Vulnerabilidade do Log4j: O que é, por que e como
O que é o Log4j?
O Log4j é uma biblioteca de software desenvolvida em Java que é usada por milhões de computadores em todo o mundo em serviços online. É descrita como uma vulnerabilidade de dia zero (0 day) e classificada com a maior gravidade no Common Vulnerability Scoring System (CVSS; CVE-2021-44228). Foi classificada como 10 de 10 no CVSS, devido ao impacto potencial que pode ter se explorada por invasores. Essa vulnerabilidade permite que invasores controlem e executem código remotamente em máquinas vulneráveis.
Embora o Log4j seja mantido pela Apache, ele é utilizado em muitos aplicativos e dispositivos de fornecedores, além de sistemas personalizados. A seguinte referência lista os fornecedores conhecidos afetados até 12 de dezembro de 2021, mas não deve ser considerada definitiva. As organizações devem entrar em contato diretamente com os fornecedores para obter informações adicionais.
- CISA Vendor DB
- BleepingComputer
- GitHub: Dutch NCSC List of affected Software
- GitHub: SwitHak
Por que é crucial para as organizações levar isso a sério?
Essa vulnerabilidade, também conhecida como Log4Shell, permite a execução remota de código em muitos aplicativos por meio de solicitações web, sem autenticação, o que compromete toda a infraestrutura de tecnologia da informação (TI) e tecnologia operacional (TO).
A vulnerabilidade do Log4j, que é independente de fornecedores e afeta tanto software proprietário quanto de código aberto, deixará várias indústrias expostas a explorações remotas, incluindo energia elétrica, água, alimentos e bebidas, manufatura e transporte.
O Log4j é amplamente utilizado em uma variedade de serviços, sites e aplicativos de consumo e empresas, além de produtos de TO, para registrar informações de segurança e desempenho. A agência identificou que um invasor remoto não autenticado poderia explorar essa vulnerabilidade para assumir o controle de um sistema afetado.
Riscos possíveis para a TO:
- Possíveis impactos organizacionais que variam de mínimos a um ataque paralisante e possível roubo de informações, bem como perda de serviço.
- Disrupção das operações comerciais.
- A necessidade de divulgar onde os dados pessoais foram afetados.
- Custos associados à resposta a incidentes e recuperação.
- Danos à reputação.
Você está curtindo esse post? Inscreva-se para nossa Newsletter!
Newsletter Blog PT
Enviaremos newsletters e emails promocionais. Ao inserir meus dados, concordo com a Política de Privacidade e os Termos de Uso.
Como se proteger?
Identificar, Acessar, Priorizar e Agir: Esses são os 4 pilares que ajudarão qualquer indústria de TO a lidar com essa vulnerabilidade de maneira bem abordada. A gravidade da vulnerabilidade do Apache Log4j está começando a se desdobrar no setor industrial, à medida que os fornecedores começam a identificar a presença da vulnerabilidade transversal em suas linhas de produtos.
- Identifique todos os ativos, incluindo aqueles voltados para a internet e os isolados, que permitem a entrada de dados e o uso da biblioteca Java Log4j em qualquer parte da pilha de comunicação.
- Acesse a paisagem da TO em sua organização e entenda a abordagem de risco versus remediação. Atualize ou isole o ativo afetado com base nesse resultado.
- Priorize as áreas críticas em comparação com as não críticas e trabalhe em estratégias de mitigação, como monitorar padrões de tráfego estranhos (por exemplo, tráfego de saída JDNI LDAP/RMI, sistemas DMZ iniciando conexões de saída, etc.). Instale ou modifique um Firewall de Aplicativos da Web (WAF) existente com regras para detectar a presença de vulnerabilidades.
- Crie uma equipe de ação que conduzirá a resposta a incidentes em todos os níveis e envolva as partes interessadas-chave em todas as atividades.
É importante observar que essa vulnerabilidade afeta tanto a TI quanto a TO, que usam Java em sua base de código, e com a gravidade dessa vulnerabilidade, surgirão variações mais sofisticadas de explorações do Log4j com uma probabilidade maior de impactar diretamente as redes da TO.
As organizações precisarão conduzir a abordagem de baixo para cima, pois, uma vez que as redes e aplicativos forem identificados, a paisagem poderá ser especificada e o plano de ação poderá ser elaborado. Tenha em mente que é imprescindível sempre se manter atualizado com os avisos, pois eles estão em constante atualização.
Leia a versão original em inglês no site da ISA: https://gca.isa.org/blog/log4j-vulnerability-what-why-and-how