.
Um ano atrás, uma vulnerabilidade de dia zero recém-descoberta abalou o mundo da segurança cibernética, mas 12 meses depois, há sinais claros de que lições vitais não foram aprendidas.
O título cativante CVE-2021-44228 foi e ainda é uma vulnerabilidade fácil de explorar na amplamente usada biblioteca de log Java Apache Log4j, que permite que invasores obtenham acesso remoto e assumam o controle de máquinas e servidores.
Após a descoberta, foi uma grande preocupação, porque a natureza onipresente do Log4j significava que ele estava (e está) incorporado a uma vasta gama de aplicativos, serviços e ferramentas de software empresarial escritos em Java e usados por organizações e indivíduos em todo o mundo.
Tal era o perigo representado pelo Log4j que o Instituto Nacional de Padrões e Tecnologia (NIST) deu à vulnerabilidade uma pontuação de 10 no Sistema de Pontuação de Vulnerabilidade Comum (CVSS) – classificando-a como uma vulnerabilidade crítica altamente grave – e poucas horas após a divulgação, estava sendo explorado por criminosos cibernéticos.
Também: Cibersegurança: essas são as novidades com as quais se preocupar em 2023
Não é de admirar que a chefe da CISA, Jen Easterly, tenha descrito a vulnerabilidade do Log4j como “uma das mais sérias que já vi em toda a minha carreira, se não a mais séria” – e afetou centenas de milhões de dispositivos.
Atualizações e mitigações de segurança foram lançadas rapidamente, mas um ano após a divulgação inicial, o Log4j ainda continua sendo uma ameaça porque muitas organizações e seus fornecedores ainda não aplicaram as atualizações.
Muitos podem nem estar cientes de que a biblioteca de registro faz parte de seu ecossistema de software.
Mas os repetidos avisos deixaram claro que as vulnerabilidades críticas representavam uma ameaça – e grupos de hackers que vão desde gangues cibercriminosas e grupos de ransomware até operações de ciberespionagem apoiadas pelo estado-nação, todos visaram ativamente as vulnerabilidades do Log4j e continuam a fazê-lo.
No mês passado – quase um ano após a divulgação inicial – a CISA e o FBI emitiram um alerta de segurança, alertando que, se as organizações ainda não tivessem corrigido ou atenuado as vulnerabilidades do Log4j, deveriam presumir que sua rede está comprometida e agir de acordo.
O alerta veio após uma investigação sobre um ataque cibernético contra o que a CISA e o FBI descrevem como uma organização do “poder executivo civil federal”. Se um órgão do governo não consegue tapar as brechas de segurança corretamente, quais são as chances de outras organizações?
Também: O desenvolvimento de software ainda está ignorando a segurança. Isso precisa mudar rápido
A cibersegurança se move rapidamente – é um trabalho árduo e as equipes de segurança da informação enfrentam regularmente o esgotamento porque sempre há outra nova vulnerabilidade de segurança ou uma nova atualização de segurança que precisa ser aplicada. Mas os cibercriminosos não se esquecem das antigas falhas e vulnerabilidades de segurança – e, enquanto as instâncias do Log4j permanecerem não mitigadas, eles as atacarão.
Isso significa que as organizações não podem simplesmente ignorar vulnerabilidades e problemas e esperar que eles desapareçam. Corrigir esses problemas é um desafio, mas observar os alertas e avisos de segurança para garantir que sua rede esteja protegida é uma necessidade absoluta.
Essa é apenas uma das razões pelas quais a responsabilidade de organizações de qualquer tamanho é fornecer o orçamento para uma equipe de segurança da informação de tamanho adequado, que pode ajudar a detectar e mitigar ameaças antes que afetem seus negócios e seus clientes.
ABERTURA DE SEGUNDA-FEIRA DO Strong The One
O Monday Opener do Strong The One é a nossa abertura da semana em tecnologia, escrita por membros de nossa equipe editorial.
ANTERIORMENTE NA ABERTURA DE SEGUNDA-FEIRA DO Strong The One:
.
