Qual é a vulnerabilidade do Log4j?

Qual é a vulnerabilidade do Log4j?

A vulnerabilidade Log4j, também conhecida como Log4Shell, é uma vulnerabilidade crítica descoberta na biblioteca de registro Apache Log4j em novembro de 2021. O Log4Shell essencialmente concede aos hackers controle total dos dispositivos que executam versões não corrigidas do Log4j.

Agentes maliciosos podem usar a falha do Log4j para executar quase qualquer código que desejarem em sistemas vulneráveis.

Os pesquisadores consideram o Log4Shell uma vulnerabilidade de segurança "catastrófica" porque é tão disseminada. O Log4J é um dos programas de código aberto mais amplamente implementados no mundo e muito fácil de usar. Jen Easterly, Diretora da US Cybersecurity and infrastructure Security Agency (CISA), o chamou de "uma das mais sérias que vi em toda a minha carreira, senão a mais séria".

O Log4Shell impulsionou uma onda de ataques cibernéticos em dezembro de 2021. O X-Force Threat Intelligence Index anual de IBM registrou um aumento de 34% na exploração de vulnerabilidades entre 2020 e 2021, atribuído principalmente ao Log4Shell.

O Log4Shell foi corrigido pouco depois de sua descoberta, mas continuará a representar um risco por anos, porque o Log4J está profundamente integrado à cadeia de suprimentos de software. O US Department of Homeland Security estima que leva pelo menos uma década para encontrar e corrigir cada instância vulnerável.

Boletim informativo Think

Sua equipe apanharia o próximo dia zero a tempo?

Junte-se aos líderes de segurança que confiam no boletim informativo Think para receber notícias selecionadas sobre IA, cibersegurança, dados e automação. Aprenda rápido com tutoriais e explicações de especialistas, entregues diretamente em sua caixa de entrada. Consulte a Declaração de privacidade da IBM.

Sua assinatura será entregue em inglês. Você pode encontrar um link para cancelar a assinatura em todos os boletins informativos. Você pode gerenciar suas assinaturas ou cancelar a assinatura aqui. Consulte nossa Declaração de privacidade da IBM para obter mais informações.

https://www.ibm.com/br-pt/privacy

O que é Log4J?

Log4j é uma estrutura de registro desenvolvida pela Apache Software Foundation. Como o nome sugere, Log4J é um registrador. Registra informações importantes, como mensagens de erro e entradas de usuário em um programa.

Log4J é uma biblioteca de software de código aberto, um pacote de código pré-escrito que os desenvolvedores podem usar livremente. Em vez de escrever seus próprios loggers, os desenvolvedores podem conectar a biblioteca Log4J em seus aplicativos. Essa conveniência é a razão pela qual Log4J é tão difundido, embutido em produtos de grandes organizações como Microsoft e Amazon, para citar alguns.

Como os hackers usam o Log4Shell

O Log4Shell, identificador Common Vulnerability and Exposure (CVE), CVE-2021-44228, é uma vulnerabilidade de execução remota de código (RCE) presente em algumas versões do Log4J. A falha afeta o Apache Log4J 2, versões 2.14.1 e anteriores. O Log4J 2.15 e posteriores, e todas as versões do Apache Log4J 1, não são afetados.

O Log4Shell surge de como versões mais antigas do Log4J 2 lidam com pesquisas de Java Naming and Directory Interface (JNDI). O JNDI é uma interface de programação de aplicativos (API) que as aplicações Java usam para acessar recursos hospedados em servidores externos. Uma pesquisa JNDI é um comando que diz ao aplicativo para ir a um servidor e baixar um objeto específico, como um dado ou um script. Versões mais antigas do Log4j 2 executam automaticamente qualquer código baixado dessa maneira.

Os utilizadores podem enviar procuras JNDI para versões vulneráveis do Log4J ao incluí-las em mensagens de registo.Fazer isso é simples. Por exemplo, em versões mais antigas do Minecraft Java Edition, que utilizam o Log4J para registrar mensagens de usuário, um usuário pode digitar a pesquisa JNDI na janela de chat público.

Hackers podem usar essa funcionalidade JNDI para executar código malicioso arbitrário remotamente. Primeiro, o hacker configura um servidor que usa um protocolo comum, como Lightweight Directory Access Protocol (LDAP), para evitar chamar a atenção. Em seguida, ele armazena uma carga maliciosa nesse servidor, como um arquivo de malware. Finalmente, envia uma pesquisa JNDI para um programa, dizendo-lhe para acessar o servidor LDAP do atacante, baixar a carga e executar o código.

