Mesmo que a temida exploração em massa da vulnerabilidade Log4j / Log4Shell ainda não tenha ocorrido, o bug será alvo de ataques nos próximos anos, de acordo com Chester Wisniewski, principal pesquisador da Sophos. Até agora não houve nenhum grande terremoto Log4j / Log4Shell - uma descoberta de status forense.
As equipes de especialistas da Sophos analisaram forense os eventos em torno da vulnerabilidade Log4Shell desde sua descoberta em dezembro de 2021 e primeiro saldo puxado - incluindo uma previsão futura do principal cientista de pesquisa Chester Wisniewski e vários gráficos mostrando a exploração da vulnerabilidade. O resumo: A grande crise devido à exploração em massa por cibercriminosos não se materializou até agora, embora isso fosse temido em toda a indústria. No entanto, a ausência dos efeitos esperados e devastadores não significa que tudo está limpo. Porque o bug Log4Shell, que está profundamente oculto em muitos aplicativos e produtos digitais, provavelmente pode ser um alvo para cibercriminosos nos próximos anos.
Agir rapidamente evitou o pior
Os especialistas da Sophos são de opinião que os ataques diretos e em massa à vulnerabilidade Log4Shell foram até agora contidos com sucesso, sobretudo através da ação ativa de todos os envolvidos. O escopo da vulnerabilidade uniu com sucesso a comunidade digital e de segurança. A ação colaborativa não é nova, já era o caso do bug Y2000K em 2 e parece ter feito uma grande diferença aqui também. No momento em que os detalhes da vulnerabilidade Log4j surgiram, os maiores e mais importantes serviços de nuvem, fornecedores de software e corporações do mundo tomaram medidas para ficar fora do iceberg e evitar uma catástrofe. Isso também foi possível graças à inteligência coletiva e à orientação prática da comunidade de segurança.
Dispersão de massa limitada
A Equipe de Resposta a Ameaças Gerenciadas (MTR) da Sophos descobriu que, embora muitas varreduras e tentativas de explorar a exploração do Log4Shell tenham sido detectadas, poucos clientes do MTR realmente encontraram tentativas de invasão via Log2022j no início de janeiro de 4. Uma explicação para isso pode ser a necessidade de adaptar o ataque a cada aplicativo que contém o código Apache Log4J vulnerável.
Portanto, os aplicativos amplamente usados que contêm a vulnerabilidade são explorados de maneira automatizada em maior extensão do que outros. Um exemplo disso é o VMware Horizon - foi aqui que ocorreu a primeira violação observada pelo Sophos MTR por meio da vulnerabilidade Log4Shell.
O grande peso dos EUA e da Alemanha nos dados de origem IP provavelmente reflete os grandes centros de dados (Imagem: Sophos).
Mudanças significativas na geotelemetria
A telemetria do Sophos Geo desde que a vulnerabilidade foi descoberta até as duas primeiras semanas de janeiro de 2022 mostra variações interessantes nas fontes de tentativas de ataque e verificações. O mapa de dezembro de 2021 deixa claro que regiões como EUA, Rússia, China, Europa Ocidental e América Latina são as mais afetadas. O grande peso dos EUA e da Alemanha nos dados geográficos de origem do IP provavelmente reflete os grandes centros de dados localizados lá, como Amazon, Microsoft e Google.
O quadro da situação no Log4j e o número de incidentes detectados mudarão drasticamente no início de 2022 (Imagem: Sophos).
O quadro situacional do Log4j e o número de incidentes detectados mudarão drasticamente no início de 2022 (Imagem: Sophos). Esse quadro situacional e o número de incidentes identificados mudarão drasticamente no início de 2022. A diferença mais marcante é que o domínio inicial da Rússia e da China parece ter diminuído em janeiro. De acordo com as descobertas da Sophos, isso reflete uma aparente diminuição nas tentativas de ataque por um pequeno número de criptoanalistas altamente agressivos nessas regiões.
Uma conclusão da Sophos
As equipes de especialistas da Sophos acreditam que as tentativas de explorar a vulnerabilidade Log4Shell provavelmente continuarão nos próximos anos e serão um alvo popular para testadores de penetração e para estados-nação e seus agentes de ameaças. A urgência de descobrir onde a vulnerabilidade pode estar ocorrendo em sua própria rede e corrigir os aplicativos apropriados, portanto, continua sendo o objetivo mais importante.
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.