Log4Shell

Log4Shell (CVE-2021-44228) é uma vulnerabilidade de dia zero no Log4j, uma estrutura de registro Java popular, envolvendo execução arbitrária de código.[1][2] A vulnerabilidade - sua existência não percebida desde 2013 - foi divulgada em particular à The Apache Software Foundation, da qual Log4j é um projeto, por Chen Zhaojun da equipe de segurança em nuvem do Alibaba em 24 de novembro de 2021, e foi divulgada publicamente em 9 de dezembro de 2021.[3][4][5][6] O Apache deu ao Log4Shell uma classificação de gravidade CVSS de 10, a pontuação mais alta disponível.[7] Estima-se que a exploração afete centenas de milhões de dispositivos e seja muito simples de executar.[6][8]

A vulnerabilidade se aproveita do Log4j permitindo solicitações a servidores arbitrários LDAP e JNDI, e não verificando as respostas,[9][1][10] permitindo que invasores executem código Java arbitrário em um servidor ou outro computador, ou vazem informações confidenciais.[5] Uma lista de seus projetos de software afetados foi publicada pela Equipe de Segurança Apache .[11] Os serviços comerciais afetados incluem Amazon Web Services,[12] Cloudflare, iCloud,[13] Minecraft: Java Edition,[14] Steam, Tencent QQ e muitos outros.[9][15][16] De acordo com Wiz e Ernst & Young, a vulnerabilidade afetou 93% dos ambientes de nuvem corporativos.[17]

Os especialistas descreveram o Log4Shell como a maior vulnerabilidade de todos os tempos.[8] LunaSec caracterizou-o como "uma falha de design de proporções catastróficas",[5][18] e o The Washington Post disse que as descrições feitas por profissionais de segurança "beiram o apocalíptico".[8]

HistóriaEditar

Log4j é uma estrutura de registro de código aberto que permite aos desenvolvedores de software registrar dados em seus aplicativos. Esses dados podem incluir a entrada do usuário.[19] Ela é usada de forma onipresente em aplicativos Java, especialmente em software corporativos.[5] Originalmente escrita em 2001 por Ceki Gülcü, agora faz parte do Apache Logging Services, um projeto da Apache Software Foundation.[20] O ex-membro da comissão de segurança cibernética do presidente Barack Obama, Tom Kellermann, descreveu o Apache como "um dos gigantescos suportes de uma ponte que facilita o tecido conectivo entre os mundos dos aplicativos e os ambientes de computador".[21]

MitigaçãoEditar

As correções para esta vulnerabilidade foram lançadas em 6 de dezembro de 2021, três dias antes da publicação da vulnerabilidade, no Log4j versão 2.15.0-rc1.[22][23][24] A correção incluiu restringir os servidores e protocolos que podem ser usados para pesquisas. Os pesquisadores descobriram um bug relacionado, CVE-2021-45046, que permite a execução local ou remota de código em certas configurações não-padrão e foi corrigido na versão 2.16.0, que desabilitou todos os recursos usando JNDI e suporte para pesquisas de mensagem.[25][26] Para versões anteriores, a classe org.apache.logging.log4j.core.lookup. JndiLookup precisa ser removida do caminho de classe para mitigar ambas as vulnerabilidades.[7][25] Uma correção recomendada para versões anteriores era definir a propriedade do sistema log4j2.formatMsgNoLookups como true, mas essa alteração não impede a exploração de CVE-2021-45046.[25]

UsoEditar

A exploração permite que os hackers obtenham o controle de dispositivos vulneráveis usando Java.[6] Alguns hackers empregam a vulnerabilidade para utilizar os recursos dos dispositivos das vítimas; os usos incluem mineração de criptomoeda, criação de botnets, envio de spam, estabelecimento de backdoors e outras atividades ilegais, como ataques de ransomware.[6][8][27] Nos dias seguintes à publicação da vulnerabilidade, o Check Point monitorou milhões de ataques sendo iniciados por hackers, com alguns pesquisadores observando uma taxa de mais de cem ataques por minuto que resultou em mais de 40% de redes de negócios sendo atacadas internacionalmente.[6][21]

Resposta e impactoEditar

GovernamentalEditar

Nos Estados Unidos, a diretora da Cybersecurity and Infrastructure Security Agency (CISA), Jen Easterly, descreveu a exploração como "uma das mais sérias que já vi em toda a minha carreira, senão a mais séria", explicando que centenas de milhões de dispositivos foram afetados e aconselhando os fornecedores a priorizar as atualizações de software.[28][6][27] As agências civis contratadas pelo governo dos Estados Unidos tinham até 24 de dezembro de 2021 para corrigir as vulnerabilidades, embora isso já tivesse permitido o acesso a centenas de milhares de alvos até essa data.[8]

O Centro Canadense de Segurança Cibernética exortou as organizações a agirem imediatamente.[29] A Agência de Receitas do Canadá encerrou temporariamente seus serviços online após saber da exploração, enquanto o Governo de Quebec fechou quase 4.000 de seus sites como uma "medida preventiva".[30]

