A ESET, líder global em cibersegurança, divulgou um mapa de países do mundo onde foram registadas tentativas de exploração da vulnerabilidade zero-day no Apache Log4j, uma framework de logging open-source baseada em Java. Em Portugal, a telemetria da ESET regista que o exploit, designado Log4Shell e indexado com o código CVE-2021-44228, lidera neste momento o top de ameaças no território, com um nível de prevalência de 10,77 %.
A nível mundial, foram registadas centenas de milhares de tentativas de exploração do Log4j bloqueadas, com especial prevalência nos Estados Unidos da América, Reino Unido, Turquia, Alemanha e Países Baixos. Esta prevalência confirma a severidade do Log4Shell, que recebeu a classificação máxima de 10 em gravidade pelo standard de avaliação de vulnerabilidades Common Vulnerability Scoring System (CVSS).
“O volume das nossas deteções confirma que se trata de um problema de grande-escala que não irá desaparecer tão cedo,” afirmou a propósito Roman Kováč, Chief Research Officer na ESET. “Certamente, os atacantes estão a testar muitas variações do exploit, mas nem todas as tentativas de exploração são necessariamente maliciosas. Algumas podem ser benignas considerando que investigadores, empresas de segurança de informação, e testers também estão a testar as explorações para fins de defesa”.
O que é o Log4Shell?
O Log4Shell é uma vulnerabilidade do tipo remote code execution (RCE), ou seja, um ciberataque no qual o atacante pode executar comandos remotamente em servidores afetados. Isto significa que o atacante não necessita de acesso físico ao servidor para executar código arbitrário, que pode culminar no controlo total dos sistemas afetados e no roubo de dados sensíveis.
A deteção desta vulnerabilidade zero-day está a causar sérias preocupações com repercussões que vão muito além do setor da segurança. Entre os serviços com infraestrutura na Internet vulneráveis à vulnerabilidade zero-day no Apache Log4j estão serviços na cloud da Amazon, Apple, Steam, Tesla e Twitter.
Medidas de mitigação
O código proof of concept do exploit já está disponível online, assistindo-se agora a uma corrida entre hackers, que conduzem rastreamentos na Internet para explorar sistemas vulneráveis, administradores de segurança, que estão a atualizar os seus sistemas e implementar medidas de mitigação, e developers, que estão a auditar aplicações e bibliotecas de código por quaisquer dependências que possam incluir versões vulneráveis da biblioteca Log4j. A ESET já forneceu passos para a mitigação do exploit.