O exploit, que permite que o código seja executado remotamente em qualquer máquina vulnerável, corresponde ao Log4j. Esta é uma biblioteca de registro de código aberto comum em todos os tipos de software e serviços, do iCloud ao Steam e Minecraft.
Equipes de segurança de empresas de todo o mundo começaram a corrigir uma vulnerabilidade divulgada na quinta-feira passada que permite a execução remota de código em máquinas vulneráveis de forma simples. O exploit foi apelidado de Log4Shell e está presente em uma biblioteca de log de código aberto amplamente usada em aplicativos e servidores da Internet chamada Log4j.
Um log é um processo de software padrão pelo qual os aplicativos mantêm um registro de todos os eventos que ocorrem durante sua operação para que, em caso de erro, possa ser revisto para identificar o problema. O Log4j está presente em milhões de servidores da Internet que agora precisam ser corrigidos rapidamente para evitar ataques de cibercriminosos que podem instalar malware facilmente explorando o Log4Shell. Para ativar a exploração, o cibercriminoso precisa fazer com que o software vulnerável salve uma sequência especial de caracteres no log. A partir daí, as portas estão abertas para os cibercriminosos.
Marcus Hutchins, especialista em segurança, destacou que “essa vulnerabilidade log4j (CVE-2021-44228) é extremamente perigosa. Milhões de aplicativos usam o Log4j para registro, e tudo o que o invasor precisa fazer é fazer com que o aplicativo registre uma string especial (de caracteres). Até agora, iCloud, Steam e Minecraft foram confirmados como vulneráveis.”
Hutchins investiga o caso do popular videogame Minecraft, onde os invasores foram capazes de executar remotamente código em seus servidores postando a string de instrução necessária para a exploração no bate-papo do jogo para que o Log4J registre. Outros relatórios de segurança também incluem os servidores de empresas como Amazon, Twitter e Cloudflare.
Mas foi justamente nos servidores do jogo Minecraft, já corrigidos pela Microsoft, que o exploit foi localizado pela primeira vez em operação . A equipe de segurança em nuvem do Alibaba relatou a descoberta à Apache Foundation em 24 de novembro. A Apache é a organização que desenvolve software amplamente usado como o servidor HTTP Apache de código aberto e também a biblioteca Log4J, entre muitos outros. A fundação levou duas semanas para preparar uma atualização para o Log4j que corrige a vulnerabilidade e a tornou pública ao lançar a atualização. De acordo com o Apache, as versões do Log4J afetadas pelo Log4Shell variam de 2.0-beta9 a 2.14.1. A nova versão lançada, agora sem a vulnerabilidade, é a 2.15.0.
Embora grandes empresas que operam na Internet tenham a capacidade de corrigir rapidamente seus sistemas, a biblioteca também é frequentemente integrada a terceiros software que só pode ser corrigido por seus proprietários. A empresa de segurança Gray Noise alegou que já detectou vários servidores à procura de máquinas vulneráveis à exploração na Internet.
