A Apache Software Foundation lançou uma atualização de segurança de emergência que corrige uma vulnerabilidade de dia 0 (CVE-2021-44228) na popular biblioteca de registro Log4j, que faz parte do Projeto Apache Logging.
O patch foi lançado como parte do 2.15.0 liberar.
A vulnerabilidade foi nomeada Log4Shell e pontuada 10 fora de 10 pontos na escala de classificação de vulnerabilidade CVSS. O bug permite a execução remota de código arbitrário (RCE). O pesquisador de segurança da informação de ontem agravou o problema, p0rz9 publicou uma exploração PoC no Twitter, e a vulnerabilidade pode ser explorada remotamente, e isso não requer habilidades técnicas especiais.
O problema foi descoberto originalmente durante a busca por bugs nos servidores do Minecraft, mas o Log4j está presente em quase todas as aplicações corporativas e servidores Java. Por exemplo, a biblioteca pode ser encontrada em quase todos os produtos empresariais lançados pela Apache Software Foundation, incluindo Apache Struts, Apache Flink, Druida Apache, Flume Apache, Apache Solr, Apache Flink, Apache Kafka, Apache Dubo, e assim por diante. Log4j também é usado ativamente em vários projetos de código aberto, incluindo Redis, ElasticSearch, Logstash Elástico, Guia, e outros.
Por isso, empresas que utilizam qualquer um desses produtos também são indiretamente vulneráveis a ataques ao Log4Shell, mas pode até saber sobre isso. Especialistas em segurança da informação já relatam que soluções de gigantes como a Apple, Amazonas, Twitter, nuvemflare, Vapor, Tencent, Baidu, DIDI, JD, NetEase, e provavelmente milhares de outras empresas podem estar vulneráveis ao Log4Shell.
p0rz9 escreveu que CVE-2021-44228 só poderia ser explorado se o parâmetro log4j2.formatMsgNoLookups fosse definido como falso. ConhecidoSeg 404 Equipe relatórios aquele Log4j 2.15.0 definiu este parâmetro como verdadeiro para evitar ataques. Usuários Log4j que atualizaram para a versão 2.15.0 e então definir o sinalizador como falso ficará novamente vulnerável a ataques.
Além disso, Usuários Log4j que não atualizaram, mas definimos o sinalizador como verdadeiro, ainda será capaz de bloquear ataques mesmo em versões mais antigas.
Infelizmente, isso também significa que todas as versões mais antigas estão em risco, onde este parâmetro é definido como falso por padrão. Aquilo é, todas as versões anteriores do Log4j, começando com 2.10.0, são vulneráveis.
Segundo especialistas de Pacotes ruins e Ruído cinza, vários cibercriminosos já estão escaneando a rede em busca de aplicativos que possam ser vulneráveis ao Log4Shell, o que significa que quase não resta tempo para instalar patches.
Deixe-me lembrá-lo que também falei sobre o fato de que o Bug do IIS com potencial de worm representa uma ameaça aos servidores WinRM.