A ESET divulgou um mapa de países do mundo onde foram registadas tentativas de exploração da vulnerabilidade zero-day no Apache Log4j, uma framework de logging open-source baseada em Java. Em Portugal, a telemetria da ESET regista que o exploit, designado Log4Shell e indexado com o código CVE-2021-44228, lidera neste momento o top de ameaças no território, com um nível de prevalência de 10,77 %.
Além disso, a nível mundial, foram registadas centenas de milhares de tentativas de exploração do Log4j bloqueadas. A ESET regista uma prevalência assinalada nos Estados Unidos da América, Reino Unido, Turquia, Alemanha e Países Baixos. Esta prevalência confirma a severidade do Log4Shell. Atualmente, o exploit tem uma classificação máxima de 10 em gravidade pelo standard de avaliação de vulnerabilidades Common Vulnerability Scoring System (CVSS).
“O volume das nossas deteções confirma que se trata de um problema de grande-escala que não irá desaparecer tão cedo,” afirmou a propósito Roman Kováč, Chief Research Officer na ESET. “Certamente, os atacantes estão a testar muitas variações do exploit, mas nem todas as tentativas de exploração são necessariamente maliciosas. Algumas podem ser benignas considerando que investigadores, empresas de segurança de informação, e testers também estão a testar as explorações para fins de defesa”.
O que é o Log4Shell?
O Log4Shell é uma vulnerabilidade do tipo remote code execution (RCE), ou seja, um ciberataque no qual o atacante pode executar comandos remotamente em servidores afetados. Isto significa que o atacante não necessita de acesso físico ao servidor para executar código arbitrário. No limite, explorar o exploit pode culminar no controlo total dos sistemas afetados e no roubo de dados sensíveis.
A deteção desta vulnerabilidade zero-day está a causar sérias preocupações com repercussões que vão muito além do setor da segurança. Entre os serviços com infraestrutura na Internet vulneráveis ao Log4Shell no Apache Log4j estão, desde já, serviços na cloud da Amazon, Apple, Steam, Tesla e Twitter.
Medidas de mitigação
O código proof of concept do exploit já está disponível online. Assiste-se, assim, a uma corrida entre vários intervenientes. Os hackers conduzem rastreamentos na Internet para explorar sistemas vulneráveis. Os administradores de segurança estão a atualizar os seus sistemas bem como a implementar medidas de mitigação. Finalmente, os developers estão a auditar aplicações e, igualmente, bibliotecas de código por quaisquer dependências que possam incluir versões vulneráveis da biblioteca Log4j. A ESET já forneceu, por fim, passos para a mitigação do exploit via WeLiveSecurity.
