A gravidade da vulnerabilidade no Log4j é tudo menos teórica. Cibercriminosos scan portos em todo o mundo para encontrar maneiras de explorá-los. Pesquisadores de segurança observaram centenas de milhares de ataques.
Nos últimos dias, a Check Point Software reconheceu 470,000 tentativas de scan redes corporativas em todo o mundo. O scans são executados, entre outras coisas, para encontrar servidores que permitem solicitações HTTP externas. Esses servidores são propensos a explorar a infame vulnerabilidade na biblioteca Java Log4j. Se um servidor permitir solicitações HTTP, um invasor poderá executar ping no servidor com uma única linha apontando para um servidor remoto com instruções Java para execução de malware. Se o servidor com ping estiver conectado a um aplicativo Java que processa o Log4j, o aplicativo Java processa a linha como um comando para executar o malware. Na parte inferior da linha, o servidor da vítima executa o que um invasor ordena. A organização de segurança Sophos diz que identificou centenas de milhares de ataques.
Rostos familiares
Anteriormente, escrevemos um artigo esclarecedor sobre a operação técnica mencionada acima da vulnerabilidade no Log4j. A maior pré-condição para abuso é a capacidade de alcançar aplicativos Java incorporando Log4j. Em alguns casos, isso é brincadeira de criança. Por exemplo, a Apple usou iCloud Log4j para gravar os nomes dos iPhones. Ao alterar o nome do modelo de um iPhone no iOS para uma instrução para Java, foi possível quebrar os servidores da Apple.
Em outros casos, os aplicativos são menos fáceis de influenciar. A maior ameaça vem de invasores com experiência, conhecimento e técnicas existentes. Pesquisadores de segurança do Netlab360 configuraram dois sistemas de chamariz (honeypots, ed.) para convidar ataques a aplicativos Java com o Log4j. Os pesquisadores, assim, atraíram nove novas variações de tipos de malware bem conhecidos, incluindo MIRAI e Muhstik. As cepas de malware são projetadas para abusar do Log4j. Um alvo comum de ataque é o reforço de botnets para mineração de criptografia e ataques DDoS. A Check Point Software realizou uma pesquisa semelhante em maior escala. Nos últimos dias, a organização de segurança registrou 846,000 ataques.
Defesa
É óbvio que os criminosos cibernéticos procuram e exploram versões vulneráveis do Log4j. A defesa mais aconselhável é e continua sendo inventariar todos os aplicativos Log4j em um ambiente. Se o fornecedor do aplicativo no qual o Log4j é usado lançou uma versão atualizada, recomenda-se a aplicação de patches. Caso contrário, desabilitar é a opção mais segura. O NCSC mantém uma visão geral da vulnerabilidade do software no qual o Log4j é processado.
Atualmente, não é aconselhável desenvolver suas próprias medidas de software ou ajustar a operação do Log4j. A vulnerabilidade tem variações. A Microsoft, entre outros, detectou várias variantes da regra usada para instruir aplicativos Java a executar malware. A Check Point fala de mais de 60 mutações.