Qual é toda a confusão com a Log4j2?

Se você é um usuário do Windows que monitora vários sites de tecnologia e segurança, provavelmente já leu sobre a vulnerabilidade Log4j2 que está tomando conta da internet, literal e figurativamente. Embora as grandes empresas tenham desenvolvedores de aplicativos que sabem qual código eles usaram – e, portanto, sabem com autoridade onde sua empresa pode estar vulnerável –, e se você for uma empresa menor sem esses recursos? (Ou se você for um usuário doméstico se perguntando se precisa se preocupar?)

Primeiro, vamos explicar o que é a Log4j: uma estrutura de registro que os desenvolvedores que codificam usam para construir o que precisam em seu software. Ela foi escrita em Java, licenciada para qualquer pessoa usar, e normalmente é usada em software de código-fonte aberto. A vulnerabilidade foi relatada pela primeira vez pela equipe de segurança do Alibaba Cloud e uma correção estava em andamento quando os jogadores do Minecraft descobriram que certas sequências de código inseridas em uma caixa de bate-papo poderiam acionar uma execução remota de código.

Embora a Microsoft tenha consertado os servidores de Minecraft, logo ficou claro que o problema ia além dos servidores em nuvem. Ele também pode afetar os aplicativos de negócios.

Embora haja uma variedade de recursos governamentais disponíveis para empresas maiores, ainda não vi bons conselhos para pequenas empresas e usuários individuais.

Aqui está meu conselho para aqueles que estão se perguntando como eles podem ser afetados.

O mais importante é: se você executa o Windows e usa o software Microsoft Office básico, não terá problemas. Os produtos básicos da Microsoft não são vulneráveis. Este é um software baseado em Apache que não é nativamente instalado no Windows – especialmente para usuários domésticos. (E se você usar qualquer aplicativo baseado em nuvem que dependa do Log4j2, os fornecedores serão os únicos a atualizar e corrigir suas ofertas.)

A vulnerabilidade pode estar à espreita em muitos tipos de dispositivos, incluindo roteadores, firewalls, impressoras ou outro hardware da Internet das Coisas que não seja baseado no Windows. Caberá a você determinar se está vulnerável. Você precisará pensar em como esses dispositivos se conectam à sua rede interna e se são expostos externamente.

Muitas pessoas não percebem que tais dispositivos são expostos on-line até que algo ruim aconteça. As impressoras, por exemplo, costumam ser configuradas para permitir a impressão baseada na Internet. Embora a capacidade de imprimir em qualquer dispositivo em qualquer lugar pareça maravilhosa, ela também expõe esses dispositivos à manipulação. (Se a porta 9100 estiver aberta para a Internet, os invasores podem imprimir coisas em suas impressoras.) Portanto, lembre-se: sempre que você tiver um dispositivo que deseja acesso “de qualquer lugar”, pare e pense no que esse acesso pode trazer para sua plataforma. Se você usar esses recursos, certifique-se de configurar as restrições apropriadas ao escolher a autenticação ou adicionar a autenticação de dois fatores.

Para pequenas empresas, a chance de você ter software vulnerável dentro da rede do Windows aumenta um pouco se você tiver o SQL server instalado. Se você ou seus fornecedores instalaram um módulo de registro baseado em Java, ele pode incluir a vulnerabilidade. Sua melhor aposta aqui é ver se você tem uma instância SQL instalada em seus servidores e entrar em contato com seus fornecedores para obter orientação. Se um consultor ajudar com sua rede, peça orientação. E se você for um consultor, entre em contato com colegas e fornecedores de ferramentas de gerenciamento para identificar qualquer software que precise ser corrigido.

Para pequenas empresas com menos de 300 usuários, uma maneira de monitorar e revisar se você está em risco é inscrever-se para uma prévia do Microsoft Defender for Business. Com este console baseado em nuvem, você pode revisar e monitorar estações de trabalho que podem estar vulneráveis. Se você usar outra coisa para monitorar e verificar a existência de vírus, entre em contato com o fornecedor para ver se ele está procurando a falha de forma proativa.

Você vai querer revisar a lista de software no site CISA e ver se você possui algum dos softwares listados. Além disso, uma excelente recapitulação dos links para rastrear o software afetado está disponível on-line. (Pude rastrear e confirmar que minhas impressoras Ricoh não eram vulneráveis.)

Em seguida, observe outros dispositivos que compartilham a mesma conexão de Internet que sua rede. Se você não tem certeza da segurança deles e eles não precisam compartilhar a mesma rede que seus dispositivos de negócios, configure uma rede separada para eles. Certifique-se de que eles não estejam na mesma faixa de IP que seus ativos de negócios. Todos os dispositivos IoT devem estar em sua própria rede.

Eu recomendo que você use o artigo focado na vulnerabilidade de segurança Log4j2 para identificar suas próprias informações de segurança e recursos para seus dispositivos. E saiba onde ir para obter mais informações. Uma das coisas mais difíceis sobre esse problema é encontrar os boletins de segurança lançados para cada plataforma. Use este processo para determinar como rastrear os recursos de que você precisa para saber o que é e o que não é vulnerável, não apenas para Log4j2, mas para problemas de segurança futuros. Podemos ver mais desses tipos de problemas no futuro. Esteja preparado para isso.