Log4J: 5 razões que tornam a falha a maior e mais perigosa da década
O software Log4j, uma biblioteca de códigos abertos, é desconhecido da maioria das pessoas, mas está por trás de alguns dos programas mais usados do mundo, como Apple iCloud, Google, Twitter, Steam e Minecraft. Por isso, desde que descobriram que ele tinha falha de segurança empresas de tecnologia e segurança estão em alerta total.
A brecha foi considerada uma das mais perigosas do mundo, recebendo nota máxima em sua avaliação de risco, porque permite que pessoas mal-intencionadas executem códigos maliciosos remotamente.
"A vulnerabilidade de execução de código remoto da Apache Log4j é a maior e mais crítica da última década", disse Amit Yoran, especialista em segurança de redes de computadores e fundador da Equipe de Prontidão para Emergências de Computadores dos Estados Unidos.
Para Juan Andres Guerrero-Saade, pesquisador de cibersegurança da empresa SentinelOne, o problema é "uma daquelas vulnerabilidades dignas de pesadelo e que praticamente não há forma de se preparar para ela".
O problema foi revelado por um pesquisador de segurança da companhia chinesa Alibaba Group Holding.
Confira abaixo 5 motivos que tornam esta brecha um grande motivo de atenção:
1) Houve 1,8 milhão de ataques em 4 dias
A notificação da vulnerabilidade fez com que o número de ciberataques tomasse proporções altíssimas já no dia seguinte. Durante o fim de semana, empresas e órgãos governamentais do mundo todo apareceram como alvos em painéis de monitoramento de segurança.
Segundo um apontamento da Check Point, só nos quatro primeiros dias houve 1,8 milhão de ataques explorando a falha na biblioteca do Log4j.
Pesquisadores de cibersegurança notaram que a falha no Log4J causou alvoroço nos fóruns de cibercriminosos na deep web.
2) Programa pode invadir computador a distância
Em menos de 24 horas, foram detectados cerca de 70 malwares diferentes que se aproveitavam da brecha. Além disso, já foi detectado que um worm (programa malicioso que se espalha sozinho) baseado na vulnerabilidade está em desenvolvimento.
Ele poderá baixar arquivos remotamente, dará controle dos computadores ao usuário e pode usar o computador comprometido como servidor para se difundir.
3) É muito fácil de ser usado
Segundo uma análise da Kaspersky, tudo o que criminosos precisam para se aproveitar da falha no Log4J é forçar o aplicativo a gravar uma linha de código (string) num programa desenvolvido com ele.
Feito isso, a pessoa pode fazer upload de seu próprio código no aplicativo, sem qualquer ação do dono do equipamento.
Fábio Assolini, pesquisador sênior de segurança da Kaspersky, informa que esta vulnerabilidade é especialmente perigosa porque até mesmo hackers com pouca experiência podem explorá-la facilmente.
4) Governos já usam a brecha para ciberespionagem
Grupos de ciberinteligência financiados por governos também estão explorando maneiras de se aproveitarem da falha para espionagem virtual, segundo a Check Point.
O grupo iraniano Phosphorus, conhecidos por aplicar ransomwares (programas que sequestram e criptografam dados e depois cobram resgate), comprou ferramentas para explorar a falha no Log4J em seus alvos.
O Charming Kitten, outra organização hacker iraniana, já começou a visar alvos israelenses com esta vulnerabilidade.
Outras equipes de ciberespionagem, como a chinesa Hafnium, e outros agentes não identificados na Coreia do Norte e na Turquia já foram identificados.
O Centro de Inteligência de Ameaças da Microsoft (MSTIC) espera que a vulnerabilidade seja abusada pelo grupo em outros ataques.
O governo dos EUA enviou na sexta-feira um alerta ao setor privado sobre a falha e o risco que ela representa.
O software afetado pela Log4j pode ser desconhecido do grande público, mas o caso parece o que aconteceu no ano passado com a SolarWinds, cujo software ficou no centro de uma ampla campanha de espionagem russa.
5) Biblioteca de código aberto é projeto de baixo custo
Parte da gravidade da situação do Log4J está no fato de que a biblioteca possui pouco suporte. Desenvolvida por quatro desenvolvedores no tempo livre, a estrutura de código aberto foi amplamente adotada sem nunca receber apoio das grandes empresas.
"Houve muitas críticas agora porque Microsoft, Cisco e muitas empresas grandes de big tech usam o Log4j e não colocam um real no projeto", lamenta Assolini.
Apesar de um conserto parcial ter sido divulgado na sexta (10) pela Apache, a fundação sem fins lucrativos responsável pelo Log4j, especialistas dizem que vai ser necessário tempo para achar o defeito e implementar as soluções. A pressa, somada a falta de recursos, faz com que o problema demore até ser resolvido completamente.
"É um software crítico, usado por muita gente, e que tem quatro pessoas mantendo, como voluntários, sem receber nada, sem suporte financeiro", finaliza o especialista. (Com Reuters)
ID: {{comments.info.id}}
URL: {{comments.info.url}}
Ocorreu um erro ao carregar os comentários.
Por favor, tente novamente mais tarde.
{{comments.total}} Comentário
{{comments.total}} Comentários
Seja o primeiro a comentar
Essa discussão está encerrada
Não é possivel enviar novos comentários.
Essa área é exclusiva para você, assinante, ler e comentar.
Só assinantes do UOL podem comentar
Ainda não é assinante? Assine já.
Se você já é assinante do UOL, faça seu login.
O autor da mensagem, e não o UOL, é o responsável pelo comentário. Reserve um tempo para ler as Regras de Uso para comentários.