Anúncio
Anúncio
NotíciasSegurançaSoftware

Brecha log4j mortal expande vulnerabilidade da vítima

Anúncio

Cuidado com a vulnerabilidade do Log4j! Este bug de software desagradável tem grande parte do mundo de TI em pânico enquanto nos segue até o Ano Novo.

Sem dúvida, muitas organizações e SMBs sem equipe de TI não sabem nada sobre sua existência. Mas a ignorância de Log4j só os torna mais suscetíveis a um ataque. Eles permanecem indefesos.

Log4j é uma seção muito comum de código que ajuda aplicativos de software a acompanhar suas atividades passadas. Os autores de códigos confiam nesse código recorrente em vez de reinventar a roda de software, criando mais programas de registro ou registro para duplicar as mesmas funções.

No início deste mês, especialistas em segurança cibernética descobriram que, ao pedir ao Log4j para registrar uma linha de código malicioso, o Log4j executa esse código no processo. Isso dá aos maus atores acesso ao controle de servidores que estão executando o Log4j.

Essa revelação colocou quase todas as grandes empresas de software em modo de crise. Eles procuraram seus produtos para ver se a vulnerabilidade do Log4j os afetava e, se sim, como eles poderiam corrigir o buraco.

Essa vulnerabilidade é um grande negócio. A Log4j existe há quase uma década, observou Theresa Payton, ex-diretora de informações da Casa Branca e CEO da empresa de consultoria em segurança cibernética Fortalice Solutions.

“Pense nisso como sua biblioteca de todas as coisas loggable. Nós dizemos às organizações [para] registrar tudo [como] você pode precisar dele para a perícia mais tarde. Portanto, o Log4J é frequentemente usado por desenvolvedores Java quando eles querem registrar que uma pessoa fez login e pode até usá-lo para rastrear o acesso a aplicativos”, disse Payton ao TechNewsWorld.

Muitas empresas podem até não saber se usaram o Log4j, o que torna ainda mais difícil conhecer o escopo do problema. Para que eles descobrissem, eles precisariam de um engenheiro de software para analisar os vários sistemas para procurar o uso e, em seguida, olhar para as versões, acrescentou.

“Pode ser um processo demorado”, observou Payton, “e o tempo é algo que você não tem quando está correndo contra o relógio contra maus atores que procuram explorar essas vulnerabilidades”.

Porta dos Fundos para Hackers

Pense em uma fechadura de porta usada em uma variedade de instalações de hardware de segurança em milhões de locais ao redor do mundo. Algumas das fechaduras da porta têm a mesma falha de parte em uma pequena tala que permite que quase qualquer chave abra a fechadura.

Mudar sua própria fechadura é uma solução fácil se você souber da possível falha e tiver as ferramentas para fazer o trabalho de substituição. Fazer isso em todo o mundo é uma tarefa insuperável. Esse conceito é o que torna o desastre de Log4j tão ameaçador.

 

Log4j faz parte da linguagem de programação Java usada em software de escrita desde meados da década de 1990. O software executando o código Log4j impulsiona aplicativos corporativos e de consumidores em todos os lugares.

As empresas de armazenamento em nuvem que fornecem a espinha dorsal digital para milhões de outros aplicativos também são afetadas. Os principais vendedores de software de programas usados em milhões de dispositivos também estão envolvidos.

Normalmente, quando uma vulnerabilidade de segurança é encontrada, o chefe de segurança da informação (CISO) lidera a carga para atualizar e corrigir sistemas ou colocar em prática mitigações manuais, explicou Payton. Log4j é mais insidioso e oculto e não está totalmente no controle do CISO.

“Caçar e encontrar essa vulnerabilidade requer a todos que são programados. Onde o desenvolvimento acontece hoje em dia — em todos os lugares! Os desenvolvedores podem ser funcionários internos, desenvolvimento terceirizado, desenvolvimento offshore e fornecedores terceirizados”, observou.

Isso tudo equivale a uma oportunidade de ataque inesgotável para hackers. Claro, nem todos serão hackeados, pelo menos não imediatamente. A grande questão é descobrir se seu equipamento está sobrecarregado com o código problemático. Só descobrir é colocar departamentos de TI e engenheiros de software em sobrecarga.

“As implicações da exploração dessa vulnerabilidade são as coisas dos meus pesadelos. Um hacker antiético com conhecimento e acesso poderia usar essa vulnerabilidade e acessar servidores usando esse recurso de registro com execução remota de código em servidores”, alertou Payton.

Vetores de ataque ampliando

Os hackers agora estão totalmente cientes da vulnerabilidade do Log4j. Caçadores de cibersegurança estão vendo inúmeros casos em que bandidos estão expandindo o que podem fazer com seus ataques.

