Uma vulnerabilidade no software Log4j, usado por milhões de servidores web, foi descoberta recentemente. Os servidores que utilizam esse software estão vulneráveis a ataques e equipes em todo o mundo estão se esforçando para corrigir os sistemas afetados antes que os hackers possam tirar proveito deles.
“Neste momento, a Internet está em chamas”, disse Adam Meyers, da empresa de segurança Crowdstrike.
A falha no Log4j foi descoberta no jogo Minecraft, mas rapidamente ficou claro que seu escopo era muito mais amplo. Milhões de aplicações web, incluindo o iCloud da Apple, utilizam o software. De acordo com a empresa Crowdstrike, ataques explorando o bug, conhecidos como ataques Log4Shell, estão ocorrendo desde 9 de dezembro sem parar.
Jen Easterly, diretora da Agência de Segurança Cibernética e Infraestrutura dos EUA, disse que a falha de segurança representa uma “séria ameaça” para toda a Internet.
O que é Log4j?
Quase todo software que você utiliza manterá logs, que são registros de erros e outros eventos significativos. Muitos desenvolvedores de software usam o código aberto Log4j em vez de escrever seu próprio sistema de registro, tornando-o um dos pacotes de registro mais amplamente utilizados no mundo.
Embora não ter que reinventar a roda seja uma grande vantagem, a popularidade do Log4j se tornou uma questão de segurança global. A falha afeta milhões de de softwares que rodam em milhões de PCs.
Por que a falha demorou a ser descoberta?
Qualquer pessoa pode visualizar, executar e — com verificações e balanços — editar o código que compõe o software de código aberto. Como muitas pessoas estão trabalhando no software, ele pode se tornar mais robusto e seguro como resultado da transparência. Entretanto, nenhum software pode ser garantido como completamente seguro.
A vulnerabilidade que permite o ataque da Log4Shell está no código há muito tempo, mas só recentemente foi descoberta por um pesquisador de segurança da Alibaba Cloud, na China. Ele notificou imediatamente a Apache Software Foundation, uma organização sem fins lucrativos sediada nos Estados Unidos que supervisiona centenas de projetos de código aberto, incluindo o Log4j, para dar a eles tempo de corrigir o problema antes que ele fosse tornado público.
Embora alguns caçadores de bugs vendam tais vulnerabilidades aos hackers, permitindo que eles sejam usados silenciosamente por meses ou mesmo anos, esta divulgação responsável é uma prática padrão para bugs como este.
O que esperar?
A vulnerabilidade foi classificada como “crítica” pela Apache, que se apressou a desenvolver uma correção. Centenas de milhares de equipes de TI estão se esforçando para atualizar o Log4j para a versão 2.15.0, que foi lançada antes que a vulnerabilidade fosse divulgada publicamente e em grande parte resolver o problema. As equipes também devem escanear seu código em busca de possíveis falhas e ficar de olho nas tentativas de hacking.
Patches para corrigir problemas como este podem aparecer rapidamente, especialmente quando são revelados de forma responsável à equipe de desenvolvimento, mas leva tempo para que todos os usuários os apliquem. Computadores e serviços web são tão complicados, com dezenas de níveis empilhados de abstração, que a atualização de todos eles pode levar meses. Nesse meio tempo, hackers maliciosos podem causar estragos.
