(Tempo de Leitura: 12 min.)

(Atualizado em 19 de Dezembro de 2021)

Vulnerabilidades críticas em uma ferramenta de software amplamente utilizada – quase imediatamente explorada no jogo online Minecraft – estão emergindo rapidamente como uma grande ameaça para organizações em todo o mundo. Isso ocorreu pois, no final de Novembro, pesquisadores relataram a descoberta de uma falha noApache Log4j, ferramenta presente em uma infinidade de sistemas, que permite execução remota de código e tem nível de gravidade CVSS 10 de 10, forçando especialistas em segurança cibernética a corrigir sistemas imediatamente para impedir o uso desta vulnerabilidade por hackers. Na terça-feira, dia 14 de Dezembro, a vulnerabilidadeCVE-2021-44228 foi complementada pela CVE-2021-45046, informando que a cobertura da solução inicialmente proposta para a falha no Apache Log4j 2.15.0 era incompleta em determinados ambientes fora do padrão e, no dia 18 de Dezembro, as duas foram complementadas pelo CVE-2021-45105, após a descoberta de uma brecha que possibilitaria um ataque do tipo DDoS (Distributed Denial of Service). Até o momento, a recomendação é que todas as instalações do Log4j sejam atualizadas para a versão 2.17.0 e especula-se que novas vulnerabilidades conhecidas (CVEs) sejam publicadas em breve.

A vulnerabilidade de execução de código remoto da Apache Log4j é a maior e mais crítica da última década

Amit Yoran, presidente-executivo da Tenable

Resumo

Vulnerabilidade críticas que impactam uma das mais populares bibliotecas de criação de log Java de código aberto, Apache Log4j 2, foram descobertas. Denominado “Log4Shell” ou “LogJam”, o ataque que explora tais vulnerabilidades é um exploit da classe Remote Code Execution (RCE). Nesses casos, as vulnerabilidades permitem a execução remota de código não autenticado, em que um invasor pode executar comandos em uma máquina remota pela LAN, WAN ou Internet. Neste tipo de ataque, caso os invasores consigam explorar tais vulnerabilidades em um dos servidores afetados, eles podem ganham a capacidade de executar código arbitrário e, potencialmente, assumir o controle total do sistema.

O que torna o CVE-2021-44228, o CVE-2021-45046 e o CVE-2021-45105 especialmente perigosos é a facilidade de exploração: até mesmo um hacker inexperiente pode executar um ataque com sucesso explorando a vulnerabilidade no Log4j coberta por estes CVEs. De acordo com os pesquisadores, os invasores precisam apenas forçar o aplicativo a gravar apenas uma string no log e, depois disso, podem carregar seu próprio código no aplicativo devido à função de substituição de pesquisa de mensagem.

Os sistemas e serviços que usam a biblioteca de registro Java, Apache Log4j 2 entre as versões 2.0 e 2.16, são todos afetados. Com sua adoção generalizada, muitos aplicativos de terceiros são provavelmente vulneráveis, revelando uma vasta superfície de ataque. Em geral, o uso dessa biblioteca é uma das maneiras mais fáceis de registrar mudanças e erros em softwares, e é por isso que a maioria dos desenvolvedores Java a utiliza, fazendo da biblioteca um componente utilizado por milhões de aplicações Java ao redor do mundo para registrar mensagens de erro e atualizações.

Ferramentas como o GAT Security Score já estão habilitados para rastrear domínios em busca das vulnerabilidades que permitem esse tipo de ataque, mas administradores de sistema precisam agir rápido, para evitar que um agente malicioso detecte esta vulnerabilidade em primeiro lugar.

O Que Aconteceu

Diversos veículos de notícias de Segurança da Informação ainda estão correndo atrás das informações para relatar a evoliução da descoberta das vulnerabilidades críticas CVE-2021-44228, CVE-2021-45046 e CVE-2021-45105, relacionadas à biblioteca Log4j, parte do Apache Logging Project, projeto da Apache Software Foundation, fundação sem fins lucrativos formada por especialistas em segurança de computadores e responsável pelo desenvolvimento do Log4j.

“A internet está pegando fogo agora”, disse Adam Meyers, vice-presidente sênior de inteligência da empresa de segurança cibernética Crowdstrike. “As pessoas estão lutando para consertar”, disse ele, “e todos os tipos de pessoas estão lutando para explorá-lo”. Ele disse na manhã de sexta-feira que, nas 12 horas desde a descoberta da existência do bug, foi divulgado que ele já havia sido “totalmente armado”, o que significa que malfeitores experientes rapidamente desenvolveram e distribuíram ferramentas para explorá-lo em ataques do tipo “Zero-Day Exploit”, entre outros.