O impacto do Log4Shell

Os pesquisadores de segurança da gigante da tecnologia Alibaba descobriram a Log4Shell em 24 de novembro de 2021. Ele recebeu imediatamente a pontuação mais alta possível do Common Vulnerability Scoring System (CVSS): 10 de 10. Alguns fatores contribuíram para essa classificação.

  • O Log4Shell foi uma vulnerabilidade de dia zero, o que significa que não havia um patch disponível quando foi descoberta. Agentes de ameaças podem usar o Log4Shell enquanto o Apache está trabalhando em uma correção.

  • O Log4J é também uma das bibliotecas de registro mais amplamente usadas, integrada a endpoints de consumidores, aplicações da web e serviços de nuvem empresarial. De acordo com a Wiz e a EY, 93% de todos os ambientes de nuvem estavam em risco quando o Log4Shell foi descoberto.

  • As empresas nem sempre podem dizer imediatamente se são vulneráveis. O Log4J frequentemente está presente em redes como uma dependência indireta, o que significa que os ativos da empresa podem não utilizar o Log4J, mas dependem de outras aplicações e serviços que o fazem.

  • Finalmente, Log4Shell é fácil de usar. Hackers não precisam de permissões especiais ou autenticação. Eles podem causar estragos digitando comandos maliciosos em formulários públicos como caixas de bate-papo e páginas de login. E como Log4J pode se comunicar com outros serviços no mesmo sistema, os hackers podem usar Log4J para passar cargas maliciosas para outras partes do sistema.

Em 9 de dezembro de 2021, um código de prova de conceito sobre como usar o Log4Shell foi postado no GitHub, e hackers começaram a montar ataques. Grandes empresas e serviços como Minecraft, Twitter e Cisco foram expostos. No pico da atividade do Log4Shell, a Check Point observou mais de 100 ataques a cada minuto, afetando mais de 40% de todas as redes corporativas globalmente.

Os primeiros ataques espalharam malwares de botnets e criptomineração. Alguns hackers usaram a falha para iniciar ataques sem arquivos, enviando scripts maliciosos para computadores Windows e Linux para fazer com que divulguem senhas e outras informações sensíveis.

Várias quadrilhas de ransomware apreendidas no Log4Shell. Particularmente, hackers espalharam a tensão do ransomware Khonsari pelo Minecraft. O ransomware Night Sky teve como alvo sistemas executando VMware Horizon.

Até mesmo atores estatais participaram. Hackers associados à China, Irã, Coreia do Norte e Turquia foram vistos usando a vulnerabilidade.

Resposta ao Log4Shell

A Apache lançou o primeiro patch (Log4J versão 2.15.0) em 10 de dezembro de 2021. No entanto, esse patch deixou outra vulnerabilidade exposta, a CVE-2021-45046, que permitiu que hackers enviassem comandos maliciosos para logs com determinadas configurações não padrão.

A Apache lançou um segundo patch (Log4J versão 2.16.0) em 14 de dezembro de 2021. Ele também tinha uma falha, CVE-2021-45105, que permitia que hackers iniciassem ataques de denial-of-service (DoS).

A terceira correção, Log4J versão 2.17, corrigiu a falha de DoS, mas deixava uma vulnerabilidade final, CVE-2021-44832, que permitia que hackers tomassem o controle de um componente do Log4J chamado "appender" para executar código remoto. A Apache lidou com isso com um quarto e último patch, Log4J versão 2.17.1.

A persistência do Log4Shell

Embora o Log4J 2.17.1 tenha fechado o Log4Shell e todas as suas vulnerabilidades relacionadas no lado da Apache, ameaças cibernéticas ainda usam a falha. Até maio de 2023, o Log4Shell continuava sendo uma das vulnerabilidades mais utilizadas.

Log4Shell persiste por vários motivos.

Um dos principais problemas é que o Log4J está profundamente enraizado nas cadeias de suprimento de software de muitas empresas. Hoje, muitos aplicativos são desenvolvidos montando bibliotecas de software de código aberto preexistentes. Esse processo é conveniente, mas também significa que as organizações têm visibilidade limitada sobre todos os componentes que compõem seus aplicativos. Versões antigas do Log4J podem ser facilmente esquecidas.

Quando uma versão vulnerável do Log4J é corrigida, ela nem sempre permanece corrigida. Em novembro de 2022, a Tenable relatou que 29% dos ativos ainda vulneráveis ao Log4Shell eram "recorrências". Eles foram corrigidos no passado, mas a falha reapareceu. Esse cenário acontece porque quando as pessoas constroem ou atualizam aplicativos, às vezes usam acidentalmente bibliotecas de software que ainda contêm versões não corrigidas do Log4J.

