Log4Shell: atacantes estão explorando a vulnerabilidade para distribuir malware

A vulnerabilidade Log4Shell na biblioteca Log4j, da Apache, permite que um atacante possa executar códigos maliciosos de forma remota.

A vulnerabilidade Log4Shell na biblioteca Log4j, da Apache, permite que um atacante possa executar códigos maliciosos de forma remota.

Atualizado em 14/12/2021

A Log4Shell, também chamada de LogJam, é uma vulnerabilidade crítica na Log4j, uma biblioteca Java de código aberto que é desenvolvida pela Apache Software Foundation e é bastante utilizada.

A ameaça trata-se de uma vulnerabilidade de execução de código remoto (CVE-2021-44228) descoberta pela equipe do Alibaba Cloud em novembro deste ano e corrigida em dezembro na atualização 2.15.0 do Log4j. Entretanto, na última sexta-feira (10) foi publicado um exploit para a Log4Shell que permite que um atacante execute códigos maliciosos em um servidor vulnerável (mesmo que não esteja exposto à internet), simplesmente modificando o user agent do navegador para uma string específica, o que permitiria que um atacante assumisse até mesmo o controle total do sistema comprometido. Isto inclui tanto servidores Linux quanto Windows.

De acordo com especialistas, a vulnerabilidade é facilmente explorada e impacta a configuração padrão de vários frameworks da Apache. Assim como explicou a Apache Foundation, “um atacante que pode controlar mensagens de registro ou parâmetros de mensagens de registro para executar código arbitrário de servidores LDAP, quando a substituição de mensagens de lookup está habilitada”. Deve-se notar que com o lançamento dessa última atualização, esse recurso não está mais ativado por padrão.

A CERT da Suíça publicou um diagrama mostrando o processo de exploração da vulnerabilidade:

De acordo com vários meios de comunicação e especialistas, os cibercriminosos já começaram a procurar servidores vulneráveis na rede para explorar a falha (ou usá-los em ataques futuros) e executar ações maliciosas, como instalar malware, exfiltrar dados ou assumir o controle do servidor.

O CERT da Nova Zelândia confirmou a exploração dessa vulnerabilidade e em 14 de dezembro os sistemas da ESET já estavam detectando centenas de milhares de tentativas de exploração bloqueadas em todo o mundo, sendo os Estados Unidos, Reino Unido, Turquia, Alemanha e Holanda os países com o maior número de tentativas de exploração até o momento.

Além da gravidade da vulnerabilidade, que recebeu uma pontuação de 10 em 10 na escala CVSS, o fato de ser utilizada por milhares de aplicativos, plataformas de e-commerce, videogames e sites gera preocupações. De fato, segundo o portal BleepingComputer, já foram detectados ataques distribuindo vários mineradores de criptomoedas, tais como Kinsing, bem como os códigos maliciosos Mirai e Muhstik. Os operadores por trás dessas duas botnets procuram comprometer os dispositivos e servidores IoT e adicioná-los a sua rede de máquinas sob seu controle para distribuir malware para minerar criptomoedas e realizar ataques DDoS.

Além disso, embora haja qualquer indício de exploração dessa vulnerabilidade para distribuir ransomware, não seria surpreendente que isso acontecesse.

Dada a gravidade da vulnerabilidade e seu impacto, é fundamental instalar a última versão do Log4j o mais rápido possível para mitigar essa vulnerabilidade ou fazer os ajustes de configuração correspondentes.

Publicamos o seguinte artigo sobre a Log4Shell que destaca medidas de mitigação, como detectar a presença da Log4j no Linux e Windows, e como detectar tentativas de exploração dessa vulnerabilidade.

Newsletter

Discussão