Log4j tem nova falha descoberta, mas atualização já está disponível
Por Felipe Demartini | Editado por Claudio Yuge | 15 de Dezembro de 2021 às 13h00
Nada é tão ruim que não possa piorar e a prova disso é que uma segunda falha relacionada ao recurso Log4j foi descoberta nesta terça-feira (14). A brecha, que escapa da correção inicial publicada para a vulnerabilidade, atinge alguns casos e configurações específicas de servidores e sistemas, permitindo o uso de comandos e explorações para a realização de ataques de negação de serviço. Um segundo update, felizmente, já está disponível.
- Estudo revela como funciona uma das redes de malware mais antigas do mundo
- Bancos pressionam operadoras móveis por melhorias na segurança dos clientes
A ideia, de acordo com o registro oficial da nova brecha, CVE-2021-45046, é de que a mitigação anterior seria “incompleta”. Mais especificamente, o problema estava em padrões de busca de uma API Java ligada a diretórios, que permitiria o uso de códigos gerados de forma maliciosa. Como na brecha geral, não seriam preciso credenciais ou outros recursos para exploração, bastando apenas que os atacantes inserissem os comandos corretos em um console.
A solução fornecida pela Apache, uma das mais atingidas pela vulnerabilidade, é de instalação crítica e remove parâmetros de busca por diretórios nas mensagens do console, além de desabilitar o recurso, chamado JNDI, por padrão. A companhia informa também que, mesmo nos sistemas antigos, desativar tal opção também ajuda a mitigar o novo problema, ainda que a recomendação principal seja pela implementação dos updates que vem sendo liberados desde a última sexta (10).
Pelo menos uma dezena de grupos criminosos exploram a brecha no Log4j
De acordo com a Netenrich, uma das empresas de segurança que está desde o final de semana debruçada sobre a brecha, pelo menos uma dezena de grupos criminosos já estão utilizando a nova vulnerabilidade para realizar ataques. Por isso, a indicação de atualização crítica não apenas da nova descoberta, mas de todas as brechas relacionadas ao Log4j.
Até mesmo governos e autoridades federais emitiram alertas para que empresas, principalmente aquelas de infraestrutura e setores essenciais, realizem updates e mitigações. De acordo com a Cloudflare, por exemplo, existem registros de explorações que datam de 1º de dezembro, enquanto países como EUA, Reino Unido, Nova Zelândia e Holanda já divulgaram comunicados sobre o assunto e têm autoridades de olho — até mesmo uma lista gigantesca de softwares afetados foi publicada pelas autoridades neerlandesas.
Enquanto isso, os números não param de se acumular. De acordo com levantamento da Check Point Research, mais de 1,2 milhão de incidentes cibernéticos foram registrados desde o final de semana em todo o mundo, com 44% das corporações do mundo sendo atingidas por tentativas de exploração — no Brasil, esse total é de 53%.