Jakub Kroustek, Diretor de Pesquisa de Malware da Avast fala sobre a vulnerabilidade Log4Shell
1. A nova vulnerabilidade é perigosa? Em que sentido? Quais usuários estão em perigo?
Jakub Kroustek: Esta vulnerabilidade é altamente perigosa, pois a ferramenta de registro Log4Shell é supostamente usada por gigantes da Internet como Apple, Amazon, Steam e Twitter, entre outros. A vulnerabilidade permite que os cibercriminosos a explorem simplesmente enviando uma linha de texto específica para uma janela de bate-papo de um aplicativo vulnerável, por exemplo. Portanto, leva muito pouco tempo para construir um ataque com o intuito de abusar da vulnerabilidade. Os invasores podem, então, executar remotamente o código no dispositivo ou no servidor afetado, o que significa que podem infectá-lo com malware, roubar informações ou realizar qualquer outro tipo de abuso. Outra coisa que é perigosa é o fato que não se trata apenas dos sistemas expostos diretamente na Internet, pois uma vez que a linha de texto (string) entre em um sistema e seja registrada pelo log4j, o invasor pode invadir toda a rede.
2. É comparável em termos de ameaça com o WannaCry?
Jakub Kroustek: É um tipo diferente de ameaça, pois a vulnerabilidade usada pelo WannaCry era uma vulnerabilidade no sistema operacional Windows. Neste caso, a vulnerabilidade está em uma ferramenta de registro e, portanto, nem todos os computadores estão vulneráveis. Embora a vulnerabilidade não seja tão disseminada, muitos serviços usam diretamente essa ferramenta de registro ou através de uma biblioteca adicional, o que torna difícil a identificação e a correção.
3. Como se manter seguro?
Jakub Kroustek: Uma correção de emergência (patch) foi publicada, portanto, qualquer pessoa que use essa ferramenta de registro da Apache deve aplicá-la o mais rápido possível. A coisa mais complexa com relação a esta vulnerabilidade, que está sendo chamada de Log4Shell, é como o uso dessa biblioteca pode estar embutido em um software. Por exemplo, um fornecedor de software específico pode não estar diretamente usando a biblioteca log4j, mas essa biblioteca pode estar dentro de qualquer outra que estiver sendo utilizada. Isso significa que a biblioteca log4j deve ser atualizada em todos os locais, o que se parece com uma maratona de correções.
A Apache lançou o Log4j versão 2.15, que contém uma correção para essa vulnerabilidade. A Avast recomenda que os proprietários de serviços realizem a atualização imediata para esta nova versão. Caso isso não seja possível, a vulnerabilidade pode ser atenuada da seguinte forma
- Verifique se o(s) seu(s) sistema(s) está(ão) utilizando log4j2;
- Para as versões 2.0 e anteriores à 2.10, a Apache recomenda remover a classe Jndi Lookup do classpath, executando zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/
lookup/JndiLookup.class; - Para as versões 2.10 e posteriores, defina a propriedade do sistema log4j2.formatMsgNoLookups como "true" ou defina a variável de ambiente LOG4J_FORMAT_MSG_NO_LOOKUPS como "true".
Para verificar se algum tráfego malicioso atingiu o seu servidor, revise os logs gerados pelo processamento do log4j e concentre-se nas entradas JNDI e RMI.
4. Quaisquer outros pensamentos, medos ou explicações?
Jakub Kroustek: Na verdade, nenhum malware é necessário para um ataque inicial, que pode ser tão simples quanto enviar uma linha de texto específica para, por exemplo, uma janela de bate-papo de um aplicativo vulnerável. No entanto, os estágios posteriores da maioria desses ataques provavelmente vão conter cargas maliciosas em serviços / servidores explorados.
Levará muito tempo para encontrar todos os sistemas que estão nesse jogo e que são vulneráveis a essa falha e, infelizmente, podemos esperar que o problema continue conosco por um longo período. A inclusão desse software em muitos produtos comerciais destaca a importância da Lista de Componentes de um Software (SBOM), para que as empresas consigam identificar rapidamente se, e até que ponto, estão expostos a esse tipo de ameaça.
5. Os cibercriminosos começaram a abusar da vulnerabilidade?
Jakub Kroustek: Malwares já estão abusando dessa vulnerabilidade (2021-12-13). Por enquanto, trata-se principalmente de mineradores de moedas ou redes zumbi (bots de IoT), mas é muito provável que já existam ataques mais sofisticados em andamento.