Com inúmeros invasores explorando ativamente estas vulnerabilidades, a Apache Foundation recomendou que todos os desenvolvedores e usuários do Java 8 ou posterior atualizassem suas bibliotecas para a versão 2.16.0. e que, se isso não for possível, que utilizem um dos métodos descritos na página Apache Log4j Security Vulnerabilities.

Até agora, nenhum grande incidente foi reportado publicamente como resultado da vulnerabilidade “Log4Shell”, mas pesquisadores de segurança estão vendo um crescimento alarmante na atividade de grupos de hackers que estão tentando se aproveitar do problema para espionagem. O que muitos dos especialistas temem agora é que a falha possa ser usada para transmissão de malware que destrua ou sequestre dados, como ocorreu com a empresa de oleoduto norte-americana Colonial Pipeline em maio, o que levou a problemas de falta de gasolina em algumas regiões dos EUA.

A Apache afirmou, em comunicado, que o problema foi revelado publicamente pela primeira vez por Chen Zhaojun, um pesquisador de segurança do “Alibaba Cloud Security Team”, área da companhia chinesa de tecnologia e comércio eletrônico Alibaba Group Holding. No final de novembro, a gigante chinesa havia relatado a vulnerabilidade à Apache Software Foundation, levando à atualização publicada na última semana. Em um ranking, a organização categorizou a vulnerabilidade com a nota de ameaça mais alta, indicando a imediata aplicação de atualizações e a rápida tomada de medidas de defesa.

Cerca de um mês depois do primeiro incidente, a Apache Software Foundation (ASF) lançou uma nova correção para o utilitário de registro Log4j depois que o patch anterior para o exploit “Log4Shell” foi considerado como “incompleto em certas configurações fora do padrão.” A segunda vulnerabilidade – denominada CVE-2021-45046 – é classificada como 3,7 de um máximo de 10 no sistema de classificação CVSS, mas afeta todas as versões do Log4j de 2.0-beta9 a 2.12.1 e 2.13.0 a 2.15.0.

Apenas alguns dias mais tarde, foi publicado o CVE-2021-45105, com score CVSS de 7,5, após a descoberta de uma brecha que permitiria a um atacante causar recursão infinita no processo de resolução (lookup), possibilitando um ataque direcionado do tipo DDoS (Distributed Denial of Service) em todos os sistemas que utilizassem qualquer versão até a 2.16.0.

O Que é “Log4Shell”

O “Log4Shell”, também denominado “LogJam”, é uma exploração de vulnerabilidade, da classe “Remote Code Execution” (RCE), em uma falha crítica presente em uma ferramenta de software amplamente utilizada, a biblioteca Log4j do Apache. A falha pode ser a pior vulnerabilidade descoberta em anos e foi identificada justamente em um utilitário onipresente em servidores em nuvem e software corporativo usado na indústria e no governo.

A Log4j é uma biblioteca que ajuda produtores de software a acompanharem mudanças nas aplicações que criam. É tão popular e tão incorporada em programas de diversas companhias que especialistas em segurança afirmam que estão prevendo um aproveitamento desenfreado da vulnerabilidade pelos hackers. O software afetado pela Log4j pode ser desconhecido do grande público, mas faz parte de um número incomensurável de aplicações ao redor do mundo.

Porque o Log4Shell é Perigoso

O que torna o “Log4Shell” especialmente perigoso é a facilidade de exploração: até mesmo um hacker inexperiente pode executar um ataque com sucesso usando esta vulnerabilidade. De acordo com os pesquisadores, os invasores precisam apenas forçar o aplicativo a gravar apenas uma string no log e, depois disso, podem carregar seu próprio código no aplicativo devido à função de substituição de pesquisa de mensagem.

Se os invasores conseguirem explorar a falha da biblioteca em um dos servidores, podem ganhar a capacidade de executar código arbitrário de forma remota e, potencialmente, assumir o controle total do sistema. A menos que seja consertada, a falha concede a criminosos, espiões e até novatos em programação, fácil acesso a um número enorme de redes internas, onde poderão saquear dados valiosos, plantar malware, apagar informações cruciais e muito mais.

Provas de conceito (PoC) para os ataques via CVE-2021-44228 já estão disponíveis na Internet, portanto não surpreende saber que diversas empresas de segurança cibernética e gigantes da tecnologia já estejam registrando na Internet enormes varreduras de rede para aplicativos vulneráveis, bem como ataques a honeypots.

