Tudo que você precisa saber sobre a vulnerabilidade do Log4j

Os últimos meses têm dado um trabalhão danado para as equipes de segurança, e muitas ainda prosseguirão lutando para assegurar uma resposta holística. Mas, para entender os eventos recentes, primeiro é preciso entender a base técnica com a qual estamos trabalhando.

Vinte e um anos atrás, o Log4j v1 surgiu como uma biblioteca de registro padrão para aplicativos Java™ e, agora, com o Log4j v2, é um dos vários serviços de registro disponíveis para inúmeros serviços baseados em Java. Ele é distribuído como parte da licença de código aberto da Apache Software Foundation®, fornecendo um mecanismo direto para registrar dados de aplicativos e dados gerados pelo usuário a partir de um aplicativo.

Além disso, no interior do log4j, há uma classe chamada Java Naming and Directory Interface (JNDI), que fornece resolução para pesquisa de objetos e variáveis. É nesse processo de resolução que as explorações podem ser iniciadas, e essas infecções variam desde um simples escaneamento em massa dentro da rede, à procura de outros hosts para infectar, até a instalação de backdoors capazes de exfiltrar dados. 

A vulnerabilidade do Log4j

A ocorrência dessas explorações foi possibilitada por um código vulnerável dentro da classe de funções de pesquisa JNDI, presente desde as revisões de 2013. No entanto, foi só recentemente, em 24 de novembro de 2021, que um pesquisador descobriu a vulnerabilidade e a tornou pública.

A vulnerabilidade permitia aos atacantes enviar facilmente comandos aos servidores que, se vulneráveis, executavam qualquer comando recebido. Além disso, incluía uma das mais críticas classes de infecções, a Execução Remota de Código (RCE), que permite aos invasores acessar remotamente o sistema anfitrião para iniciar o que bem quiserem.

Logo após o anúncio público da vulnerabilidade, grupos de agentes de ameaças começaram a escrever softwares que procuravam e exploravam a vulnerabilidade em grande escala por toda a internet. Alguns chegaram até a distribuir o código gratuitamente para que outros atores ou estados-nação perversos também pudessem localizar alvos vulneráveis.

Nos dias 9 e 10 de dezembro de 2021, os bancos de dados de vulnerabilidades, produzidos pelas empresas de identificação e gestão de vulnerabilidades, publicaram a vulnerabilidade para conscientizar a comunidade. Porém, naquele momento, os bots já estavam escaneando e explorando todos os sistemas debilitados que conseguiam encontrar.

Nas semanas seguintes, com o nível adicional de atenção, mais vulnerabilidades foram descobertas nas bibliotecas do Log4j, e as equipes de segurança e desenvolvimento trabalharam ao longo de dezembro de 2021 para resolver os problemas. Seguem abaixo todas as vulnerabilidades atuais acerca do Log4j v2:

Como proteger sua rede

Para manter as organizações protegidas contra explorações relativas ao Log4j, nossa equipe de segurança recomenda as seguintes ações: 

Aplicar patches de forma antecipada e frequente

Especificamente, para o Log4j, a versão mais atual em nível de patch é a 2.17.1. Trate isso como uma oportunidade de aprendizado. Caso não haja um em vigor, use este momento para criar um sistema ou processo sistemático que verifique regularmente a necessidade de aplicar patches, a fim de garantir que as futuras versões de todos os aplicativos, softwares, códigos, estações de trabalho e servidores fiquem atualizados. 

Desenvolver confiança zero

Trate o interior de uma rede como se fosse uma rede externa não confiável. Por exemplo, desenvolva uma abordagem de confiança zero ou de privilégio mínimo que conceda acesso e permissões somente quando necessário e apenas para aqueles que realmente precisem de tais concessões para dar continuidade aos negócios. Além disso, isole as cargas de trabalho umas das outras. Se não houver necessidade de um aplicativo ou sistema se comunicar, negue esse tráfego por padrão. 

Pressupor o pior

Pressuponha que todas as vulnerabilidades baseadas em RCE possam acarretar infecções propagáveis, ou seja, por meio do servidor lesado, outros servidores corram o risco de ser explorados. Parta do princípio de que seus sistemas e redes serão comprometidos.

Remover o código

Se não for possível corrigir para a revisão de código mais recente dos aplicativos baseados em Log4j, considere remover a função da classe de pesquisa JDNI. No entanto, proceda com cuidado, pois isso pode fazer com que alguns aplicativos não funcionem conforme o esperado. 

Investigar atividades maliciosas

Se estiver executando uma versão vulnerável do Log4j, procure indicativos de ataque ou de comprometimento. Por exemplo, a vulnerabilidade pode incluir a criação de novos usuários, atividade de log inesperada, utilização de recursos anormalmente alta ou tráfego de rede estranho entrando e saindo de suas cargas de trabalho. 

Teste de segurança

Realize exercícios de "equipe roxa", nos quais a equipe vermelha ataca e a equipe azul verifica a visibilidade e garante que defesas como EDR e IPS funcionem como pretendido. Se não funcionarem, faça os ajustes necessários e repita. 

Monitorar. Monitorar. Monitorar.

Crie um sistema para monitorar sua rede, incluindo ativos, usuários e softwares de fornecedor. Se, de repente e sem motivo claro, forem encontrados ativos, usuários ou softwares desconhecidos, investigue-os. Rastreie-os, pois eles tiveram origem em algum lugar. 

Solving Together

É hora de colocarmos um roteiro em prática. Comece com estas cinco perguntas.

1) Como sua organização responderia?

2) Seus registros críticos já estariam armazenados fora dos dispositivos para investigação?

3) O aplicativo ou o banco de dados poderia ser restaurado a partir do backup, de modo tempestivo?

4) Alguém da equipe saberia como criar uma imagem forense válida?

5) Há funções e responsabilidades estabelecidas para que cada membro saiba quem contatar ou o que fazer? 

A cibersegurança sempre foi crucial, mas sua urgência tem se acentuado diante do aumento na quantidade e intensidade dos ataques cibernéticos. Porém, com bastante frequência, as organizações creem saber lidar com os complexos desafios de segurança, e essa percepção está longe da realidade. Nossa recente pesquisa com 1.400 líderes globais de TI constatou que muitos confiam em demasia nas próprias competências de segurança.

O white paper "A cibersegurança está à altura dos crescentes desafios de hoje?", publicado pela Rackspace Technology®, oferece uma perspectiva de como os líderes de TI podem avaliar sua postura atual de segurança e criar uma estratégia capaz de fazer frente à complexidade cada vez maior no cenário de ameaças cibernéticas.