Nada é mais perturbador para um profissional de TI do que a possibilidade de ter que enfrentar uma ameaça de cibersegurança de alta gravidade. Ter uma experiência de infecção com uma vulnerabilidade do tipo pode ser catastrófico.
A comunidade de segurança cibernética foi chacoalhada no último final de semana com a divulgação pública de uma brecha de segurança na biblioteca Apache Log4j com nível de gravidade 10 na escala de pontuação CVSS (Common Vulnerability Scoring System). CVSS é uma metodologia usada para classificar o quanto uma ameaça é crítica numa escala de 0 a 10, em que, obviamente, quanto maior a pontuação, maior a gravidade.
A ironia é que não se trata de um “bug” propriamente dito. Trata-se de um recurso amplamente utilizado por desenvolvedores de softwares em Java que pode ser explorado com uma absurda facilidade. A falha CVE-2021-44228 que também está sendo chamada de Log4Shell é uma vulnerabilidade de dia zero descoberta e reportada pela equipe de segurança em nuvem do Alibaba Group no final de novembro. Ela afeta sistemas com a versão 2.14.1 ou inferior do Apache Log4j. A vulnerabilidade permite a execução remota de código não autenticado, um prato cheio para que invasores tenham acesso irrestrito e possam assumir remotamente o controle total de um sistema.
O Apache log4j é uma biblioteca de registro amplamente usada para execução remota de código desenvolvido na linguagem de programação Java. Ele monitora e cria registros de bugs do código. Entenderam por que anteriormente falamos na ironia do problema? É um utilitário responsável por registrar bugs sendo apontado como a falha de segurança de potencial mais nefasto da história do mundo digital.
A preocupação generalizada da comunidade de segurança cibernética é principalmente devido à extensão do impacto que a exploração do bug pode causar, já que é difícil pensar em aplicações populares, corporativas ou serviços em nuvem que não utilizem log4j, o que torna um grande número de sistemas no mundo inteiro suscetíveis a ataques. Dada a potencialidade de exploração da falha, é altamente provável o desencadeamento de ataques cibernéticos em massa. Falando popularmente é como dar aos hackers “o queijo e a faca” para que eles juntem com a sua “vontade de comer”.
O site TecMundo mantido pela NZN levantou que somente nas primeiras 72 horas após a divulgação da brecha de segurança, mais de 840 mil ataques explorando-a já tinham sido registrados.
Uma das primeiras notificações sobre a exploração ativa da vulnerabilidade envolveu o jogo de computador Minecraft de propriedade da Microsoft. Outras grandes empresas de tecnologia estão sendo afetadas pelo problema, ainda que não diretamente. Apple, Twitter, Amazon, alguns serviços do Google e milhares de outras empresas também usam Log4j e apesar de não ter sido relatado nenhuma violação de segurança como resultado do bug, as equipes de TI dessas empresas estão trabalhando incansavelmente para implementar patches e corrigir seus sistemas, tentando evitar uma calamidade.
A Apache Software Foundation, responsável pelo software Log4j, lançou rapidamente uma correção de segurança para o bug. Mas, considerando que se trata de uma ferramenta de código aberto de uso difundido e que milhares de aplicativos, plataformas de e-commerce, videogames, sites e outros produtos de software de terceiros executam o código em todo o mundo, é possível pensarmos que levará meses até podermos falar em correção total do bug.
Até isso acontecer é importante estar em alerta máximo para ataques ransomware e outros ciberataques. Especialmente considerando que os cibercriminosos veem o período de final de ano como um momento desejável para atacar, já que as equipes que os monitoram costumam estar reduzidas. Também é importante que qualquer atualização de segurança dos fornecedores de softwares sejam implementadas tão logo quanto forem disponibilizadas. Vale ressaltar que nessa corrida contra o tempo para identificar se os sistemas podem ou foram comprometidos pela falha de segurança CVE-2021-44228, a Kaspersky foi muito rápida em assegurar que os produtos desenvolvidos pela empresa não são afetados pela vulnerabilidade.
Por fim, se de um lado atores mal intencionados estão à espreita para tirar o máximo proveito de falhas desse tipo, por outro, equipes como a nossa trabalham arduamente rastreando a vulnerabilidade em ambientes de clientes como parte de nossos serviços de segurança ofensiva. Se você não tem uma equipe técnica para cuidar disso, entre em contato com o time da Tecnews.NET. Nós podemos te ajudar.
Referências:
https://www.acronis.com/pt-br/
https://olhardigital.com.br/2022/03/08/tira-duvidas/backup-dicas-manter-arquivos-protegidos/
https://www.techtudo.com.br/noticias/2021/12/o-que-e-backup-no-celular-entenda-funcionamento-no-android-e-iphone.ghtml