Como Funciona

Na prática, o “Log4Shell” explora uma falha na biblioteca Log4j que permite a um agente malicioso inserir código ativo no processo de registro. Este código manda o servidor que armazena o software executar um comando, dando controle da máquina ao cibercriminoso. Uma vez no controle, é possível executar comandos como se estivesse em frente ao computador, tornando autenticações e controles de acesso físico totalmente inúteis.

A vulnerabilidade permite a execução remota de código não autenticado e é disparada quando uma string especialmente criada, fornecida pelo invasor por meio de uma variedade de vetores de entrada diferentes, é analisada e processada pelo componente vulnerável Log4j 2.

Um invasor executa uma solicitação HTTP contra um sistema de destino que, por sua vez, gera um log usando o Log4j 2 que aproveita o JNDI para realizar uma solicitação ao site controlado pelo invasor. A vulnerabilidade, então, faz com que o processo explorado chegue ao site e execute os comandos. Em muitos ataques observados, o parâmetro de propriedade do invasor é um sistema de registro DNS, destinado a registrar uma solicitação no site para obter a impressão digital dos sistemas vulneráveis.

Os recursos JNDI usados ​​na configuração, mensagens de log e parâmetros não protegem contra o LDAP controlado pelo invasor e outros terminais relacionados ao JNDI. Um invasor que pode controlar mensagens de log ou parâmetros de mensagem de log pode executar código arbitrário carregado de servidores LDAP quando a substituição de pesquisa de mensagem está habilitada. A partir do log4j 2.15.0, esse comportamento foi desabilitado por padrão. Em versões anteriores (> 2.10), esse comportamento pode ser atenuado definindo a propriedade do sistema “log4j2.formatMsgNoLookups” como & # 8220; true & # 8221; ou pode ser atenuado em versões anteriores (<2.10) removendo a classe JndiLookup do classpath (exemplo: zip -q -d log4j-core – *. jar org / apache / logging / log4j / core / lookup / JndiLookup.class )

The MITRE Corporation

Quem é Afetado

Tecnicamente, a maior parte da Internet corre o risco de sofrer com esta vulnerabilidade, que está sendo chamada por alguns da maior das últimas décadas. Inúmeros servidores que rodam serviços essenciais e outros tantos que fazem parte de nossas vidas diárias são possíveis alvos, uma vez que a vulnerabilidade seja encontrada por alguma gente malicioso.

A recomendação a todos, sejam administradores de rede e usuários comuns, é a aplicação urgente de atualizações. Isso vale, principalmente, para empresas de que tenham infraestruturas conectadas à internet comum, mas também para quem utiliza plataformas de cloud computing e conexão. E, como sempre quando se fala em vulnerabilidades de alto risco, o ideal é que tais processos sejam feitos o mais rapidamente possível.

Servidores Apache

Os servidores são as máquinas responsáveis por fornecer as informações dos sites e serviços que acessamos pela Internet, ou seja, são os computadores e sistemas que armazenam as informações acessadas sempre que o usuário faz uma requisição por meio de navegadores e serviços online. Muitos destes computadores rodam o sistema Apache que, por sua vez, geralmente inclui uma biblioteca de recursos chamada Log4j, utilizada para a troca de mensagens, cujo objetivo é ajudar produtores de software a acompanharem as mudanças nas aplicações que criam.

Extremamente competente e versátil, o Apache é um software que tem código aberto e distribuição gratuita (open-source), sendo utilizado pelos meios corporativo, educacional e governamental. Ele é muito popular entre os desenvolvedores web e tornou-se um dos mais utilizados em todo o mundo. O Apache está em funcionamento desde 1995, e seu prestígio fez o software abocanhar boa parte de seu mercado, sendo utilizado por Airbnb, eBay, Netflix, Cisco e outras gigantes da tecnologia. Além de sistemas operacionais dedicados, os servidores utilizam softwares que fazem a interface entre o servidor e o usuário, e é exatamente para essa finalidade que o software Apache foi desenvolvido.

Serviços

Diversos serviços populares como TwitterSteamApple iCloud e Minecraft estão vulneráveis a ataques utilizando o exploit “Log4Shell”, que afeta a ferramenta de registro de código aberto Log4j. Muitas grandes empresas de software e serviços online usam a biblioteca Log4j, incluindo Cisco, Cloudflare, ElasticSearch, Red Hat e diversas outras. Devido ao fato da biblioteca ser tão popular, alguns pesquisadores de segurança da informação esperam um aumento significativo nos ataques a servidores vulneráveis ​​nos próximos dias. Gigantes como Apple, Amazon e outras afetadas já estão trabalhando para corrigir a falha de segurança e, até o momento, Twitter, Steam, TencentNetEaseElastic Baidu também já reconheceram ter identificado a vulnerabilidade em seus servidores. No entanto, milhares de empresas e serviços menores devem estar nessa lista sem nem saber.

