Uma perigosa vulnerabilidade de segurança identificada na biblioteca de log Java Log4j expôs grandes áreas da Internet a agentes mal-intencionados.
Dia zero exploits são os piores possíveis, especialmente quando são identificados em softwares tão onipresentes quanto a biblioteca de log Log4j do Apache. Uma exploração de prova de conceito foi compartilhada online e expõe todos a possíveis ataques de execução remota de código (RCE) e afetou alguns dos maiores serviços da web. A exploração foi identificada como “sendo explorada ativamente” e é uma das explorações mais perigosas a ser tornada pública nos últimos anos.
Log4j é um popular pacote de log baseado em Java desenvolvido pela Apache Software Foundation e CVE-2021-44228 afeta todas as versões do Log4j entre a versão 2.0-beta-9 e a versão 2.14.1. Ele foi corrigido na versão mais recente da biblioteca, versão 2.15.0, lançado há poucos dias. Muitos serviços e aplicativos dependem do Log4j, incluindo jogos como o Minecraft, onde a vulnerabilidade foi descoberta pela primeira vez. Serviços em nuvem como Steam e Apple iCloud também foram considerados vulneráveis, e é provável que qualquer pessoa que use o Apache Struts também o seja. Até mesmo a mudança do nome de um iPhone desencadeou a vulnerabilidade nos servidores da Apple.
Esta vulnerabilidade foi descoberto por Chen Zhaojun da equipe de segurança em nuvem do Alibaba. Qualquer serviço que registre strings controladas pelo usuário estava vulnerável à exploração. O registro de strings controladas pelo usuário é uma prática comum dos administradores de sistema, a fim de detectar possíveis abusos da plataforma, embora esses strings devem então ser "higienizadas" - o processo de limpeza da entrada do usuário para garantir que não haja nada prejudicial ao software que está sendo submetido.
Log4Shell rivaliza com Heartbleed em sua gravidade
A exploração foi apelidada de “Log4Shell”, pois é uma vulnerabilidade RCE não autenticada que permite o controle total do sistema. Já existe um exploração de prova de conceito on-line, e é ridiculamente fácil demonstrar que funciona através do uso de software de registro de DNS. Se você se lembra do Sangramento cardíaco vulnerabilidade de alguns anos atrás, o Log4Shell definitivamente dá uma chance ao seu dinheiro quando se trata de gravidade.
"Da mesma forma que outras vulnerabilidades de alto perfil, como Heartbleed e Shellshock, acreditamos que há será um número crescente de produtos vulneráveis descobertos nas próximas semanas", disse o Randori Attack Equipe disse em seu blog hoje. “Devido à facilidade de exploração e à amplitude de aplicabilidade, suspeitamos que os agentes de ransomware comecem a aproveitar esta vulnerabilidade imediatamente”, acrescentaram. Atores maliciosos já estão escaneando em massa a web para tentar encontrar servidores para explorar (via Computador bipando).
“Muitos, muitos serviços estão vulneráveis a esta exploração. Serviços em nuvem como Steam, Apple iCloud e aplicativos como Minecraft já foram considerados vulneráveis", disse LunaSec. escreveu. "Qualquer pessoa que use o Apache Struts provavelmente estará vulnerável. Já vimos vulnerabilidades semelhantes exploradas antes em violações como a violação de dados Equifax de 2017." LunaSec também disse que as versões Java maiores que 6u211, 7u201, 8u191 e 11.0.1 são menos afetados em teoria, embora os hackers ainda possam contornar o limitações.
A vulnerabilidade pode ser desencadeada por algo tão mundano quanto o nome de um iPhone, demonstrando que o Log4j realmente está em toda parte. Se uma classe Java for anexada ao final da URL, essa classe será injetada no processo do servidor. Os administradores de sistema com versões recentes do Log4j podem executar sua JVM com o seguinte argumento para também impedir que a vulnerabilidade seja explorada, desde que eles estão pelo menos no Log4j 2.10.
-Dlog4j2.formatMsgNoLookups=trueCERT NZ (Equipe Nacional de Resposta a Emergências de Computadores da Nova Zelândia) emitiu um alerta de segurança sobre exploração ativa na natureza, e isso também foi confirmado por Diretor de Engenharia da Coligação – Segurança Tiago Henriques e especialista em segurança Kevin Beaumont. A vulnerabilidade também foi considerada tão perigosa pela Cloudflare que todos os clientes recebem “alguma” proteção por padrão.
Esta é uma exploração incrivelmente perigosa e que pode causar estragos online. Estaremos de olho no que acontece a seguir.