Início
Início
Solicite uma demonstração

Log4j Vulnerabilidade: Tudo o que precisa de saber

Partilhar

A vulnerabilidade recentemente descoberta do Apache Log4j tem visto organizações e vendedores de segurança apressarem-se a remendar sistemas afectados. Infelizmente, esta grave falha de segurança pode afectar muitas mais aplicações e sistemas ao longo do tempo, mesmo após a aplicação de correcções.

Os actores maliciosos aproveitaram a vulnerabilidade do Apache Log4j para atingir numerosas redes empresariais em todo o mundo, tornando-a uma falha altamente grave.

Embora a sua descoberta remonte a Novembro de 2021, o primeiro relatório oficial foi publicado a 10 de Dezembro. Nessa altura, a vulnerabilidade log4j já tinha afectado quase um terço dos servidores web mundiais, de acordo com a Cybereason.

Check Point, uma empresa líder em cibersegurança, descreveu Log4j como uma grave vulnerabilidade, tendo impedido mais de quarenta e três milhões de tentativas de obter acesso a sistemas. Referiu ainda que 46% dessas tentativas provinham de grupos maliciosos conhecidos.

Agora, à medida que mais organizações se apressam a remediar a vulnerabilidade, é fundamental compreender o que aconteceu desde a sua descoberta.

Aqui está tudo o que a sua organização deve saber sobre a vulnerabilidade do Apache Log4j, os seus efeitos, e orientações de mitigação.

A vulnerabilidade do Apache Log4j fez com que organizações e vendedores de segurança se apressassem a remendar sistemas afectados. Saiba o que é e se está ou não em risco.

O que é Log4j?

Log4j é um software de código aberto dos criadores da Apache Software Foundation. É codificado em Java e corre em Windows, macOS, e Linux.

Log4j permite a criação de registos integrados - registos de actividades a partir de problemas de resolução de problemas ou dados de rastreio dentro de programas. Muitas organizações utilizam o Log4j como a sua biblioteca de registo de escolha, devido à sua natureza de código aberto e livre.

Log4j v1 emergiu há 21 anos como uma biblioteca de registo padrão para aplicações Java. Hoje, Log4j v2 é um dos vários serviços de registo de aplicações baseadas em java.

A sua distribuição sob a licença Apache Software Foundation como software de código aberto tornou-a uma escolha popular para muitas organizações em todo o mundo. É um mecanismo simples para registar aplicações e dados gerados pelo utilizador a partir de aplicações.

Log4j contém a classe Java Naming and Directory Interface (JNDI), fornecendo resolução de objectos e de procura variável. O processo de resolução permite aos hackers lançar explorações com infecções que vão desde um simples scan em massa à procura de outros hospedeiros para infectar até à instalação de backdoors para filtragem de dados.

O que é o Apache Log4j Vulnerabilidade de Segurança?

A vulnerabilidade do Log4j permite aos hackers executar código remotamente em sistemas e computadores alvo. É uma vulnerabilidade de segurança de alto perfil, cuja pontuação de gravidade é dez em dez.

Os atacantes eram capazes de enviar comandos de servidor que os servidores vulneráveis executariam. Incluía uma Remote Code Execution (RCE), uma classe crítica de infecção que dá aos atacantes acesso total de controlo remoto aos sistemas anfitriões, permitindo-lhes lançar o que quiserem.

Um membro da equipa de segurança da nuvem Alibaba descobriu pela primeira vez a vulnerabilidade de Log4j em 24 de Novembro de 2021, e reportou-a à equipa do projecto Apache Open-source. Mais tarde, o governo dos EUA relatou a falha de segurança a 10 de Dezembro através da Cybersecurity and Infrastructure Security Agency (CISA).

Pouco depois do anúncio público, os actores da ameaça apressaram-se a escrever software que poderia procurar e explorar a vulnerabilidade log4j em escala. Outros distribuíram o código gratuitamente e lançaram bots para fazer o scan e explorar sistemas fracos.

A superfície de ameaça de vulnerabilidades de dia zero continua a crescer, pondo em risco mais aplicações de software de código aberto.

Falando com Toolbox, Kayla Underkoffler, uma tecnóloga sénior de segurança da HackerOne, disse que o código aberto está por detrás da maioria das infra-estruturas digitais modernas. Ele acrescentou que a aplicação média utiliza cerca de 528 componentes de código aberto, aumentando significativamente a superfície de ameaça.

Infelizmente, as organizações não controlam o software de código aberto, o que torna difícil corrigir os pontos fracos da cadeia de fornecimento.