A equipe de pesquisa da Blumira descobriu recentemente um vetor de ataque alternativo na vulnerabilidade Log4j que se baseia em uma conexão Javascript WebSocket básica para acionar a vulnerabilidade de execução de código remoto (RCE) localmente através de um compromisso de drive-by. Essa descoberta piora a situação de vulnerabilidade.

Uma suposição inicial dos especialistas em segurança cibernética foi que o impacto do Log4j se limitava a servidores vulneráveis expostos. Este vetor de ataque recém-descoberto significa que qualquer pessoa com uma versão Log4j vulnerável pode ser explorada através do caminho de um servidor de escuta em sua máquina ou rede local através da navegação em um site e acionando a vulnerabilidade.

Os WebSockets já foram usados para sistemas internos de varredura de portas, mas isso representa uma das primeiras explorações de execução remota de código sendo retransmitidas pelo WebSockets, ofereceu Jake Williams, co-fundador e CTO na empresa de resposta a incidentes BreachQuest.

 

“Isso não deve mudar a posição de ninguém sobre o gerenciamento de vulnerabilidades. As organizações devem estar pressionando para corrigir rapidamente e mitigar, impedindo que conexões de saída sejam serviços potencialmente vulneráveis, onde a patches não é uma opção”, disse ele ao TechNewsWorld.

Embora significativos, os atacantes provavelmente favorecerão a exploração remota em relação à local, acrescentou John Bambenek, principal caçador de ameaças da empresa digital de operações de TI e segurança Netenrich. Dito isto, esta notícia significa que depender da WAF, ou outras defesas de rede, não é mais uma mitigação eficaz.

“O patching continua sendo o passo mais importante que uma organização pode dar”, disse ele ao TechNewsWorld.

Vulnerabilidade do Log4Shell

A vulnerabilidade log4j, apelidada de Log4Shell, já fornece um caminho de exploração relativamente fácil para atores de ameaças, observou o relatório de Blumira. Não requer autenticação para assumir o controle total dos servidores web.

Usando essa vulnerabilidade, os atacantes podem chamar bibliotecas Java externas via ${jdni:ldap:// e ${jndi:ldaps:// e drop shells para implantar o ataque RCE sem esforço adicional. Este novo vetor de ataque expande ainda mais a superfície de ataque para Log4j e pode impactar os serviços mesmo em execução como localhost que não foram expostos a nenhuma rede, de acordo com Blumira.

“Quando a vulnerabilidade do Log4j foi lançada, tornou-se rapidamente evidente que ela tinha potencial para se tornar um problema maior. Esse vetor de ataque abre uma variedade de casos potenciais de uso malicioso, desde o malvertista até a criação de buracos de rega para ataques drive-by”, disse Matthew Warner, CTO e co-fundador da Blumira.

“Trazer essas informações à luz garante que as organizações tenham a oportunidade de agir rapidamente e se proteger contra atores de ameaças maliciosas”, acrescentou.

Log4j Ligado a Dridex, Meterpreter

O log4j vulnerability offshoot Log4Shell é mais um caminho de infecção que os pesquisadores descobriram recentemente instalando o notório trojan bancário Dridex ou Meterpreter em dispositivos vulneráveis, de acordo com um relatório do Bleeping Computer.

Dridex malware é um trojan bancário desenvolvido pela primeira vez para roubar credenciais bancárias on-line. Ele evoluiu para um carregador que baixa vários módulos para executar tarefas como instalar cargas adicionais, se espalhar para outros dispositivos e tirar capturas de tela.

Usado principalmente para executar comandos windows, se o Dridex pousar em uma máquina não-Windows, ele em vez disso baixa e executa um script Python para Linux/Unix para instalar o Meterpreter.

Meterpreter, uma carga de ataque Metasploit, é implantada usando injeção DLL na memória que reside na memória e não escreve nada em disco. Ele fornece uma concha interativa que um invasor usa para explorar a máquina de destino e executar código.

Jen Easterly, diretora da Agência de Segurança Cibernética e Segurança de Infraestrutura dos EUA, disse em apresentações recentes na mídia que a vulnerabilidade do Log4j é a vulnerabilidade mais grave que ela já viu em suas décadas de carreira. Especialistas em segurança cibernética alertam que a vulnerabilidade do Log4j é o maior buraco de software de todos os tempos em termos do número de serviços, sites e dispositivos expostos.

Artigos relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado.

Botão Voltar ao topo

Adblock detectado

Por favor, considere apoiar-nos, desativando o seu bloqueador de anúncios