Log4shell: Por que a vulnerabilidade Log4j tem sido um problema por anos

Log4shell: Por que a vulnerabilidade Log4j tem sido um problema por anos

Não pareceu muito empolgante no início: uma falha de segurança foi encontrada na biblioteca de registro de software livre do Apache Log4j. Após as investigações iniciais, no entanto, um grande entusiasmo rapidamente se espalhou entre administradores de sistema e especialistas em segurança. No sábado, o Escritório Federal Alemão de Segurança da Informação BSI classificou a vulnerabilidade no nível de aviso mais alto possível.

O problema: a vulnerabilidade conhecida como Log4shell torna vulneráveis ​​alguns dos aplicativos e serviços mais populares do mundo. Os ataques são muito fáceis de realizar e o Log4j é usado em milhões de servidores, às vezes como uma dependência pura. Muitos operadores, portanto, nem saberão que seus sistemas também estão usando Log4j. Muitos só saberão disso quando já forem vítimas.



Os ataques aumentaram massivamente – com sucesso

Foi apenas na terça-feira que pesquisadores de segurança apresentaram como é fácil atacar servidores Apple e Tesla. Eles apenas mudaram os nomes de um iPhone e de um Tesla e usaram uma string de exploração em vez de um nome descritivo. Isso funcionou, mas inicialmente não permite que outras conclusões sejam tiradas sobre o quão vulnerável um sistema realmente é.

Pesquisadores de Cisco e Cloudflare descobriram desde então que os hackers têm explorado o bug desde o início do mês. No entanto, o número de ataques aumentou dramaticamente desde que a vulnerabilidade foi publicada na quinta-feira. Como a Microsoft em um relatório recente escreve, dizem que os invasores já exploraram a vulnerabilidade para instalar crypto miners em sistemas vulneráveis, roubar credenciais do sistema, penetrar mais profundamente em redes comprometidas e roubar dados. A plataforma forense digital Cado relatadopara descobrir servidores que tentam explorar a vulnerabilidade Log4j para instalar o código do botnet Mirai.

Quase terminado!

Clique no link do e-mail de confirmação para concluir o seu registro.

Você gostaria de mais informações sobre a newsletter? Saiba mais agora

Os invasores em potencial têm um alvo amplo porque as estruturas de registro como Log4j são praticamente onipresentes. Eles são usados ​​sempre que houver necessidade de acompanhar o que está acontecendo em um aplicativo específico – em outras palavras, em todos os lugares.



Log4shell é tão fácil de usar

Para explorar a brecha chamada Log4shell, um invasor precisa apenas enganar o sistema para que aceite uma string de código criada estrategicamente. Isso pode ser usado para codificar URLs, por exemplo, que levam a servidores maliciosos, a partir dos quais o malware pode ser instalado posteriormente. O contrabando é muito fácil. Basta um iPhone rebatizado, assim como o envio de SMS para os servidores de uma operadora de rede celular, como ela The Verge tentei recentemente. Também deve funcionar para enviar o código de exploração em um e-mail ou defini-lo como um nome de usuário para uma conta.

Poucos dias depois que as vulnerabilidades foram conhecidas, praticamente todas as grandes empresas de tecnologia, como Amazon Web Services, Microsoft, Cisco, Google Cloud e IBM declararam que foram pelo menos parcialmente afetadas pela vulnerabilidade. Existem agora várias atualizações que foram implementadas de imediato pelas grandes empresas – onde o problema já era conhecido.



É improvável que muitos operadores de servidor estejam cientes da lacuna

Os especialistas em segurança veem um perigo na lacuna, especialmente no futuro. Atores mal-intencionados podem construir portas traseiras nos sistemas afetados para controlá-los posteriormente. Essas aquisições não aconteceriam meses depois se não estivessem mais associadas à brecha.

