Vulnerabilidade Log4j foi corrigida, mas ainda não se tem dimensão dos seus efeitos colaterais

A vulnerabilidade Log4Shell, descoberta na última semana, foi corrigida. No entanto, especialistas alertam que sua exploração está apenas começando. Desde que foi descoberta, especialistas em segurança cibernética tentam identificar aplicativos vulneráveis, ataques em potencial e mitigar riscos, uma vez que o escopo da vulnerabilidade é enorme.

Pouco se sabe sobre a vulnerabilidade ainda, mas seu escopo preocupa. Uma lista com somente plataformas de software corporativo afetadas, compilada pela Cybersecurity and Infrastructure Security Agency (CISA), tem mais de 500 itens até o momento.

Amazon, IBM e Microsoft também estão na lista, porém, os casos mais alarmantes vêm de softwares que atuam nos bastidores, como Broadcom, Red Hat e VMware – empresas que criam softwares sobre os quais clientes corporativos constroem seus negócios.

Isso faz com que a vulnerabilidade seja distribuída em um nível de infraestrutura central de muitas empresas, diz o The Verge, tornando o processo de captura e eliminação de vulnerabilidades ainda mais difícil, mesmo após o lançamento de um patch para a biblioteca afetada.

A Log4Shell ganhou esse nome por ser encontrada no log4j, uma biblioteca de registro de código aberto usada por aplicativos e serviços na Internet. A vulnerabilidade, até então desconhecida, tem o potencial de permitir que hackers comprometam milhões de dispositivos na Internet, segundo a publicação.

Ela permite a execução remota de código em servidores vulneráveis, dando a um invasor a capacidade de importar malware que comprometeria completamente as máquinas.

Até agora, diz o The Verge, os pesquisadores observaram invasores usando a vulnerabilidade Log4j para instalar ransomware em servidores honeypot, máquinas feitas para rastrear novas ameaças. Uma empresa de segurança cibernética relatou que quase metade das redes corporativas que estava monitorando viram tentativas de explorar a vulnerabilidade.

“Fiz consultas em nosso banco de dados para ver cada cliente que estava usando Log4j em qualquer um de seus aplicativos”, disse Jeremy Katz, cofundador da Tidelift, uma empresa que ajuda outras organizações a gerenciar dependências de software de código aberto. “E a resposta foi: cada um deles que tem aplicativos escritos em Java”. A biblioteca Log4j é extremamente comum na linguagem Java, amplamente usada em softwares corporativos.

Em suma, qualquer empresa pode estar usando vários programas contendo a biblioteca vulnerável – em alguns casos, com várias versões dentro de um aplicativo, destaca a publicação.

“Atacantes sofisticados vão explorar a vulnerabilidade, estabelecer um mecanismo de persistência e, em seguida, apagar”, diz Daniel Clayton, vice-presidente de Serviços Globais de Segurança Cibernética da Bitdefender. “Em dois anos, ouviremos sobre grandes violações e, posteriormente, saberemos que foram violadas há dois anos”.

Com informações de The Verge