Topo

Log4J: 5 razões que tornam a falha a maior e mais perigosa da década

Dado Ruvic/Reuters
Imagem: Dado Ruvic/Reuters

Gabriel Daros

De Tilt, São Paulo

16/12/2021 15h42

O software Log4j, uma biblioteca de códigos abertos, é desconhecido da maioria das pessoas, mas está por trás de alguns dos programas mais usados do mundo, como Apple iCloud, Google, Twitter, Steam e Minecraft. Por isso, desde que descobriram que ele tinha falha de segurança empresas de tecnologia e segurança estão em alerta total.

A brecha foi considerada uma das mais perigosas do mundo, recebendo nota máxima em sua avaliação de risco, porque permite que pessoas mal-intencionadas executem códigos maliciosos remotamente.

"A vulnerabilidade de execução de código remoto da Apache Log4j é a maior e mais crítica da última década", disse Amit Yoran, especialista em segurança de redes de computadores e fundador da Equipe de Prontidão para Emergências de Computadores dos Estados Unidos.

Para Juan Andres Guerrero-Saade, pesquisador de cibersegurança da empresa SentinelOne, o problema é "uma daquelas vulnerabilidades dignas de pesadelo e que praticamente não há forma de se preparar para ela".

O problema foi revelado por um pesquisador de segurança da companhia chinesa Alibaba Group Holding.

Confira abaixo 5 motivos que tornam esta brecha um grande motivo de atenção:

1) Houve 1,8 milhão de ataques em 4 dias

A notificação da vulnerabilidade fez com que o número de ciberataques tomasse proporções altíssimas já no dia seguinte. Durante o fim de semana, empresas e órgãos governamentais do mundo todo apareceram como alvos em painéis de monitoramento de segurança.

Segundo um apontamento da Check Point, só nos quatro primeiros dias houve 1,8 milhão de ataques explorando a falha na biblioteca do Log4j.

Pesquisadores de cibersegurança notaram que a falha no Log4J causou alvoroço nos fóruns de cibercriminosos na deep web.

2) Programa pode invadir computador a distância

Em menos de 24 horas, foram detectados cerca de 70 malwares diferentes que se aproveitavam da brecha. Além disso, já foi detectado que um worm (programa malicioso que se espalha sozinho) baseado na vulnerabilidade está em desenvolvimento.

Ele poderá baixar arquivos remotamente, dará controle dos computadores ao usuário e pode usar o computador comprometido como servidor para se difundir.

3) É muito fácil de ser usado

Segundo uma análise da Kaspersky, tudo o que criminosos precisam para se aproveitar da falha no Log4J é forçar o aplicativo a gravar uma linha de código (string) num programa desenvolvido com ele.

Feito isso, a pessoa pode fazer upload de seu próprio código no aplicativo, sem qualquer ação do dono do equipamento.

Fábio Assolini, pesquisador sênior de segurança da Kaspersky, informa que esta vulnerabilidade é especialmente perigosa porque até mesmo hackers com pouca experiência podem explorá-la facilmente.

4) Governos já usam a brecha para ciberespionagem

Grupos de ciberinteligência financiados por governos também estão explorando maneiras de se aproveitarem da falha para espionagem virtual, segundo a Check Point.

O grupo iraniano Phosphorus, conhecidos por aplicar ransomwares (programas que sequestram e criptografam dados e depois cobram resgate), comprou ferramentas para explorar a falha no Log4J em seus alvos.

O Charming Kitten, outra organização hacker iraniana, já começou a visar alvos israelenses com esta vulnerabilidade.

Outras equipes de ciberespionagem, como a chinesa Hafnium, e outros agentes não identificados na Coreia do Norte e na Turquia já foram identificados.

O Centro de Inteligência de Ameaças da Microsoft (MSTIC) espera que a vulnerabilidade seja abusada pelo grupo em outros ataques.

O governo dos EUA enviou na sexta-feira um alerta ao setor privado sobre a falha e o risco que ela representa.

O software afetado pela Log4j pode ser desconhecido do grande público, mas o caso parece o que aconteceu no ano passado com a SolarWinds, cujo software ficou no centro de uma ampla campanha de espionagem russa.

5) Biblioteca de código aberto é projeto de baixo custo

Parte da gravidade da situação do Log4J está no fato de que a biblioteca possui pouco suporte. Desenvolvida por quatro desenvolvedores no tempo livre, a estrutura de código aberto foi amplamente adotada sem nunca receber apoio das grandes empresas.

"Houve muitas críticas agora porque Microsoft, Cisco e muitas empresas grandes de big tech usam o Log4j e não colocam um real no projeto", lamenta Assolini.

Apesar de um conserto parcial ter sido divulgado na sexta (10) pela Apache, a fundação sem fins lucrativos responsável pelo Log4j, especialistas dizem que vai ser necessário tempo para achar o defeito e implementar as soluções. A pressa, somada a falta de recursos, faz com que o problema demore até ser resolvido completamente.

"É um software crítico, usado por muita gente, e que tem quatro pessoas mantendo, como voluntários, sem receber nada, sem suporte financeiro", finaliza o especialista. (Com Reuters)