Prognósticos sobre bug Log4Shell foram exagerados, diz estudo

Da Redação
20/12/2023

O Log4Shell foi uma vulnerabilidade crítica classificada com escore 10 no sistema de pontuação comum de vulnerabilidades (CVSS) no popular utilitário de registro de código aberto Log4j. Relativamente fácil de explorar, a falha permitiu a execução remota de código (RCE) e foi encontrada em uma enorme gama de aplicativos proprietários e de código aberto.

Alguns especialistas previram que ela poderá ser explorada por operadores de ameaças por anos, à medida que as organizações lutam para encontrar e corrigir versões vulneráveis escondidas em dependências de código aberto. No entanto, um novo relatório da VulnCheck, divulgado na segunda-feira, 18, subentende que esses temores eram e continuam exagerados. “A realidade era que, na época, muito poucos produtos usando bibliotecas Log4j vulneráveis eram remotamente exploráveis para execução de código”, observa o relatório.

“Muitas empresas de segurança fizeram um grande negócio sobre os mais de 300 milhões downloads de bibliotecas Log4j vulneráveis nos últimos dois anos. A ideia é que muitos projetos sejam vulneráveis porque usam a biblioteca vulnerável. Mas isso não verdade”, diz o relatório da VulnCheck.

A realidade é que existe um pequeno conjunto de softwares realmente exploráveis, e apenas um subconjunto desses produtos foi ligado à exploração (veja abaixo a lista de produtos exploráveis usando Log4Shell). Atualmente, a VulnCheck associa a exploração do Log4Shell a 40 ameaças persistentes avançadas (APTs), grupos de ransomware ou botnets, mas apenas quatro dos produtos da lista abaixo estão associados a esses ataques: MobileIron, Ubiquiti UniFi Controller, VMware Horizon e VMware vCenter.

Embora possa haver dezenas de milhares de projetos de código aberto que dependem de bibliotecas Log4j vulneráveis, é improvável que eles sejam direcionados porque a exploração é complicada. “O Log4Shell é um ataque de dois estágios. O primeiro dispara uma conexão com um servidor de comando e controle [C&C] quando uma cadeia de caracteres controlada pelo invasor é registrada pelo software da vítima. Quase todos os exploits que indexamos no VulnCheck XDB pararam aqui”, afirma a empresa de segurança cibernética.

No entanto, segundo a empresa, é importante perceber que concluir o primeiro estágio não alcança a execução do código. “Para a execução do código [o segundo estágio], o servidor controlado pelo invasor deve fornecer um novo código para a vítima executar. Essa não é uma tarefa trivial em Java e requer o uso de dependências e gadgets serializados que podem não funcionar contra o software vítima”, diz o relatório.

Em suma, cada produto visado é vulnerável a um conjunto diferente de gadgets Java e alguns não serão vulneráveis a nenhum, afirma a empresa. Isso deixa uma pegada relativamente pequena de produtos que são remotamente exploráveis com relativa facilidade em ataques.

Veja isso
Log4Shell já responde por um terço das infecções por malware
Exploração do Log4Shell: mais de 30 mil varreduras em janeiro

De acordo com o VulnCheck, até o dia 7 deste mês, havia apenas 125 mil hosts que hospedavam software potencialmente vulnerável ao Log4Shell, e 94% deles agora estão corrigidos. “Isso deixa apenas 7 mil hospedeiros potencialmente vulneráveis. Com ênfase no potencial porque alguns dos softwares têm versões indetectáveis [Apache James 3+, OFBiz e Struts2]”, enfatiza o estudo.

“Além disso, o Apache Solr normalmente, mas nem sempre, tem a autenticação habilitada, tornando-o um destino de acesso inicial ruim. Também é difícil identificar o número de anfitriões restantes que são honeypots, mas presumimos que é uma quantidade mensurável”, conclui o relatório.

A seguir são listados a “maioria” dos produtos remotamente exploráveis usando Log4Shell, sem incluir o Minecraft:

  • Druida Apache
  • Apache James
  • Apache JSPWiki
  • Apache OFbiz
  • Apache Skywalking
  • Apache Solr
  • Apache Struts2
  • Ivanti MobileIron
  • ManageEngine ADManager
  • Controlador UniFi Ubiquiti
  • VMware Horizonte
  • VMware vCenter

Para ter acesso ao relatório completo da VulnCheck, em inglês, clique aqui.

Compartilhar: