Log4Shell é a vulnerabilidade mais recente que traz à mente muitos administradores que viram como seus servidores são vulneráveis a ataques remotos. É uma falha de segurança grave, que pode ser explorada de forma simples. Além disso, pode afetar um grande número de usuários. Foi descoberto que afeta os serviços em nuvem, como Apple iCloud ou Steam. Neste artigo, explicamos o que é exatamente, como funciona e, claro, o que fazer para resolver este problema.
O que é Log4Shell
É uma vulnerabilidade que afeta a popular biblioteca de registro Java log4j , desenvolvida pela apache . É amplamente utilizado em todos os tipos de serviços e softwares. Por exemplo, em jogos como Minecraft, além de serviços em nuvem. Ele é usado para aplicativos para armazenar um registro ou log durante sua operação.
Podemos dizer que este problema afeta milhões de servidores ao redor do mundo. Todos eles são vulneráveis e podem ser atacados remotamente. Ao explorar a falha do Log4Shell, um invasor pode infiltrar o malware e assumir o controle total desse servidor. Basicamente, ele teria mão livre para fazer o que quisesse.
A vulnerabilidade foi registrada como CVE-2021-44228 e uma pontuação CVSS de 10. Para explorá-lo, o invasor simplesmente precisa que o aplicativo registre uma string especial, uma série de caracteres. O pesquisador de segurança da computação Matthew Prince, em seu Twitter perfil, relata evidências de que a exploração estava disponível pelo menos 9 dias antes de sua publicação, embora não haja evidências de que ela tenha sido amplamente utilizada até então.
No entanto, agora existem muitos invasores que estão explorando a vulnerabilidade Log4Shell e sendo capazes de realizar seus ataques. Eles podem, por exemplo, instalar mineradores de criptomoeda em um servidor ou transformar os dispositivos afetados em um botnet.
Como detectar esta vulnerabilidade
Estima-se que o Java esteja presente em cerca de 3 bilhões de dispositivos em todo o mundo. A grande maioria dos programadores usa Log4j, portanto, muitos podem ser vulneráveis a esse problema. É possível saber se um sistema é vulnerável ao Log4Shell? Existem várias maneiras de fazer isso e uma das mais fáceis é conheça a versão do Log4j você instalou. Os vulneráveis variam de 2.0-beta9 a 2.14.1.
Além disso, sobre GitHub podemos encontrar as etapas para executar comandos e detectar se a vulnerabilidade registrada como CVE-2021-44228 está presente ou não. Isto Scanner baseado em Python age como um detector para o Vulnerabilidade do Log4Shell.
Podemos dizer que a maneira mais fácil de detectar se um endpoint remoto é vulnerável é acionar um DNS pergunta . O que a exploração faz é que o servidor vulnerável hipotético tenta obter código remoto. Usando o endereço de uma ferramenta gratuita de registro de DNS na cadeia de exploit, podemos detectar quando a vulnerabilidade é acionada. Como eles explicam em Lunasec , podemos usar CanaryTokens para isso.
Como consertar em seu sistema
Se você sabe que seu sistema está vulnerável e deseja protegê-lo, existem maneiras diferentes. O mais recomendado agora é atualize a versão de Log4j para 2.15.0 , que corrige o problema. Você pode baixá-lo do oficial Site da Apache. É muito importante ter sempre as versões mais recentes e este é um exemplo claro disso.
Você também pode consultar o oficial Anúncio de segurança Log4j, onde você encontrará todas as informações sobre as etapas para corrigir a vulnerabilidade e instalar os patches necessários.
No entanto, devido à enorme importância desta falha de segurança, surgiram diferentes opções que atuaram como “patches momentâneos” e, assim, ser capazes de corrigir ou pelo menos reduzir o problema. Um exemplo é o escrita lançado por o Cybereaso , que depende da própria vulnerabilidade para desabilitar uma configuração em uma instância remota e vulnerável do Log4Shell.
Além disso, outra atenuação temporária até que houvesse um patch era definir o parâmetro log4j2.formatMsgNoLookups; como True ao iniciar a máquina virtual Java.
Em última análise, a vulnerabilidade Log4Shell é muito perigosa e colocou milhões de dispositivos em todo o mundo em risco. É essencial corrigir o problema o mais rápido possível e nada melhor do que atualizar para a versão mais recente.