Uma corrida entre hackers e administradores pode ser observada atualmente, explica Rüdiger Trost, da empresa de segurança de TI F-Secure. Ambos os lados procurariam servidores vulneráveis ​​com varreduras em massa automatizadas. Ainda não está claro até que ponto o problema está realmente disseminado. Portanto, a parte mais difícil é rastrear todos os dispositivos que podem ser afetados.

Muitas – senão a maioria – das empresas, entretanto, não mantêm registros claros de todos os produtos de software que usam e dos componentes de software neles integrados. O British National Cyber ​​Security Center enfatizou em conformidade na segunda-feiraque, além de corrigir os suspeitos usuais, as empresas devem “descobrir instâncias desconhecidas do Log4j”. Organizações com departamentos de TI menores ou software houses menores que podem não ter recursos ou consciência do problema podem enfrentar a ameaça Log4shell mais lentamente.

A vulnerabilidade já está sendo usada por um “número crescente de atores de ameaças”, alerta Jen Easterly, diretora da agência de segurança norte-americana CISA (Cybersecurity and Infrastructure Security Agency). Em conference call com operadores de infraestruturas críticas, acrescentou esta segunda-feira que a vulnerabilidade é “uma das mais graves que já vi em toda a minha carreira, senão a mais grave”. Que relata Cyberscoop.



Previna ataques de curto prazo primeiro, depois olhe para longo prazo

Mesmo que os riscos de longo prazo certamente tenham um alto potencial de ameaça, os operadores de servidor devem inicialmente limitar-se aos efeitos de curto prazo. Os invasores agora estão procurando ativamente por vulnerabilidades óbvias. Isso deve ser eliminado o mais rápido possível. Podemos lidar com as sutilezas mais tarde.

“Se você tem um servidor com acesso à Internet que é vulnerável ao Log4shell e que ainda não corrigiu, é quase certo que terá de lidar com um incidente”, disse o ex-hacker da NSA Jake Williams Com fio. “Os atores da ameaça exploraram rapidamente esta vulnerabilidade”. Williams, portanto, recomenda expressamente a correção rápida, sem um teste prévio detalhado de compatibilidade. Segurança sobre funcionalidade, pode-se dizer.

O pesquisador Marcus Hutchins, que encontrou um kill switch para o infame worm Wannacry em 2017, acredita que os temores de que alguém possa programar um worm para explorar a vulnerabilidade Log4shell de forma particularmente eficaz são pelo menos improváveis. “Embora seja sempre uma possibilidade, os worms para esse tipo de exploração são raros porque o esforço de desenvolvimento geralmente excede o benefício percebido”, diz Hutchins. “É muito mais fácil tentar explorar a partir de um servidor herdado do que desenvolver código que se autopropaga. Além disso, geralmente é uma corrida para explorar o máximo de sistemas possível antes que eles sejam corrigidos ou explorados por outros, então não faz sentido perder tempo para desenvolver um worm. “



Estes são os efeitos positivos do Log4shell

Portanto, Log4shell provavelmente ficará conosco por muitos anos. Se a lacuna tiver um efeito positivo, é que a abordagem de implementação de listas de materiais de software (SBOM) recebe um novo ímpeto. Este é um inventário restrito que visa facilitar o inventário dos componentes usados ​​por um lado e o cumprimento das medidas de segurança na cadeia de suprimentos de software, por outro.

Da mesma forma, a lacuna do Log4j deve trazer a discussão sobre se as ferramentas importantes para o sistema só devem ser cuidadas por desenvolvedores interessados ​​após o trabalho, o que na melhor das hipóteses levará a mudanças.

Você pode estar interessado nisso também

Total
0
Shares
Previous Post
uber-eats-realiza-su-primer-entrega-al-espacio-aqui-los-detalles

O Uber Eats faz sua primeira entrega no espaço: Aqui estão os detalhes

Next Post
google-despedira-a-empleados-que-no-se-vacunen-contra-covid-19

O Google irá demitir funcionários que não forem vacinados contra COVID-19

Related Posts