Quase metade dos downloads do Log4j ainda estão perigosamente expostos
Janeiro 11, 2022

Quase metade dos downloads do Log4j ainda estão perigosamente expostos

Por Ricardo Marques
Ad

Sergey Nivens – stock.adobe.com

Não está claro se por erro ou design, mas muitas equipes de TI ainda estão se expondo baixando versões desatualizadas e inseguras do Apache Log4j

  • Por

    • Alex Scroxton, Editor de Segurança

      Publicado: 11 de janeiro de 2022 15:45

      Um mês após a divulgação do CVE-2021-44228, também conhecido como Log4Shell, um vulnerabilidade no pacote Java Apache Log4j, até 40% dos novos downloads ainda correm o risco de comprometimento, apesar da disponibilidade de versões seguras, representando uma ameaça a toda a malha da Internet.

      Dados coletados pela Sonatype, especialista em automação da cadeia de suprimentos, revelam que o Log4j – um componente crucial de literalmente milhares de ferramentas, de produtos de consumo a software corporativo e aplicativos da web – foi baixado mais de 10.350.000 vezes desde que o Log4Shell foi divulgado, e que mais de 40% dessas baixas nloads eram de versões vulneráveis.

      Somente no Reino Unido, disse Sonatype, 44,7% dos 121.483 downloads do Log4j em um dia não especificado na semana passada eram vulneráveis, e no dia anterior, 43% dos 208.259 downloads estavam em risco.

      “O fato de ainda enfrentarmos porcentagens tão altas de downloads vulneráveis ​​é indicativo de um problema muito maior com a segurança da cadeia de suprimentos”, disse o diretor de tecnologia de campo da Sonatype Ilkka Turunen.

      “Se as empresas não entendem o que está em seu software, não conseguem agir com a velocidade necessária quando surgem ameaças – e neste caso, dada a enorme popularidade do Log4j, isso os expõe a riscos significativos.

      “Felizmente, existem versões seguras do componente disponíveis, portanto, para as empresas que agiram rapidamente, seu risco foi reduzido significativamente”, ele disse. “No entanto, isso precisa servir como um alerta urgente de que as empresas devem entender o que está em seu software, onde estão as dependências, e não aproveitar os componentes vulneráveis ​​quando os seguros estiverem disponíveis.”

      Embora a escala de componentes inseguros usados ​​permaneça inaceitavelmente alta, há alguns sinais de que as equipes de TI estão respondendo melhor neste momento: desde 5 de janeiro, a Sonatype disse ter visto uma taxa de adoção de 40% no número dos mais recentes e seguros Log4j versões – 2.17 e 2.17.1 – sendo baixadas.

      Com os diretores da CISA dos EUA dizendo ontem que, embora nenhum ataque cibernético em larga escala através do Log4Shell tenha sido descoberto, eles esperam que a vulnerabilidade permaneça em use “bem no futuro”, o CVE-2021-44228 continua sendo um problema vivo para os defensores, com muita atenção focada na possibilidade de seu uso em ataques de ransomware, compreensível dado o alto perfil que esses incidentes ganharam nos últimos 18 meses.

      Um grande número de empresas de segurança estão verificando ativamente instâncias Log4j vulneráveis ​​e operadores de ransomware que se aproveitam delas – embora, de acordo com a CISA, nenhum ataque importante ainda tenha sido detectado, sugerindo que as equipes de ransomware podem estar esperando seu tempo por enquanto.

      De particular preocupação nos últimos dias é uma cepa chamada NightSky, que agora parece estar se espalhando entre os usuários do VMware Horizon que executam produtos vulneráveis ​​ao Log4Shell. Isso ocorre após um aviso na semana passada de especialistas cibernéticos do NHS de que um grupo de ameaças não especificado estava mirando nos servidores VMware Horizon para estabelecer persistência nas redes de destino, injetando web shells maliciosos que poderiam ser usados ​​para realizar outras atividades maliciosas.

      A Microsoft disse que um grupo de ameaças provavelmente baseado na China e rastreado como DEV-0401 provavelmente estava implantando o NightSky por meio do Log4Shell, a partir de terça-feira, 4 de janeiro de 2022. Esse grupo já usou outros ransomwares, incluindo LockFile, AtomSilo e Rock implantado através de várias vulnerabilidades divulgadas publicamente e parece favorecer o uso de infraestrutura de comando e controle que falsifica domínios legítimos de empresas de segurança, incluindo grandes armas como Sophos e Trend Micro.

      “Observamos muitos invasores existentes adicionando explorações dessas vulnerabilidades em seus kits e táticas de malware existentes, de mineradores de moedas a ataques práticos no teclado”, escreveu a equipe cibernética da Microsoft em um post de atualização d na segunda-feira, 10 de janeiro.

      “As organizações podem não perceber que seus ambientes já podem estar comprometidos. A Microsoft recomenda que os clientes façam uma revisão adicional dos dispositivos onde as instalações vulneráveis ​​são descobertas. Nesta conjuntura, os clientes devem presumir que a ampla disponibilidade de código de exploração e recursos de varredura é um perigo real e presente para seus ambientes”, afirmou.

      Leia mais sobre segurança de aplicativos da Web

      • A FTC avisa as empresas para mitigar a vulnerabilidade do Log4j

        Por: Alexandre Culafi

    • MicroStrategy aprimora a segurança, recursos de análise incorporados

      Por: Eric Avidon

  • Como mitigar o Log4Shell, a vulnerabilidade do Log4j

    Por: Michael Cobb

  • O Log4j 2.17.0 corrige o exploit recém-descoberto

    Por: Alexandre Culafi