Como funciona Log4j e como os atacantes estão a explorá-lo

A nova vulnerabilidade Apache log4j de dia zero permite ataques RCE fáceis de explorar. Os hackers podem usar a vulnerabilidade da biblioteca de registo Java para inserir texto nas mensagens de registo para carregar o código a partir de servidores remotos.

Além disso, os servidores alvo podem executar códigos através de chamadas Java Naming and Directory Interface (JNDI), ligando a sua interface com vários serviços, incluindo:

  • Lightweight Directory Access Protocol (LDAP)
  • Interface Remota de Java (RMI)
  • Serviço de Nome de Domínio 
 

Os atacantes podem então explorar URLs, LDAP, RMI, e DNS, redireccionando para servidores externos.

Infelizmente, a descoberta da vulnerabilidade do Log4j e das correcções subsequentes criou outro problema.

Uma vez que os atacantes sabiam que havia correcções disponíveis e que a sua janela de lançamento de ataques cuidadosamente concebidos estava a fechar-se, apressaram-se a instalar ou copiar pedaços de código em sistemas alvo que ficariam adormecidos até à sua activação. Isto significa que ataques mais sofisticados ainda estão para vir.

Quem é que o Log4j Vulnerabilidade Afecta?

Várias empresas já caíram vítimas da vulnerabilidade do Log4j, expondo milhões de dispositivos. A falha colocou em risco grandes empresas de tecnologia como a Apple, Oracle, Cisco, Minecraft, Google, e Microsoft. Ninguém está a salvo das plataformas de nuvem e dos serviços de correio electrónico para aplicações web.

A Microsoft Minecraft, uma empresa popular de jogos de vídeo, é uma das primeiras vítimas da exploração do log4j.

Até agora, 12 vendedores ciber-seguros também foram vítimas da vulnerabilidade, de acordo com a CRN. Estes incluem a CyberArk, Okta, Broadcom, F-Secure, Fortinet, SonicWall, VMware Carbon Black, Ping Identity, ForgeRock, Rapid7, Sopho, e RSA Security.

Como as Organizações Podem Proteger Contra a Vulnerabilidade Log4j Zero-Day

A forma mais comum de corrigir vulnerabilidades é através da instalação de actualizações do sistema ou da aplicação de correcções. Da mesma forma, o Apache Log4j lançou o Apache Log4 2 que promete corrigir os problemas de segurança existentes na arquitectura do logback. O Logback é o sucessor do projecto log4j.

A Microsoft também lançou uma declaração no seu blogue encorajando os seus clientes a aplicarem as actualizações por ela lançadas no seu Guia de Actualização de Segurança.

Infelizmente, evitar um ataque de dia zero de novos eventos de segurança continua a ser uma aspiração, uma vez que a maioria das empresas continua a lutar para responder se são vulneráveis. Um factor determinante na eficiência dos patches de segurança é a rapidez com que uma organização pode implementar as mudanças.

Os artistas de elite que investem em ciber-segurança e recuperação de desastres podem completar o seu ciclo em menos de uma hora. No entanto, outras organizações podem demorar um dia ou uma semana a completar o processo, uma vez que passam tempo à procura do código para o corrigir.

As equipas de segurança de uma organização devem adoptar uma abordagem de defesa em profundidade para prevenir violações da segurança cibernética e permitir-lhes encontrar e remover bugs. Além disso, a segurança de software mal financiado é fundamental para as organizações que dependem dele.

Como proteger redes

O seguinte pode ajudar a manter as organizações a salvo de uma exploração Log4j:

1. Patch Precoce e Frequentemente

É melhor construir um sistema ou processo para assegurar que futuras versões das suas aplicações, código, software, servidores, e estações de trabalho permaneçam actualizadas.

Faça-o através de uma correcção de scan usando uma cadência regular. Por exemplo, a versão 2.17.1 é o nível de correcção mais recente para log4j.

2. Desenvolver o Trust Zero

Trate a sua rede interna com confiança zero, tal como tudo o que está fora. Por exemplo, pode desenvolver a abordagem de menor privilégio (confiança zero) para conceder permissões apenas quando necessário e para limitar o acesso àqueles que realmente precisam para a continuidade do negócio.

Além disso, podem isolar cargas de trabalho umas das outras e negar certos tráfegos dentro da sua rede por defeito se, por exemplo, não houver necessidade de uma aplicação ou sistema para comunicar.


3.Eliminar o Código

Se for impossível corrigir a última revisão de código de uma aplicação baseada em log4j, remova a função de classe de pesquisa JDNI. No entanto, por favor, proceder com cautela, pois pode afectar a forma como algumas aplicações funcionam
.

