Explorar a falha é bastante simples, o que a torna altamente perigosa. Além disso, a disponibilidade de código de exploração facilita para os invasores que procuram tirar proveito disso antes que as organizações possam remediar as falhas em seus servidores. Os invasores já começaram a procurar servidores vulneráveis.
O especialista, Amit Yoran, presidente e CEO da Tenable comenta sobre o assunto:
“A vulnerabilidade de execução remota de código Apache Log4j é a maior e mais crítica da última década. Quando toda a pesquisa foi feita, identificamos que esta é a maior vulnerabilidade na história da computação moderna. Esse tipo de vulnerabilidade é um lembrete de que as organizações devem desenvolver programas maduros de cibersegurança para entender o risco cibernético em um mundo dinâmico. Embora os detalhes ainda estejam começando a ser revelados, encorajamos as organizações a atualizar seus controles de segurança, assumir que eles foram comprometidos e ativar os planos de resposta a incidentes existentes. A prioridade número um agora é trabalhar com suas equipes internas de segurança da informação e engenharia ou fazer parceria com uma organização que conduza a resposta a incidentes para identificar o impacto em sua organização.”
Que vulnerabilidade é essa?
A vulnerabilidade crítica CVE-2021-44228 permite que o código remoto seja executado em servidores Apache Log4j 2 por meio de um ataque à popular biblioteca de log Java, amplamente utilizada por organizações como Apple, iCloud, Amazon, Tesla, Minecraft e Steam.
Como funciona?
Um invasor envia uma solicitação manipulada que usa uma injeção de JNDI (Java Name and Directory Interface, interface de diretório java) por meio de uma variedade de serviços, incluindo: LDAP (Lightweight Directory Access Protocol, Secure LDAP), Remote Method Invocation (RMI), Domain Name Service (DNS).
Se o servidor vulnerável usar o log4j para registrar solicitações, a exploração enviará uma carga maliciosa via JNDI usando um dos serviços mencionados acima, tudo a partir de um servidor controlado pelo invasor, deixando a organização exposta.
Seu potencial impacto em ataques de ransomware
Os ataques de ransomware têm crescido exponencialmente. Estamos vendo cibercriminosos mais evoluídos, otimizando seus ataques com as vulnerabilidades mais novas e críticas, que lhes permitem realizar ataques mais prejudiciais, facilmente replicáveis e que geram mais retorno sobre o investimento.
Embora nenhum ataque de ransomware usando essa vulnerabilidade ainda tenha sido observado, é apenas uma questão de tempo até que eles o façam.
Já foi observado que os criminosos começaram a procurar ativamente e tentaram explorar a falha, aproveitando o fato de que hoje as organizações enfrentam centenas de vulnerabilidades, tornando-se um desafio para os profissionais de segurança entenderem quais devem remediar primeiro. Um relatório da Tenable Research mostra que 73% das vulnerabilidades ainda existem 30 dias após a primeira avaliação.
O que fazer agora
Identifique sistemas afetados e atualize para a versão corrigida do Log4j 2, versão 2.15.0.
Se a atualização não for possível, existem algumas maneiras de mitigar essa vulnerabilidade, incluindo alterações de configuração.
Além disso, uma lista de plugins Tenable para identificar essa vulnerabilidade estará disponível aqui à medida que forem lançados, basta que as empresas estejam atentas.
