A Log4j é uma biblioteca do Apache que ajuda produtores de software a acompanharem mudanças nos produtos criados por eles. É tão popular e incorporada em muitos programas de companhias que especialistas em segurança afirmam que estão prevendo aproveitamento desenfreado da vulnerabilidade pelos hackers. O problema foi revelado, inicialmente, pelos pesquisadores de segurança do Alibaba, com o Minecraft da Microsoft emitindo um outro comunicado confirmando que eles também foram afetados. De acordo com os especialistas, a falha afeta a maioria das empresas e serviços da web, do iCloud da Apple aos produtos do Google Cloud. Eles disseram ainda que, dentre outras atividades, hackers vêm utilizando a brecha para fraudes de mineração de criptografia. Jen Easterly, chefe do Departamento de Segurança Cibernética e Agência de Segurança de Infraestrutura (CISA) do Departamento de Segurança Interna dos Estados Unidos, chamou isso de “uma das falhas mais sérias” já vistas em sua carreira. Em um comunicado no sábado (11), Easterly disse que “um conjunto crescente” de hackers está ativamente tentando explorar essa vulnerabilidade. Vários alertas já foram emitidos também pelo Centro Nacional de Segurança Cibernética do Reino Unido, solicitando às empresas que atualizem seus sistemas o quanto antes. Uma correção para a falha foi disponibilizada pela Apache pouco tempo depois da descoberta da falha, mas a solução pode demorar a ser implementada.
O que é Log4j e como a falha acontece?
O software Apache é um programa escrito na linguagem de programação Java e foi desenvolvido com o o objetivo de registrar a atividade do usuário nos computadores. O Apache é muito popular entre os desenvolvedores de softwares comerciais. O software tem suporte a diversas plataformas (Windows, Linux, MacOS) e alimentando tudo, desde webcams até sistemas de navegação automotiva. O Log4j costuma ser incorporado, principalmente, a programas de terceiros que precisam ser atualizados por seus proprietários. A biblioteca de registro é popular, em parte, porque é de uso gratuito. Esse preço vem com uma compensação: apenas um punhado de pessoas o mantém. Os produtos pagos, por outro lado, geralmente têm grandes equipes de desenvolvimento de software e segurança por trás deles. Na prática, a falha permite que um estranho insira um código ativo no processo de manutenção de registros. Esse código então diz ao servidor que hospeda o software para executar um comando que dá o controle do hacker. Se não for corrigido, o bug na biblioteca de log de Java Apache Log4j pode ser usado por cibercriminosos para assumir o controle de servidores de computador, colocando tudo, desde produtos eletrônicos de consumo a sistemas governamentais e corporativos em risco de um ataque cibernético.
Empresas afetadas na pandemia cibernética
De acordo com levantamento da Check Point Research, o cenário é semelhante ao de uma pandemia. Os primeiros relatórios publicados na sexta-feira (10) mostraram apenas milhares de tentativas de ataque, aumentando para mais de 40 mil durante o sábado (11). Vinte e quatro horas após o surto inicial, os sensores da Check Point Software registraram quase 200 mil tentativas de ataque em todo o mundo se aproveitando dessa vulnerabilidade. Nas 72 horas após o surto inicial, o número atingiu mais de 800 mil ataques. Ainda de acordo com o relatório da Check Point, mais de 80 países foram atingidos por tentativas de exploração, com alguns, como Eslovênia e Nepal, chegando a atingir um pico de mais de 60% das organizações impactadas. A América Latina aparece na terceira colocação, com os setores de fornecimento de software, educação ou pesquisa, consultoria, operadoras de internet e indústria sendo os cinco mais atingidos. De acordo com os dado, 46% das tentativas vieram de grupos já conhecidos no cenário global de ameaças. No Brasil, 53% das redes de empresas brasileiras foram atingidas por tentativas de exploração. O número é maior, inclusive, que a média global de 44%. Apesar do alarde, nenhum grande incidente foi reportado publicamente como resultado da vulnerabilidade até o momento. No entanto, pesquisadores de segurança estão vendo um crescimento alarmante na atividade de grupos de hackers que estão tentando se aproveitar do problema para espionagem.
Correções já disponíveis
A boa notícia é que alguns patches já foram liberados com o objetivo de resolver o problema. A mais recente foi liberada na última terça-feira (14). No entanto, ainda não há uma certeza que a brecha realmente foi fechada. Para que se corrija a vulnerabilidade, é indicado que o usuário baixe o patch Apache Log4j 2.16.0 enquanto os desenvolvedores continuam suas investigações sobre a falha.
Veja também:
Você já ouviu falar em hackers do bem? Profissionais são contratados para encontrar vulnerabilidade em sistemas de empresas. Conheça mais sobre esse mercado nesta matéria do Showmetech. Fontes: PCMag, ZDNet, Gartner.