4.Assumir o pior

Assumir sempre que todas as vulnerabilidades da base RCE levam a infecções com base em vermes. Portanto, isso significaria que outros servidores arriscam a exploração através do servidor da vítima. Assumam que todas as vossas redes e sistemas ficarão comprometidos.


5.fazer testes de segurança

Conduzir testes de equipas roxas e ter equipas vermelhas a atacar enquanto as equipas azuis verificam a visibilidade e asseguram defesas como IPS e EDR trabalham como pretendido. Se algo não estiver a funcionar em conformidade, afiná-lo e reexecutá-lo.


6.investigar actividades maliciosas

Procure indicadores de ataque ou de compromisso se a sua organização gere uma versão vulnerável do log4j. Por exemplo, a vulnerabilidade pode incluir uma utilização anormalmente elevada de recursos, actividade de registo inesperada, tráfego estranho na rede através das suas cargas de trabalho, e a criação de novos utilizadores.


7.Track Everything (Rastrear tudo)

Crie um sistema que rastreie a sua rede, incluindo utilizadores, bens e software de fornecedores. Se surgirem novas incógnitas, investigue-as e rastreie a sua origem.

Como os EUA planeiam proteger-se contra a vulnerabilidade do Apache Log4j

O governo dos EUA publicou recentemente uma directiva de emergência que estabelece directrizes para as organizações e agências civis federais responderem ao ataque.

O governo também está a planear conversas com parceiros privados e públicos para mitigar a exploração do log4j e melhorar a gestão da vulnerabilidade, avançando.

A directora da CISA, Jen Easterly, disse que a agência estava a trabalhar com outros parceiros-chave públicos e privados mais agências federais como a Joint Cyber Defense Collaboration, a NSA Cyber, e o FBI para gerir a ameaça em evolução.

Acrescentou que a CISA continuaria a actualizar a sua página web Log4j consolidada para ajudar as organizações a reduzir o seu risco.

O resultado final

A ciber-segurança sempre foi um requisito crítico e contínuo, mas agora tem um maior sentido de urgência com o aumento do número e intensidade dos ciberataques.

As vulnerabilidades de segurança do Apache Log4j demonstraram que as organizações precisam de investir mais em segurança cibernética para além do cumprimento dos requisitos de conformidade.

Adicionalmente, embora o software de código aberto tenha inúmeras vantagens, incluindo a sua disponibilidade e natureza livre, as organizações devem começar a pensar em construir software de forma segura a partir do solo.

É também fundamental proporcionar transparência em bibliotecas de software vulneráveis utilizando a Lista de Materiais de Software (SBOM).

Partilhar

Explorar mais recursos

  • Artigo

9 Dicas mais importantes de Cibersegurança para os seus Empregados

As organizações estão inundadas com dicas de segurança cibernética - mas quais são as mais importantes
  • Artigo

8 Ameaças Cibernéticas de Segurança Móvel que Deve Levar a Sério

Entre 80 a 90% das aplicações móveis contêm uma vulnerabilidade de segurança. Saiba mais sobre a
  • Artigo

Zoom Cybersecurity and Privacy Strategies

O crescimento do Zoom durante e após a Covid acelerou o trabalho em áreas remotas. No entanto, a videoconferência
  • Artigo

8 Razões Surpreendentes Hackers Alvo das Escolas

Os hackers têm como alvo as escolas por uma série de razões. Para roubar dados de investigação, aprender segredos comerciais
Recursos da empresa

A sua Fonte Fidedigna para a Educação Cibernética

Inscreva-se na newsletter trimestral da ThriveDX para receber informação sobre as últimas tendências de segurança cibernética, tomadas de peritos, notícias de segurança e recursos gratuitos.

Inscrição
Twitter Facebook-square Linkedin

Juntámo-nos à ThriveDX!

Para aprofundar o nosso compromisso de criar impacto geracional com a melhor educação cibernética global para a transformação de vidas, a Cybint é agora um membro orgulhoso da família ThriveDX.
DESCARREGUE A SUA CÓPIA GRATUITA
Close-link
Powered by Convert Plus

Contactar as Parcerias ThriveDX

[forminator_form id="10629″]

Se estiver à procura de ligação com alguém da nossa equipa no local, por favor deixe aqui as suas informações de contacto e nós ligar-nos-emos directamente a si durante a conferência.

Ligue-se à nossa equipa

Nome(Obrigatório)

Saltar para o conteúdo