Log4j: entenda a falha de segurança e sua gravidade

3 min de leitura
Imagem de: Log4j: entenda a falha de segurança e sua gravidade
Imagem: Alexander Limbach/Shutterstock
Avatar do autor

O ano de 2021 foi marcado por mais uma leva de centenas (talvez milhares) de golpes cibernéticos que afetaram empresas e até órgãos governamentais. Para “fechar o ano”, uma grande vulnerabilidade foi descoberta e deixou o mundo inteiro em alerta: a falha do Log4j.

A plataforma de código aberto utilizada por empreendimentos Apple, Twitter, Steam e Tencent tem uma brecha grave que permite aos agentes maliciosos roubarem dados confidenciais, enviarem arquivos para um servidor e mais.

De acordo com o Google, mais de 35 mil pacotes Java, o que representa mais de 8% do repositório Maven Central (o principal repositório Java), foram afetados pelo problema. Descoberta em 16 de dezembro, a vulnerabilidade foi considerada uma das “mais sérias” já vistas por Jen Easterly, chefe do Departamento de Segurança Cibernética e Agência de Segurança de Infraestrutura (CISA) dos Estados Unidos.

Log4j

Porém, qual a verdadeira gravidade do Log4j? Os usuários devem ficar preocupados com o problema? O TecMundo preparou um material para explicar essas questões.

Como os atacantes aproveitam a falha Log4j?

Segundo a Tenable, empresa especialista em Cyber Exposure, o problema com o Log4j é considerado crítico porque explorá-lo é relativamente simples. A brecha permite que o invasor remoto não autenticado realize um ataque à popular biblioteca de log Apache Log4j, utilizada por vários serviços muito populares como iCloud, Amazon e Tesla, além dos já citados no começo da matéria.

Segundo a Tenable, a vulnerabilidade é aproveitada quando um invasor envia uma solicitação manipulada que usa uma injeção de Java Name and Directory Interface (JNDI), que é uma interface de diretório java) por meio de uma variedade de serviços, incluindo: Lightweight Directory Access Protocol, Secure (LDAP), Remote Method Invocation (RMI) e Domain Name Service (DNS).

JAVA

Caso o servidor vulnerável utilize o log4j para registrar solicitações, a exploração envia uma carga maliciosa via JNDI usando um dos serviços mencionados acima, tudo a partir de um servidor controlado pelo atacante.

Qual o perigo da falha Log4j?

Amit Yoran, especialista em cibersegurança e CEO da Tenable, diz que este é o problema mais crítico da última década. Indo ainda mais além, ele defende que esta é a maior vulnerabilidade na história da computação moderna.

“Esse tipo de vulnerabilidade é um lembrete de que as organizações devem desenvolver programas maduros de cibersegurança para entender o risco cibernético em um mundo dinâmico. Embora os detalhes ainda estejam começando a ser revelados, encorajamos as organizações a atualizar seus controles de segurança, assumir que eles foram comprometidos e ativar os planos de resposta a incidentes existentes”, ele comenta.

Segundo Yoran, as organizações devem ter como prioridade o trabalho com as equipes de segurança e engenharia da informação para conduzir respostas ágeis a possíveis incidentes e identificar o impacto interno da falha.

E um dos maiores riscos que as empresas correm é justamente de serem vítimas de ataques ransomware. Neste tipo de golpe, que cresceu em 30% somente no Brasil, o atacante consegue criptografar as informações da vítima. Depois disso, o cibercriminoso cobra um valor (normalmente em criptomoedas) para que os dados sejam resgatados.

Ransomware

Thiago Ayub, diretor de Tecnologia da Sage Networks, empresa especializada em Cibersegurança, explica ao TecMundo que muitas organizações, principalmente as que não têm a tecnologia da informação (popular TI) como atividade fim, enxergam a cibersegurança como custo, e não investimento.

“Muitas empresas não se dão conta que por mais cara que uma solução ou profissional de segurança possa ser, eles ainda são muito baratos se comparados a um ransomware, a indisponibilidade por DDoS ou as sanções da LGPD pelo vazamento de dados. Como as possíveis vítimas são numerosas, mais grupos cibercriminosos se formam, já que tem sido uma modalidade de crime lucrativa e ainda razoavelmente impune”, Ayub argumenta.

Os usuários precisam ficar preocupados com o Log4j?

Ayub esclarece que a falha Log4j já foi corrigida a partir do lançamento de patches. No entanto, com a amplitude do problema e o grande número de empresas afetadas, o usuário final deve se preocupar com o problema?

O especialista diz que são raras as aplicações instaladas em computadores e outros dispositivos pessoais que utilizam o software. Isso não significa, porém, que as pessoas podem ficar tranquilas, muito pelo contrário.

Além de salientar que nossos dados pessoais estão “nas mãos” dos vários serviços e empresas que utilizam a plataforma de código aberto, existe perigo para todo mundo. Ayub também comenta sobre a importância de que todas as pessoas criem hábitos digitais mais saudáveis.

Cibersegurança

“Como usuários, precisamos ganhar o hábito de reduzir a quantidade de dados pessoais desnecessariamente presentes em serviços e empresas de terceiros. Como ainda encontramos um crescente número de ameaças, é essa ação que individualmente nos resta a fazer: questionar empresas e serviços que tenham dados desnecessários nossos e fazer uso da prerrogativa que a LGPD nos dá de solicitar a exclusão total de nossas informações de empresas e serviços com os quais não nos relacionamos mais”, finaliza.