A Superfície em Potencial de Ataque do Log4Shell Permanece Significativa
O Log4Shell, às vezes referido usando o identificador Log4j, conforme o nome na biblioteca do Apache Java em que foi encontrado, tem sido chamado da vulnerabilidade de software da década por muitos analistas e especialistas em segurança. A vulnerabilidade foi descoberta no final de 2021. Quatro meses depois e dezenas de avisos e alertas depois, quão mais seguro é o cenário global de TI quando se trata do Log4Shell?
Relatório Desencorajador sobre o Log4Shell
Uma equipe de pesquisadores da empresa de segurança Rezilion executou uma análise tentando estimar a superfície em potencial de ataque dos sistemas que ainda são vulneráveis ao Log4Shell. A vulnerabilidade reside em uma versão mais antiga da imensamente popular biblioteca de log do Apache, executada em Java. As descobertas da equipe de pesquisa da Rezilion não foram animadoras.
Como se poderia esperar, a Rezilion também esperava que, devido ao fluxo interminável de cobertura da mídia, artigos e alertas emitidos após a descoberta do Log4Shell, a esmagadora maioria das instâncias executando o software vulnerável já tivesse sido corrigida há muito tempo. No entanto, as descobertas da equipe não foram tão positivas quanto eles esperavam.
O relatório da Rezilion sobre a possível análise da superfície de ataque chama a situação global do Log4Shell "longe do ideal". Usando o mecanismo especializado da Shodan, a equipe digitalizou versões desatualizadas de software e servidores vulneráveis ao Log4Shell. O resultado foram impressionantes 90.000 pontos vulneráveis, expostos na Internet. De acordo com a equipe de pesquisa, esse número, embora já significativo, é apenas "a ponta do iceberg", comparado ao que provavelmente é a superfície de ataque potencial total do Log4Shell.
Os servidores do Minecraft foram destacados como uma categoria totalmente separada no relatório de pesquisa, devido à enorme popularidade do jogo de propriedade da Microsoft.
O Longo Jogo do Log4Shell
Os agentes de ameaças estiveram à espreita horas após a descoberta da vulnerabilidade, sabendo que o grande número de dispositivos executando a estrutura de log Java que contém a falha levará muito tempo para ser corrigida. Novos métodos e tentativas de abordar a vulnerabilidade de diferentes maneiras estavam surgindo a cada semana desde a descoberta da falha.
Embora a superfície de ataque para uma vulnerabilidade tão difundida provavelmente nunca desapareça completamente, os números ainda são preocupantes e mais tentativas de explorar o Log4Shell devem ser esperadas nos próximos meses.