A vulnerabilidade Log4Shell já foi explorada como vetor de infecção inicial em 31% dos casos monitorados pela Lacework Cloud nos últimos seis meses. O mais recente relatório de ameaças da fornecedora de software destaca os riscos presentes na cadeia de suprimentos digital atualmente.
As descobertas da empresa confirmam que o bug do Log4j foi usado extensivamente por operadores de ameaças, como os especialistas em segurança suspeitavam quando surgiu em dezembro do ano passado.
O Lacework Labs diz que, embora inicialmente tenha observado uma enxurrada de solicitações com cargas úteis de exploração logo após a divulgação do Log4Shell, elas foram resultado principalmente de pesquisadores em busca da vulnerabilidade. No entanto, ao longo do tempo, essas pesquisas foram substituídas por solicitações malignas, pois os operadores de ameaças adotaram explorações de prova de conceito (PoC) disponíveis publicamente.
“Com o tempo, observamos a atividade de varredura evoluir para ataques mais frequentes, incluindo alguns que implantaram criptomineradores e bots para ataques distribuídos de negação de serviço (DDoS) nos sistemas afetados”, diz o relatório. “Além de melhorar suas cargas úteis, os hackers continuaram a adaptar seus métodos de exploração para ficar à frente das detecções baseadas em assinaturas usadas por muitos tipos de produtos de segurança”, completa o documento.
Veja isso
Exploração do Log4Shell: mais de 30 mil varreduras em janeiro
Pesquisadores alertam sobre bug no Java similar ao Log4Shell
O Log4j não foi a única vulberabilidade de software sendo explorada no final de 2021. Muitos operadores de ameaças usaram uma backdoor no pacote npm ua-parser-js para invadir sistemas Linux para executar o minerador de criptomoedas de código aberto XMRig. O invasor conseguiu comprometer a conta do desenvolvedor do npm para enviar uma atualização maliciosa ao pacote.
Na verdade, os operadores de ameaças utilizam cada vez mais o npm como vetor de ataques. Um relatório da Checkmarx publicado esta semana afirma que os invasores simplificaram o processo de criação de novas contas npm para distribuir malware à cadeia de suprimentos. Npm é o gerenciador de pacotes do Node (Node Package Manager) amplamente usado por desenvolvedores JavaScript para compartilhar ferramentas, instalar vários módulos e gerenciar suas dependências.