ReferênciasEditar

  1. a b Wortley, Free; Thrompson, Chris; Allison, Forrest (9 de dezembro de 2021). «Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package». LunaSec (em inglês). Consultado em 12 de dezembro de 2021 
  2. «CVE-2021-44228». Common Vulnerabilities and Exposures. Consultado em 12 de dezembro de 2021 
  3. Povolny, Steve; McKee, Douglas (10 de dezembro de 2021). «Log4Shell Vulnerability is the Coal in our Stocking for 2021». McAfee (em inglês). Consultado em 12 de dezembro de 2021 
  4. «Worst Apache Log4j RCE Zero day Dropped on Internet». Cyber Kendra. 9 de dezembro de 2021. Consultado em 12 de dezembro de 2021 
  5. a b c d Newman, Lily Hay (10 de dezembro de 2021). «'The Internet Is on Fire'». Wired (em inglês). ISSN 1059-1028. Consultado em 12 de dezembro de 2021 
  6. a b c d e f Murphy, Hannah (14 de dezembro de 2021). «Hackers launch more than 1.2m attacks through Log4J flaw». Financial Times. Consultado em 17 de dezembro de 2021 
  7. a b «Apache Log4j Security Vulnerabilities». Log4j. Apache Software Foundation. Consultado em 12 de dezembro de 2021 
  8. a b c d e Hunter, Tatum; de Vynck, Gerrit (20 de dezembro de 2021). «The 'most serious' security breach ever is unfolding right now. Here's what you need to know.». The Washington Post [ligação inativa] 
  9. a b Mott, Nathaniel (10 de dezembro de 2021). «Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit». PC Magazine (em inglês). Consultado em 12 de dezembro de 2021 
  10. Goodin, Dan (10 de dezembro de 2021). «Zero-day in ubiquitous Log4j tool poses a grave threat to the Internet». Ars Technica (em inglês). Consultado em 12 de dezembro de 2021 
  11. «Apache projects affected by log4j CVE-2021-44228». 14 de dezembro de 2021 [ligação inativa] 
  12. «Update for Apache Log4j2 Issue (CVE-2021-44228)». Amazon Web Services. 12 de dezembro de 2021. Consultado em 13 de dezembro de 2021 
  13. Lovejoy, Ben (14 de dezembro de 2021). «Apple patches Log4Shell iCloud vulnerability, described as most critical in a decade». 9to5mac 
  14. «Security Vulnerability in Minecraft: Java Edition». Minecraft. Mojang Studios. Consultado em 13 de dezembro de 2021 
  15. Goodin, Dan (10 de dezembro de 2021). «The Internet's biggest players are all affected by critical Log4Shell 0-day». ArsTechnica. Consultado em 13 de dezembro de 2021 
  16. Rundle, David Uberti and James (15 de dezembro de 2021). «What Is the Log4j Vulnerability?» – via www.wsj.com 
  17. «Enterprises halfway through patching Log4Shell | Wiz Blog». www.wiz.io. Consultado em 20 de dezembro de 2021 
  18. Goodin, Dan (13 de dezembro de 2021). «As Log4Shell wreaks havoc, payroll service reports ransomware attack». Ars Technica (em inglês). Consultado em 17 de dezembro de 2021 [ligação inativa] 
  19. Yan, Tao; Deng, Qi; Zhang, Haozhe; Fu, Yu; Grunzweig, Josh (10 de dezembro de 2021). «Another Apache Log4j Vulnerability Is Actively Exploited in the Wild (CVE-2021-44228)». Unit 42. Palo Alto Networks 
  20. «Apache Log4j 2». Apache Software Foundation. Consultado em 12 de dezembro de 2021 
  21. a b Byrnes, Jesse (14 de dezembro de 2021). «Hillicon Valley — Apache vulnerability sets off alarm bells». TheHill (em inglês). Consultado em 17 de dezembro de 2021 [ligação inativa] 
  22. «Restrict LDAP access via JNDI by rgoers #608». Log4j (em inglês). 5 de dezembro de 2021. Consultado em 12 de dezembro de 2021 – via GitHub 
  23. Berger, Andreas (17 de dezembro de 2021). «What is Log4Shell? The Log4j vulnerability explained (and what to do about it)». Dynatrace news. Apache issued a patch for CVE-2021-44228, version 2.15, on December 6. However, this patch left part of the vulnerability unfixed, resulting in CVE-2021-45046 and a second patch, version 2.16, released on December 13. Apache released a third patch, version 2.17, on December 17 to fix another related vulnerability, CVE-2021-45105. 
  24. Rudis, boB (10 de dezembro de 2021). «Widespread Exploitation of Critical Remote Code Execution in Apache Log4j | Rapid7 Blog». Rapid7 (em inglês) 
  25. a b c «CVE-2021-45046». Common Vulnerabilities and Exposures. 15 de dezembro de 2021. Consultado em 15 de dezembro de 2021 
  26. Greig, Jonathan (14 de dezembro de 2021). «Second Log4j vulnerability discovered, patch already released». ZDNet (em inglês). Consultado em 17 de dezembro de 2021 
  27. a b Woodyard, Chris. «'Critical vulnerability': Smaller firms may find it harder to stop hackers from exploiting Log4j flaw». USA Today (em inglês). Consultado em 17 de dezembro de 2021 [ligação inativa] 
  28. «Statement from CISA Director Easterly on "Log4j" Vulnerability». CISA. 11 de dezembro de 2021 
  29. «Statement from the Minister of National Defence on Apache Vulnerability and Call to Canadian Organizations to Take Urgent Action». Government of Canada (em inglês). 12 de dezembro de 2021 
  30. Cabrera, Holly (12 de dezembro de 2021). «Facing cybersecurity threats, Quebec shuts down government websites for evaluation». CBC News. Consultado em 12 de dezembro de 2021