Apache Log4j: perto de metade das redes corporativas em Portugal sofreram uma tentativa de ataque

A vulnerabilidade Log4Shell é uma ameaça crítica a todos os que utilizam a framework Apache Struts. Uma falha relativamente fácil de explorar no Apache Log4j 2.14.1 pode permitir a execução de código remoto não autenticado e fazer um takeover completo ao servidor. A vulnerabilidade está a ser explorada.

A falha foi revelada em sites referentes ao jogo ‘Minecraft’ – que tem uma versão Java – na última quinta-feira. Os atacantes conseguiam lançar código malicioso tanto em servidores como clientes que corriam a referida versão do jogo através da manipulação de mensagens de log.

Ainda na mesma quinta-feira, a falha recebeu o nome de ‘Log4Shell’ e recebeu o track number CVE-2021-44228. O CERT da Deutsche Telekom revelou na sexta-feira que existiam atores maliciosos a explorar o novo bug.

O NIST detalha que um atacante pode controlar as mensagens de log ou os parâmetros das mensagens de log para executar código arbitrário de servidores LDAP. A versão 2.15.0 do log4j desativou por definição esta função.

A Check Point Research tem acompanhado a evolução da vulnerabilidade no Apache Log4j e o seu impacto e partilhou que, em Portugal, 43% das redes corporativas sofreram uma tentativa de exploração maliciosa. A proteção Quantum Gateway recentemente emitida pela Check Point Software, potenciada pela rede colaborativa Threat Cloud, evitou, até ao momento, 820 mil tentativas de alocar a vulnerabilidade.

Incorporado em quase todos os serviços e aplicações conhecidas, como Twitter, Amazon, Microsoft, Minecraft e outros, o Log4j conta com mais de 400 mil downloads. É utilizado num vasto número de empresas a nível mundial, permitindo o logging em várias aplicações amplamente conhecidas. Até ao momento presente, a maioria dos ataques têm-se focado na mineração de criptomoeda à custa das vítimas. Suspeita-se, contudo, que os atacantes avancem de forma mais agressiva perante alvos de grande dimensão. 

A Check Point Software emitiu uma nova proteção Quantum Gateway potenciada pela ThreatCloud para prevenir este ataque que, até ao momento e como referido, evitou 820 mil tentativas de alocar a vulnerabilidade. Dados da Check Point Software indicam que mais de 46% das tentativas de ataque foram perpetradas por grupos maliciosos conhecidos.

Na Europa, a 13 de dezembro, mais de 40% das redes corporativas haviam já sido impactadas pela vulnerabilidade – percentagem acima da estimativa global. Em Portugal, 43% das redes corporativas foram vítimas de uma tentativa de exploração maliciosa desta vulnerabilidade, avança a Check Point Research .

A empresa de cibersegurança partilhou mais alguns dados, nomeadamente que chegou a identificar mais de cem hacks por minuto relacionados com a vulnerabilidade no Log4j e documentou mais de 846 mil ataques 72 horas após o inicial surto.

Lotem Finkelstein, Director, Threat Intelligence and Research for Check Point Software Technologies, comenta que “esta é, sem dúvida, uma das mais severas vulnerabilidades na internet dos últimos anos e têm conseguido disseminar-se como um incêndio descontrolado. Chegámos a ver mais de cem ataques por minuto relacionados com a vulnerabilidade no Log4j. Estamos a ver o que parece ser uma ‘repressão evolutiva’, com novas variantes da exploração original a surgirem rapidamente – identificámos mais de 60 em menos de 24 horas. O número de possibilidades de exploração dá ao atacante inúmeras alternativas para contornar proteções recentemente introduzidas. Significa isto que uma camada de proteção não é suficiente. Apenas uma postura de segurança abrangente e multicamadas pode proporcionar resiliência”. 

O executivo acrescenta, ainda, que, “ao contrário de outros grandes ciberataques que envolvem um número limitado de softwares, o Log4j está incorporado em basicamente todos os produtos ou servidores web que são java-based. É muito difícil remediar manualmente o problema. Assim que foi divulgada a exploração (na sexta-feira), começaram os scans na internet (para identificar as superfícies que ficaram vulneráveis com este incidente). Aqueles que não implementaram uma proteção, provavelmente já foram identificados pelos agentes maliciosos. Até ao momento, documentámos mais de 846 mil ataques, e mais de 40% das redes corporativas a nível global foram visadas”.