Porta de Entrada

Cibercriminosos procuram servidores vulneráveis

Agências de monitoramento e de segurança de dados já identificaram pelo menos 100 domínios distintos que estão buscando ativamente servidores vulneráveis a ataques via Log4j.

De acordo com relatório de segurança da Microsoft, a maior parte das atividades registradas até agora com o “Log4Shell” envolvem a busca por plataformas desprotegidas, o que indica uma possível preparação para ataque, com alguns casos de efetiva exploração.

Por tratar-se de uma ferramenta de código aberto, o Log4j é extremamente útil não apenas para as grandes empresas afetadas, mas principalmente desenvolvedores pequenos que buscam soluções eficientes e acessíveis, o que faz dela uma biblioteca presente em um número quase inimaginável de sistemas.

Quais versões do Log4j são vulneráveis?

Quase todas as versões do Log4j são vulneráveis, desde a versão 2.0-beta9 até a versão 2.16.0. O método de proteção mais simples e eficaz é instalar a versão mais recente da biblioteca, 2.16.0 e você pode baixá-la na página do projeto.

Se, por algum motivo, não for possível atualizar a biblioteca, a Apache Software Foundation recomenda o uso de um dos seguintes métodos de mitigação:

  • No caso das versões Log4J de 2.10 a 2.14.1, aconselham definir a propriedade de sistema log4j2.formatMsgNoLookups ou definir a variável de ambiente LOG4J_FORMAT_MSG_NO_LOOKUPS como true.
  • Para proteger as versões anteriores do Log4j (de 2.0-beta9 a 2.10.0), os desenvolvedores da biblioteca recomendam remover a classe JndiLookup do caminho de classe: zip -q -d log4j-core – *. Jar org / apache / logging / log4j / core / lookup / JndiLookup .class.

Além disso, recomendam instalar soluções de segurança em seus servidores. Em muitos casos, isso pode permitir a detecção do lançamento de um código malicioso, interrompendo o desenvolvimento do ataque.

Níveis de Impacto de Segurança

A equipe de segurança do Apache Log4j avalia o impacto de cada falha de segurança que afeta o Log4j e determinou uma escala de classificação cujo objetivo é responder à pergunta: “Até que ponto devo ficar preocupado com essa vulnerabilidade?”.

A classificação escolhida para cada falha é o pior caso possível em todas as arquiteturas e, para determinarem o impacto exato de uma vulnerabilidade específica em seus sistemas, é recomendado aos administradores ler os avisos de segurança para saber mais sobre a falha.

As seguintes descrições para decidir sobre a classificação de impacto para dar a cada vulnerabilidade:

Crítico

Uma vulnerabilidade classificada com um impacto Crítico é aquela que pode ser potencialmente explorada por um invasor remoto para fazer o Log4j executar código arbitrário (como o usuário com o qual o servidor está sendo executado ou como usuário root). Esses são os tipos de vulnerabilidades que podem ser exploradas automaticamente por worms.

Importante

Uma vulnerabilidade classificada como impacto importante é aquela que pode resultar no comprometimento dos dados ou na disponibilidade do servidor. Para o Log4j, isso inclui problemas que permitem uma negação de serviço remota fácil (algo que é desproporcional ao ataque ou com uma consequência duradoura), acesso a arquivos arbitrários fora da raiz de contexto ou acesso a arquivos que deveriam ser evitados de outra forma por limites ou autenticação.

Moderado

Uma vulnerabilidade provavelmente será classificada como Moderada se houver uma atenuação significativa para tornar o problema menos impactante. Isso pode ocorrer porque a falha não afeta configurações prováveis ​​ou é uma configuração que não é amplamente usada.

Baixo

Todas as outras falhas de segurança são classificadas como de baixo impacto. Esta classificação é usada para problemas que costumam ser extremamente difíceis de explorar, ou onde um exploit oferece consequências mínimas.

Como Prevenir

Uma vez que a falha tenha sido identificada, torna-se mais fácil, para os administradores de sistemas, a organização dos passos a seguir para realizar as correções necessárias.

