Topo

Amazon, Google, Twitter: quem foi afetado pela falha de segurança Log4J

Brecha descoberta na semana passada afeta diversos apps usados mundialmente - Freepik
Brecha descoberta na semana passada afeta diversos apps usados mundialmente Imagem: Freepik

Gabriel Daros

De Tilt, São Paulo

17/12/2021 18h20

Agências de segurança da Europa e dos Estados Unidos estão reunindo uma lista com os serviços digitais de grandes empresas que foram comprometidos pela vulnerabilidade no Log4J, uma biblioteca de software amplamente adotada no mercado de tecnologia. A falha de segurança permite que cibercriminosos tomem controle dos computadores à distância, forçando-os a executar linhas de código nocivas sem qualquer ação do usuário.

Entre as empresas, estão Amazon, Google, Twitter, Microsoft, IBM, Intel, Lenovo, Dell e Siemens, segundo levantamento realizado pela CISA (Agência de Segurança de Cibersegurança e Infraestrutura dos Estados Unidos) e o NCSC (Centro Nacional de Cibersegurança do Reino Unido).

O problema, detectado na quinta-feira passada (9), está sendo considerado uma dos "mais graves da última década", e consiste em uma brecha de programação num recurso usado para computar registros (os chamados "logs") em uma série de programas e apps.

O Log4J trabalha com registros de dados na linguagem de programação Java. Nomeada CVE-2021-44228, esta brecha recebeu nota máxima no nível de periculosidade.

"Estamos aplicando nossas ferramentas de detecção de escaneamento e intrusão para ajudar parceiros do governo e indústria a identificar exposição ou abuso da vulnerabilidade", afirmou Jen Easterly, diretora da CISA, em nota.

A agência norte-americana incluiu a vulnerabilidade na lista de ameaças nacionais, o que obriga todas as empresas a correrem atrás de uma solução para o problema. De acordo com com uma análise da empresa de segurança Eset, a maior parte dos ataques visava alvos dos Estados Unidos.

Servidores, nuvem e apps de escritório despontam na lista

amazon web services - Getty Images - Getty Images
Escritório da Amazon Web Services, em Nova Iorque; serviço foi comprometido pela brecha
Imagem: Getty Images

No repositório da CISA, no GitHub (uma plataforma para compartilhamento de códigos de programação), a barra de rolagem chega a encolher. A lista é bem grande com diversas ferramentas usadas no cotidiano digital e no ambiente profissional.

Classificadas em "sob investigação", "com falhas" e "sem falhas", diversos desenvolvedores têm compartilhado se as empresas já anunciaram atualizações de correção, ou onde está a parte vulnerável dos códigos, transformando a busca em uma caçada coletiva a bugs para solucionar o mais rápido possível o problema.

Nesta lista, serviços populares de hospedagem e armazenamento em nuvem, como o Google Cloud e Cloudera, foram atingidos pela falha —com o Google chegando a apresentar suas próprias soluções em declaração.

A Amazon também foi afetada, com parte da sua estrutura de Web Services (AWS) comprometida. Responsável pelo gerenciamento de acessos e funções de diversas páginas privadas e governamentais, o serviço ainda não recebeu uma solução.

Aplicativos básicos da Microsoft, como o antivírus nativo Microsoft Defender e a plataforma Azure estavam comprometidos com a falha no Log4J. A plataforma de apps empresariais da Microsoft, a SolarWinds — que foi alvo de um dos maiores ataques hacker da história no ano passado — também foi afetada pela brecha.

Desenvolvedores de ferramentas de escritório mais populares e específicas, como da Salesforce, Zendesk e Atlassian (a criadora do Trello), também aparecem na lista. O mesmo vale para empresas como IBM, Intel, Lenovo, Dell e Siemens, que possuem apps específicos para o funcionamento de seus dispositivos.

Os apps que eu uso não estão na lista, devo me preocupar?

Diversos serviços populares não constam nas listas da CISA e da NCSC, o que pode dar a entender que redes sociais e outros aplicativos de uso mais cotidiano, como Twitter, Steam e programas da Apple, não sejam afetados. Mas esse não é o caso.

Essas empresas — e outras como LinkedIn, Tencent, Tesla e Baidu — utilizam o Log4J em parte de suas estruturas. E também possuem falhas documentadas. No entanto, a maioria dos ataques documentados até o momento tem concentrado grandes alvos comerciais, como companhias que utilizam os serviços exploráveis.

Fábio Assolini, analista sênior de segurança da Kaspersky, explica que este movimento se dá porque os cibercriminosos buscam primeiro alvos maiores do mercado, antes de desenvolver ataques aos usuário.

"Neste momento, os ataques são todos voltados para 'peixes grandes'", afirma em entrevista a Tilt. "Mas acho que não vai demorar para que isso seja massivamente usado contra usuários domésticos."

A recomendação para os usuários é de que acompanhem de perto as atualizações dos programas instalados em seus dispositivos, passando-os para as últimas versões a medida em que surgem.