Chamada de “a pior catástrofe de segurança cibernética de 2021”, a exploração da biblioteca de registro Apache Log4j gerou 60 mutações maiores em menos de um dia, disseram os pesquisadores
Recentemente, a internet enfrenta uma ameaça que, tal qual um câncer altamente maligno, sofre mutações e avança rapidamente. Conhecido como exploit de biblioteca de registro Apache Log4j, a vulnerabilidade atrai enxames de cibercriminosos desde que foi anunciada publicamente em dezembro de 2021.
A maioria dos ataques se concentra na mineração de criptomoedas, conforme observado pela Sophos, Microsoft e outras empresas de segurança. No entanto, os invasores também estão ativamente tentando instalar malwares muito mais perigosos em sistemas vulneráveis, podendo elevar o perigo para outro nível.
Pesquisadores da Microsoft informam que, além de mineradores de moedas, eles também viram instalações de Cobalt Strike, que os criminosos podem usar para roubar senhas, penetrar ainda mais em redes comprometidas com movimento lateral e extrair dados.
Mas tudo pode ficar ainda pior. Pesquisadores de segurança cibernética da Check Point alertaram que a evolução já levou a mais de 60 mutações maiores e mais potentes, todas geradas em menos de um dia.
A falha, que é “super fácil de explorar”, de acordo com especialistas, foi chamada de Log4Shell. Ela reside na onipresente biblioteca de registro Java Apache Log4j e pode permitir a execução remota de código não autenticado (RCE) e o controle completo do servidor. Ele apareceu pela primeira vez em sites voltados para o maior jogo online da atualidade, o Minecraft, e, poucas horas após sua divulgação, estava sendo explorada em alta escala.
Mutações podem permitir que explorações contornem proteções anteriores
Em seu relatório, a Check Point relatou que a nova mutação maligna do Log4Shell agora pode ser explorada por HTTP ou HTTPS (a versão criptografada de navegação).
De modo geral, quanto mais formas de explorar a vulnerabilidade, mais alternativas os invasores terão para escapar das novas proteções que foram freneticamente ativadas desde a divulgação da ameaça, disse a Check Point. “Isso significa que uma camada de proteção não é suficiente e apenas as posturas de segurança em várias camadas forneceriam uma proteção efetiva”.
Por causa de sua enorme superfície de ataque, alguns especialistas em segurança estão chamando o Log4Shell de “a maior calamidade de segurança cibernética de 2021”, equiparando-se à família Shellshock de bugs de segurança de 2014, que foi explorada por botnets de computadores comprometidos para executar ataques de negação de serviço distribuído (DDoS) e varredura de vulnerabilidade poucas horas após sua divulgação inicial.
Mudanças de estratégia
Além de variações que podem contornar proteções, os pesquisadores também estão vendo novas táticas sendo aplicadas na exploração da vulnerabilidade.
As tentativas iniciais de exploração eram chamadas de “retornos básicos”, partindo dos nodos do TOR. Eles geralmente apontavam para “bingsearchlib [.] com,” e a exploração era passada para o Agente do Usuário ou o Identificador Uniforme de Recursos (URI) da solicitação.
Mas, desde a onda inicial de tentativas de exploração, especialistas rastrearam muitas mudanças nas táticas dos agentes de ameaças que estão explorando a vulnerabilidade. Notavelmente, houve uma mudança nos comandos usados, à medida que os criminosos começaram a esconder suas estratégias.
“Isso originalmente incluía encher o agente do usuário ou URI com uma string, que quando decodificada pelo sistema vulnerável, fazia com que o host baixasse um dropper malicioso da infraestrutura do invasor”, explicou um especialista à imprensa. Em seguida, os invasores começaram a ofuscar a própria string, aproveitando outros recursos de tradução dos processos Java.
Todas as variações atingem o mesmo objetivo, porém: “baixar um arquivo malicioso e soltá-lo no sistema de destino ou vazar credenciais de sistemas baseados em nuvem”, disse o especialista.
O bug foi direcionado para ataques ao longo de dezembro
Os invasores estão explorando a vulnerabilidade Log4Shell desde pelo menos 1º de dezembro, ao que parece, e assim que o CVE-2021-44228 foi divulgado publicamente no final da semana passada, os invasores começaram a se aglomerar em torno dos honeypots (recurso computacional de segurança dedicado a detectar, desviar ou, de alguma maneira, neutralizar tentativas de uso não-autorizado da rede).
Pesquisadores da Sophos disseram que “já detectaram centenas de milhares de tentativas desde 9 de dezembro de executar código remotamente usando esta vulnerabilidade”, observando que pesquisas de log por outras organizações (incluindo Cloudflare) sugerem que a vulnerabilidade pode ter sido explorada abertamente por semanas.
“A evidência mais antiga que encontramos até agora da exploração do # Log4J é 2021-12-01 04:36:50 UTC”, twittou o CEO da Cloudflare, Matthew Prince, no sábado. “Isso sugere que a ameaça estava sendo explorada pelo menos nove dias antes de ser divulgada publicamente. No entanto, não veja evidências de exploração em massa até depois da divulgação pública. ”
Um relatório da Cisco Talos concordou que a ameaça esteve ativa por um período semelhante: o laboratório observou pela primeira vez uma atividade de invasão relacionada ao CVE-2021-44228 a partir de 2 de dezembro. “É recomendado que as organizações expandam sua busca por atividades de exploração e exploração até esta data”, aconselhou.
Exploits foram mobilizadas em 40% das redes corporativas
A Check Point disse, em seu relatório, que frustrou mais de 845.000 tentativas de exploração, com mais de 46% dessas tentativas tendo sido realizadas por grupos conhecidos.
Mais do que isso: foram mais de 100 tentativas de explorar a vulnerabilidade por minuto, que aconteceram em 40% das redes corporativas em todo o mundo.
A hipérbole em torno do caso não é um problema, portanto. Todas as organizações empresariais usam Java e o Log4j é um dos mais populares frameworks de registro para Java, observam os especialistas.
Mas, por outro lado, todas as organizações que executam Java têm a capacidade de protegê-lo, configurá-lo e gerenciá-lo. Se o Java estiver sendo usado em sistemas de produção, as equipes de segurança de TI devem priorizar as campanhas de risco e mitigação e seguir as diretrizes de remediação do projeto Apache Log4j o mais rápido possível, recomendam os pesquisadores.
Lista crescente de fabricantes e componentes afetados
Uma lista cada vez maior de crowdsourcing, hospedada no GitHub, mostra alguns dos milhões de aplicativos e fabricantes que usam log4j. A lista indica se eles são afetados pelo Log4Shell e fornece links para evidências, se forem.
Preocupantemente, a maioria é:
- Amazon
- Apache Druid
- Apache Solr
- Apache Struts2
- Apple
- Baidu
- CloudFlare
- DIDI
- ElasticSearch
- JD
- NetEase
- Speed camera LOL
- Steam
- Tesla
- Tencent
- VMWare
- VMWarevCenter
- Webex
Sua empresa pode se proteger das ameaças mais diversas. Consulte as soluções de segurança da Compugraf e saiba como!
