Conheça a história do Log4j, a análise de seu impacto e o que fazer a seguir.
A comunidade de pesquisa de segurança esperava que algo assim acontecesse há algum tempo. Portanto, foi com uma sensação de pavor que lemos notícias de uma vulnerabilidade recém-descoberta do CVSS 10.0 no início de dezembro. O impacto já está sendo sentido em todo o mundo, à medida que os agentes de ameaças lutam para explorar o bug antes que os defensores possam aplicar seus patches. É uma história que pode levar meses ou até anos para se desenrolar.
Os dados mais recentes de clientes da Trend Micro revelam quão significativo é o alcance global e vertical do Log4Shell e a enorme variedade de aplicativos que ele impacta. É por isso que continuamos pesquisando novos vetores e vulnerabilidades do Log4j em potencial e para ajudar as organizações a entender melhor onde eles podem estar expostos.
O que aconteceu?
O Log4j é uma ferramenta de registro popular baseada em Java usada em plataformas tão diversas quanto Minecraft e Elasticsearch. Uma vulnerabilidade de alta gravidade apelidada de “Log4Shell” foi corrigida pela comunidade Apache de código-aberto no início de dezembro. No entanto, explorações criadas posteriormente para ele já foram usadas por agentes de ameaças para lançar ransomware, minerar ilegalmente por moeda virtual, roubar dados e muito mais. Por que é tão perigoso?
- O Log4j é quase onipresente em empresas modernas, tanto em aplicações de terceiros quanto em aplicações internas;
- Devido às dependências do Java, nem sempre é fácil encontrar instâncias do Log4j em execução, para corrigi-las;
- Existem vários vetores de ataque, dependendo da aplicação em questão. No caso do Minecraft, a exploração teria sido tão simples quanto copiar uma string em uma caixa de bate-papo;
- A vulnerabilidade pode levar à execução remota de código, permitindo que invasores instalem código malicioso em uma máquina afetada para iniciar uma série de ataques.
Mapeando a propagação do Log4j
Novos dados da Trend Micro destacam exatamente a extensão da ameaça. Embora apenas 7% de nossos clientes tenham sido impactados, eles estavam espalhados pela Europa (26%), Américas (33%), Japão (16%) e AMEA (25%). Os EUA dominaram país a país (5.069), seguidos pelo Japão (4.223). A ameaça também é a presença em verticais. Os três principais clientes da Trend Micro foram governo (1.950), varejo (1.537) e manufatura (1.507).
Como mencionado, o Log4j é um utilitário incrivelmente popular para log baseado em Java. Em nosso detalhamento, descobrimos que é mais comum na área de trabalho no StandAlone Doc Browser, 724Access, VMware e Minecraft. No lado do servidor, foram Tableau, PowerChute Business Edition, spectrumcontrol e Tomcat.
No entanto, essa ainda não é toda a história. Também observamos alguns aplicativos afetados com mais frequência em regiões específicas. SIOS.QuickAgent2 liderou a lista no Japão, por exemplo. Quando se trata de verticais, o Tableau e o VMware foram os mais afetados no governo, varejo e manufatura. Mas o terceiro lugar foi para ArcGIS no governo, SASEnvironmentManager no varejo e Informatica Cloud Security Agent na fabricação. Saber onde encontrar o Log4j é crucial para mitigar o risco de exploração.
Uma nova ameaça DoS
Desde então, a história deu mais uma reviravolta, graças em parte ao trabalho do pesquisador da Trend Micro Guy Lederfein e da Zero Day Initiative (ZDI) da Trend Micro. Ele ajudou a descobrir uma nova vulnerabilidade de negação de serviço (DoS) no Log4j que foi posteriormente corrigida.
Como o maior programa de recompensas de bugs agnóstico de fornecedores do mundo, a missão da ZDI nunca foi tão importante. Incentivar pesquisadores de todo o mundo a encontrar novas vulnerabilidades antes que os bandidos o façam é de suma importância em um mundo onde explorações de programas populares como o Log4j podem resultar em danos tão generalizados tão rapidamente.
Enquanto isso, a Trend Micro está pronta para ajudar os clientes com uma ferramenta de avaliação gratuita projetada para erradicar instâncias de Log4j sem patch em seu ambiente de TI. Confira todas as informações mais recentes sobre a ameaça aqui.