Log4j, tornada pública no final do ano passado, permite que invasores assumam facilmente o controle de tudo, desde sistemas de controle industrial a servidores da web e eletrônicos de consumo. Os primeiros sinais óbvios da exploração da falha apareceram no Minecraft, um jogo online extremamente popular de propriedade da Microsoft.
A descoberta da falha gerou alertas urgentes de funcionários do governo e esforços maciços de profissionais de segurança cibernética para corrigir sistemas vulneráveis.
O conselho disse na quinta-feira que “surpreendentemente” a exploração do bug Log4j ocorreu em níveis mais baixos do que os especialistas previram. O conselho também disse que não sabia de nenhum ataque Log4j “significativo” em sistemas de infraestrutura crítica, mas observou que alguns ataques cibernéticos não têm sido relatados.
O conselho disse que a previsão de ataques futuros se deve ao fato de que, em grande parte, o Log4j é rotineiramente incorporado a outros softwares e pode ser difícil para as organizações encontrarem em execução em seus sistemas. “Este evento não acabou”, disse Silvers na coletiva de imprensa.
O Log4j registra a atividade do usuário em computadores. Desenvolvido e mantido por um punhado de voluntários sob os auspícios da Apache Software Foundation de código aberto, ele é extremamente popular entre os desenvolvedores de software comercial.
Um pesquisador de segurança da gigante de tecnologia chinesa Alibaba notificou a fundação em 24 de novembro. Demorou duas semanas para ela desenvolver e lançar uma correção. A mídia chinesa informou que o governo puniu o Alibaba por não relatar a falha antes às autoridades governamentais.
O Conselho de Revisão de Segurança Cibernética disse na quinta-feira que encontrou “elementos preocupantes” com a política do governo chinês em relação à divulgação de vulnerabilidades, dizendo que poderia dar aos hackers chineses uma visão antecipada de falhas de computador que eles poderiam usar para meios nefastos, como roubar segredos comerciais ou espionar dissidentes. O governo chinês há muito nega irregularidades no ciberespaço e disse ao conselho que incentiva o compartilhamento de informações aprimoradas sobre vulnerabilidades de software.
Veja isso
Mitigar Log4J retardou prioridades de cyber em 2022
VMware alerta sobre ataques Log4J a servidores Horizon
O conselho ofereceu uma série de recomendações para mitigar as consequências da falha do Log4j, além de melhorar a segurança cibernética em geral. Isso inclui a sugestão de que universidades e faculdades comunitárias tornem o treinamento em segurança cibernética uma parte obrigatória dos programas de graduação e certificação em ciência da computação.
O Conselho de Revisão de Segurança Cibernética foi modelado após o Conselho Nacional de Segurança em Transportes, que analisa acidentes de avião e outros acidentes graves, e foi determinado por uma ordem executiva assinada pelo presidente Joe Biden em maio passado. O conselho de 15 membros é composto pelo FBI, Agência de Segurança Nacional e outros funcionários do governo, bem como pessoas do setor privado.
Alguns defensores do novo conselho criticaram o DHS por demorar tanto para colocá-lo em funcionamento.A ordem executiva de Biden orientou o conselho a realizar sua primeira revisão sobre a enorme campanha russa de espionagem cibernética conhecida como SolarWinds. Os hackers russos conseguiram violar várias agências federais, incluindo contas pertencentes aos principais funcionários de segurança cibernética do DHS, embora as consequências dessa campanha ainda não estejam claras. Com agências de notícias internacionais.