Você pode testar se o seu servidor está vulnerável ou não. Se a versão identificada estiver entre a 2.0 e a 2.16, então sua rede tem a falha que permite a exploração e está vulnerável à ameaça do “Log4Shell”. Neste caso você deve atualizar a versão do Log4j para a 2.17.0 É possível verificar a exposição testando a versão do log4j em seu servidor, acessando-o e inserindo o comando:

sudo find / -name ‘log4j*’

Empresas como Microsoft já divulgaram guias de prevenção e mitigação de falhas ligadas à vulnerabilidade presente no Loj4j mas, apesar de soluções para a vulnerabilidade já terem sido divulgadas pela Apache afirma que será necessário um certo tempo para localizar o programa defeituoso e implementar as soluções em todos os sistemas afetados. O processo não é tão simples como atualizar um software por exemplo, pois a atualização não poder ser instalada automaticamente, como acontece em programas tradicionais. Isso significa que cada administrador deverá identificar a falha e realizar o processo em seu próprio sistema. 

O caráter de código aberto da ferramenta de registro vulnerável também significa que diferentes aplicações podem exigir atualizações específicas, o que aumenta ainda mais o tempo necessário para mitigação e, com isso, o perigo. Como um dos primeiros a ter a exploração detectadas, Minecraft também já tem atualização disponível, com a recomendação da Microsoft sendo o uso, apenas, da edição mais recente do título.

Detecção de vulnerabilidades com o GAT Security Score

Diversas vulnerabilidades identificadas (CVEs), inclusive as que permitem ataques como o “Log4Shell”, podem ser identificadas gratuitamente utilizando o crédito do primeiro acesso ao GAT Security Score. A plataforma coleta dados disponíveis publicamente na Internet (de forma não intrusiva) para dar uma perspectiva externa da postura de Segurança da Informação nas empresas, entregando um resumo daquilo que um agente malicioso teria visão, e eventual acesso, a partir da Internet pública. Os dados são classificados em diferentes fatores de risco que, juntos, formam a base para o cálculo da pontuação de segurança. O processo é simples, automático e intuitivo:

  1. Preencha o formulário com seus dados
  2. Confira a mensagem que enviaremos em sua caixa de entrada e confirme o cadastro no sistema
  3. Aguarde enquanto nossos algoritmos calculam o score de segurança de seu domínio
  4. Verifique os apontamentos identificados no snapshot

Prevenção do Log4Shell com o Nessus

As vulnerabilidades ligadas ao Log4Shell também podem ser identificadas em soluções pagas de varredura como o Tenable Nessus, por meio da utilização de plugins, como foi reportado pela própria fabricante. O produto é compatível com a plataforma de gestão integrada de Segurança da Informação e conformidade GAT Core, onde é possível criar uma rotina de automação para a varredura de sistemas ativos que podem estar expostos a esta vulnerabilidade.

Mitigação com Plataformas Integradas

Como você deve imaginar, não é fácil controlar todos os processos e informações ligados à gestão de novas ameaças a cada dia. Afinal, estamos falando de processos pontuais e dinâmicos que não favorecem a rastreabilidade, definição de workflows e mesmo follow-ups da equipe. Muitas equipes tentam realizar um gerenciamento manual ou utilizando planilhas como controle, o que permite um grande número de falhas e falta de rastreabilidade. Por isso, a melhor solução para gerenciar seu projeto é utilizar uma plataforma de gestão integrada de Segurança da Informação e conformidade como o GAT Core

Por meio de integrações nativas, é possível importar informações vindas das principais ferramentas de varredura disponíveis no mercado, garantindo o preparo de sua organização contra ameaças em constante evolução, bem como garantindo a consistência, automação e orquestração eficiente de dados, com métricas de evolução, economia de tempo e precisão.

Além da integração com o Nessus, o GAT Core já inclui checklists de conformidade em cibersegurança e proteção de dados como CIS Controls V8NISTOWASP ASVSISO 27701LGPD e outros, facilitando os processos e gerando economia significativa de custos. Para entender como funciona, solicite uma demonstração para obter uma visão integrada da gestão dos processos de conformidade.

Esteja à frente das ameaças. Agilize o processo de adequação e centralize todas as tarefas do seu Programa de Segurança no mesmo sistema — um avanço e tanto em relação às planilhas.

Fonte: Associated Press /Microsoft

Você também pode curtir isso:

Av. Angélica, 2582 – 2° Andar
Bela Vista – São Paulo/SP
CEP 01228-200
+55 (11) 4395-1322
contato@gatinfosec.com

Siga-Nos

×