Finalmente, hackers desenvolveram uma maneira inteligente de cobrir seus rastros. De acordo com a CISA, alguns hackers usam o Log4Shell para invadir uma rede e, em seguida, corrigem o ativo. A empresa acha que é seguro, mas os hackers já estão dentro.

Mitigação e correção

As versões mais recentes do Log4J são gratuitas do Log4Shell. Especialistas em segurança cibernética sugerem que as equipes de segurança priorizem a verificação de que todas as instâncias do Log4J em seus sistemas estejam atualizadas.

A atualização do Log4J pode ser um processo lento, pois muitas vezes as empresas precisam se aprofundar em seus ativos para encontrá-lo. Enquanto isso, as equipes de segurança podem usar ferramentas de verificação de vulnerabilidades e detecção de ameaças contínuas, como gerenciamento de superfície de ataque (ASM) e plataformas de detecção e resposta de endpoint (EDR) para monitorar ativos voltados para a internet. Especialistas recomendam que as equipes de resposta a incidentes investiguem minuciosamente qualquer indício de atividade do Log4Shell.

Depois que o Log4Shell se tornou público, muitos firewalls, sistemas de detecção de intrusão (IDSs) e sistemas de prevenção de intrusão (IPSs) adicionaram regras para detectar a invasão do Log4Shell. Essas ferramentas podem ajudar as equipes de segurança a detectar e bloquear o tráfego proveniente de servidores controlados por invasores.

Uma linha do tempo do Log4Shell

  • 18 de julho de 2013: o Apache lança Log4J 2,0-beta9, a primeira versão para suportar o plug-in JNDI. Embora a vulnerabilidade não seja descoberta até anos depois, Log4Shell está presente a partir deste momento.

  • 24 de novembro de 2021: os pesquisadores de segurança da Alibaba descobrem o Log4Shell e relatam ao Apache. O Apache começa a trabalhar em uma correção, mas não libera um aviso de segurança pública.

  • 9 de dezembro de 2021: pesquisadores de segurança da Alibaba encontram evidências de que Log4Shell está sendo discutido na natureza, e o código de prova de exploração do conceito é publicado no GitHub.

  • 10 de dezembro de 2021: o Apache emite a primeira correção, e os desenvolvedores do Minecraft descobrem Log4Shell no Minecraft Java Edition. A comunidade de segurança cibernética percebe rapidamente a gravidade da situação, e as organizações começam a se esforçar para bloquear seus sistemas.

  • 11 de dezembro de 2021: a Cloudflare encontra evidências de que os agentes da ameaça começaram a explorar o Log4Shell antes do que se pensava, a partir de 1º de dezembro.

  • 14 de dezembro de 2021: o CVE-2021-45046 foi descoberto e o Apache lança uma correção para resolvê-lo.

  • 17 de dezembro de 2021: o CVE-2021-45105 foi descoberto e o Apache lança uma correção para resolvê-lo.

  • 28 de dezembro de 2021: CVE-2021-44832 é descoberto e o Apache lança uma correção final. Do Log4J versão 2.17.1 em diante, o Log4Shell foi totalmente corrigido.

  • 4 de janeiro de 2022: a US Federal Trade Commission (FTC) anuncia que pretende processar todas as empresas que expõem dados de consumidores a hackers por não terem lidado com o problema do Log4Shell.

  • Maio de 2023: a Check Point descobre que o Log4Shell ainda é a segunda vulnerabilidade mais explorada.
Soluções relacionadas
Soluções de segurança corporativa

Transforme seu programa de segurança com soluções do maior provedor de segurança corporativa.

 Explore as soluções de cibersegurança
Serviços de cibersegurança

Transforme sua empresa e gerencie riscos com consultoria em cibersegurança, nuvem e serviços de segurança gerenciados.

         Conheça os serviços de segurança cibernética
    Cibersegurança de inteligência artificial (IA)

    Melhore a velocidade, a precisão e a produtividade das equipes de segurança com soluções de cibersegurança impulsionadas por IA.

         Explore a cibersegurança da IA
    Dê o próximo passo

    Quer você necessite de soluções de segurança de dados, gerenciamento de endpoints ou gerenciamento de acesso e identidade (IAM), nossos especialistas estão prontos para trabalhar com você para alcançar uma postura de segurança forte. Transforme sua empresa e gerencie os riscos com um líder mundial em consultoria de cibersegurança, nuvem e serviços de segurança gerenciados.

         Explore as soluções de cibersegurança Descubra os serviços de cibersegurança