Log4j: atualizações de vulnerabilidade do Apache

dezembro 22, 2021 gurinho

Não passou muito tempo desde oanúncio da vulnerabilidade do Log4j, que abalou todo o mundo de TI, mas, nesse ínterim, muitas atualizações se seguiram em um ritmo rápido. Em primeiro lugar, o lançamento de um novo patch desde o anterior pode ser explorado para uma nova vulnerabilidade . Além disso, os primeiros relatórios de ataques que exploram o movimento lateral entre sistemas para ter sucesso em visar organizações. Um quadro preocupante que causa muita preocupação dada a enorme difusão da biblioteca Java em todo o mundo e em qualquer sistema. Vamos prosseguir passo a passo, começando com as seguintes vulnerabilidades do original.

Patches após a primeira vulnerabilidade Log4j

A vulnerabilidade original, chamadaCVE-2021-44228 , foi descoberta em 10 de dezembro. Sua presença permite, em algumas versões da biblioteca Log4j, executar código remoto. A causa é uma configuração incorreta no JNDI , um componente do Java necessário para a navegação no diretório que não protege adequadamente contra ataques baseados no servidor LDAP. Na verdade, o invasor pode injetar partes do código que, uma vez conectado, causa a execução remota de software (potencialmente malicioso).

A primeira solução foi desativar esse recurso ou atualizar para a versão 2.15. No entanto, uma nova vulnerabilidade apareceu logo depois,CVE-2021-45046 , também bastante séria (9 em cada 10 e, portanto, definida como crítica). Na verdade, a partir das análises realizadas, a correção introduzida com a versão 2.15 para a vulnerabilidade anterior ainda era instável e poderia gerar, quando apropriadamente explorada em algumas configurações, perda de informações e ainda execução remota de código malicioso .

E aqui está o lançamento da versão 2.16 que desativa completamente a consulta de mensagens e o acesso ao JNDI. Mas o pior não tem fim. Em 20 de dezembro, foi publicada a vulnerabilidadeCVE-2021-45105 , do tipo Denial of Service e classificada como de alto risco. Na verdade, a versão 2.16 que corrigiu as duas vulnerabilidades anteriores não lidou com as recursões descontroladas geradas por pesquisas que chamavam a si mesmas. Isso pode gerar um erro de Stack Overflow que faz com que o processo seja interrompido, causando uma negação de serviço (DoS) . O Apache lançou a versão 2.17 da biblioteca, mas a atenção ainda é alta e não há certeza de que possa haver outras vulnerabilidades.

Ataques colaterais e riscos para empresas (e não só)

Naturalmente, a grande atenção sobre o assunto tem levado pesquisadores e hackers a encontrar todos os modelos de ataque possíveis. Na verdade, se no início parecia haver problemas apenas com servidores vulneráveis, foi descoberto mais tarde que a vulnerabilidade também pode ser explorada em contextos dentro da rede, como máquinas que têm serviços em execução no localhost . Por exemplo, este novo vetor de ataque explora o uso de websockets que são difíceis de identificar, especialmente quando abertos para localhost. Se os serviços executados localmente tiverem a vulnerabilidade Log4j (ou seja, uma biblioteca sem patch), é possível realizar um ataque completo com execução remota de código malicioso.

Junto com os novos vetores virais , uma linha de ataque está se desenvolvendo amplamente e provavelmente tentará explorar o Log4j em combinação com um ransomware . Embora ainda não haja evidências, há muitos relatos de ataques que usam Log4j para fazer movimentos laterais nos sistemas afetados. Por exemplo, o grupo de pesquisa Conti disse que usou o Log4j para alcançar e tomar posse dos servidores VMWare vCenter. Assim que isso foi alcançado, eles puderam se mover livremente pela rede corporativa, atacando outros sistemas conectados.

Em conclusão, Log4j está provando ser um calcanhar de Aquiles importante para a computação moderna, criando uma base extremamente ampla e difundida para hackers em todo o mundo. A resolução do problema provavelmente levará muito tempo e não é certo que você consiga proteger completamente todos os sistemas.

Artigo Log4j: As atualizações de vulnerabilidade do Apache vêm do Tech CuE | Engenharia de close-up .