Poupa e Ganha

Log4Shell: a vulnerabilidade de dia zero mais crítica de 2021

A popularidade da biblioteca de registo afetada, Apache Log4j, presente em milhões de servidores,
assim como a facilidade com que pode ser explorada, pôs em alerta toda a indústria da cibersegurança.

A equipa de investigadores da Qualys, Inc. (NASDAQ: QLYS), fabricante pioneiro e líder de soluções de conformidade e segurança baseadas na cloud, analisou detalhadamente a vulnerabilidade recentemente descoberta relacionada com a biblioteca de Java Apache Log4j e denominada Log4Shell (CVE-202-44228), tendo chegado às seguintes conclusões:

• O Log4j, desenvolvido pela Apache Foundation, é amplamente utilizado tanto por aplicações empresariais como por serviços cloud. É incluído em frameworks de Java muito populares como Apache Flink, Apache Druid, Apache Struct2, etc.
• Este vetor de ataque aumenta muito mais a superfície de ataque desta vulnerabilidade do que se previa inicialmente.
• A falha do Log4Shell resulta na execução remota de código no servidor vulnerável com privilégios de nível de sistema. Pelo seu impacto, tem uma classificação CVSS (Sistema standard de pontuação de vulnerabilidades) de 10.0.
• Apache Log4j2 versão 2.15.0 corrige esta vulnerabilidade. Se não é possível atualizar a versão, podem ser aplicadas as mitigações aqui indicadas.
• Os ataques sucedem-se e foram já detetadas exploits de prova de conceito (PoC) em domínios como Twitter, GitHub, entre muitos outros.

“Estamos provavelmente perante a vulnerabilidade dia zero mais crítica de 2021”, afirma Bharat Jogi, diretor da equipa de Investigação de Vulnerabilidades e Ameaças da Qualys. “Falamos de uma biblioteca utilizada por milhões de aplicações Java e que, além disso, é fácil de explorar. Recomendamos aos utilizadores e administradores que atualizem as suas aplicações para a última versão do Log4j ou apliquem as mitigações de forma urgente”.

Qualys disponibiliza ferramenta de scan gratuita

A Qualys, entretanto, anunciou que a sua solução Web Application Scanning (WAS) estará disponível de forma gratuita durante os próximos 30 dias para ajudar as empresas a proteger-se contra a vulnerabilidade Log4Shell.

“As capacidades de scan de aplicações web são essenciais para detetar vulnerabilidades como esta, já que permitem simular um ataque como os que o Log4Shell protagoniza”, explica Sergio Pedroche, Country Manager da Qualys Iberia. “Para ajudar as empresas a manterem-se a salvo desta ameaça, disponibilizamos agora esta tecnologia líder que permite analisar aplicações web e APIs em busca de vulnerabilidades”.

Para utilizar o serviço WAS gratuitamente durante 30 dias, visite a página web da Qualys. Para obter mais informações sobre como utilizar o WAS para detetar o Log4Shell, leia o artigo Is Your Web Application Exploitable by the Log4 Shell Vulnerability?

Recursos adicionais:

• Mais informações sobre a resposta da Qualys ao Log4Shell
• Detalhes sobre a Qualys Web Application Scanning
• Artigo no blog sobre o uso do WAS para detetar vulnerabilidades Log4Shell
• Siga a Qualys no LinkedIn e Twitter

O artigo Log4Shell: a vulnerabilidade de dia zero mais crítica de 2021 encontra-se publicado em Poupa e Ganha.