Log4Shell: ESET bloqueia milhares de tentativas de ataque

Seguinte
Julia Biagini

A ESET detectou globalmente milhares de tentativas de ataque que rastreiam a vulnerabilidade crítica do Log4Shell. A maioria das tentativas de ataque está localizada nos Estados Unidos, Reino Unido e Holanda, ainda assim, quase 180 países e territórios estão sob ataque, em grande parte devido à prevalência global do software Log4j em bibliotecas de sistemas ao redor do mundo.

Imagem 1. Países com mais tentativas de exploit aproveitando o Log4Shell (em 20 de dezembro de 2021).

Desde 11 de dezembro, quando os engenheiros da ESET criaram detecções para exploits da vulnerabilidade Log4Shell, a ESET tem registrado as tentativas de ataque mencionadas acima. Na República Eslovaca, um país de cinco milhões de habitantes e localização da sede da ESET, houveram diversas tentativas de ataques. Essa atividade indica que todos os países, independentemente do tamanho, provavelmente sofrerão impactos de cibercriminosos que tentam violar servidores, serviços e dispositivos onde essa vulnerabilidade ainda não foi corrigida.

Log4Shell Tentativas de Ataque

 

 

Log4Shell Attack Attempts

Log4Shell Attack Attempts

Imagem 2. Dados de telemetria da ESET mostrando tentativas de ataque global em porcentagem relativa do total de detecções para cada dia.

Por que as tentativas de ataque são amplamente distribuídas?

A biblioteca do software Log4j é normalmente usada para a produção de logs que registram a atividade em um dispositivo - neste caso, especialmente para registrar erros e para investigação retrospectiva de incidentes de segurança. Como resultado, a vulnerabilidade é extremamente disseminada.

A vulnerabilidade permite que os invasores executem remotamente qualquer código em um dispositivo e, em última instância, obtenham controle total sobre ele. Se os invasores comprometerem um servidor dessa forma, eles podem trabalhar mais profundamente na rede interna de uma organização e se infiltrar em outros sistemas e dispositivos que podem nem mesmo estar expostos à Internet. Combinado com a alta prevalência do Log4j, esta é uma vulnerabilidade crítica de acordo com a escala CVSS com um máximo de 10 pontos em 10. Se o setor de TI não for capaz de responder rapidamente, pode causar dores de cabeça para um grande número de organizações e para indivíduos que gerenciam seus próprios servidores ou usam vários serviços online.

"Log4j é uma biblioteca de código aberto que forma parte de muitas soluções online e de serviços de empresas de tecnologia com renome mundial. Às vezes está presente em um servidor ou sistema corporativo sem o conhecimento do administrador de TI como parte de um pacote maior. Se os invasores obtiverem o controle total de um dispositivo vulnerável, eles podem realizar espionagem cibernética, roubar dados confidenciais, instalar ransomware ou sabotar os sistemas de TI de uma empresa", explica Ondrej Kubovič, especialista em Cyber Awareness da ESET.

Recomendações

A ESET recomenda os seguintes passos:

  • Verifique onde sua organização usa a biblioteca de código aberto Log4j e qual versão. As versões vulneráveis ​​são 2.0-beta9 a 2.14.1. A versão 2.15 também é parcialmente vulnerável.
  • Atualize sua biblioteca Log4j para a versão 2.16 e continue acompanhando as atualizações futuras.
  • Dado que o Log4Shell é uma vulnerabilidade de execução remota de código e os exploits estão facilmente disponíveis, é necessário verificar se a vulnerabilidade não foi explorada por invasores.
  • Use um software de segurança que pode detectar e bloquear a exploração de vulnerabilidades. As detecções da ESET incluem: Java/Exploit.CVE-2021-44228o Java/Exploit.Agento Java/Exploit.Agent.SB
  • Bloqueie endereços de IP suspeitos por meio de um firewall. Leia mais em nosso blog, bem como dicas de mitigação aqui.