{"id":18633,"date":"2021-12-13T13:33:35","date_gmt":"2021-12-13T16:33:35","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=18633"},"modified":"2021-12-13T13:33:35","modified_gmt":"2021-12-13T16:33:35","slug":"log4shell-critical-vulnerability-in-apache-log4j","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/log4shell-critical-vulnerability-in-apache-log4j\/18633\/","title":{"rendered":"Vulnerabilidade cr\u00edtica na biblioteca Apache Log4j"},"content":{"rendered":"

V\u00e1rios ve\u00edculos de not\u00edcias relataram a descoberta da vulnerabilidade cr\u00edtica\u00a0 CVE-2021-44228<\/a><\/u>\u00a0 na biblioteca Apache Log4j (n\u00edvel de gravidade CVSS 10 de 10).\u00a0 Milh\u00f5es de aplicativos Java usam essa biblioteca para registrar mensagens de erro.\u00a0 Para piorar a situa\u00e7\u00e3o, os invasores j\u00e1 est\u00e3o explorando ativamente essa vulnerabilidade.\u00a0 Por esse motivo, a Apache Foundation recomenda que todos os desenvolvedores atualizem a biblioteca para a vers\u00e3o 2.15.0 e, se isso n\u00e3o for poss\u00edvel, use um dos m\u00e9todos descritos na p\u00e1gina da Apache Log4j Security Vulnerabilities<\/a><\/u>.<\/p>\n

Os motivos pelos quais a CVE-2021-44228 \u00e9 t\u00e3o perigosa<\/h2>\n

CVE-2021-44228, tamb\u00e9m denominada de Log4Shell ou LogJam, \u00e9 uma vulnerabilidade da classe Remote Code Execution (RCE)<\/a><\/u>. Se os invasores conseguirem explor\u00e1-lo em um dos servidores, eles ganham a capacidade de executar c\u00f3digo arbitr\u00e1rio e, potencialmente, assumir o controle total do sistema.<\/p>\n

O que torna a CVE-2021-44228 especialmente perigoso \u00e9 a facilidade de explora\u00e7\u00e3o: at\u00e9 mesmo um hacker inexperiente pode executar um ataque com sucesso usando esta vulnerabilidade.\u00a0 De acordo com os pesquisadores, os invasores precisam somente for\u00e7ar o aplicativo a gravar apenas uma string no log e, depois disso, podem fazer upload de seu pr\u00f3prio c\u00f3digo no aplicativo devido \u00e0 fun\u00e7\u00e3o de <em> substitui\u00e7\u00e3o de mensagem de aviso<\/em><\/em>.<\/p>\n

As provas de conceito (PoC, em ingl\u00eas)<\/a><\/u> para os ataques via CVE-2021-44228 j\u00e1 est\u00e3o dispon\u00edveis na internet.\u00a0 Portanto, n\u00e3o \u00e9 surpreendente que as empresas de ciberseguran\u00e7a j\u00e1 estejam registrando varreduras massivas de rede para aplicativos vulner\u00e1veis, bem como ataques a honeypots.<\/p>\n

Esta vulnerabilidade foi descoberta por Chen Zhaojun, da equipe de seguran\u00e7a de nuvem da Alibaba.<\/p>\n

O que \u00e9 Apache Log4J e por que essa biblioteca \u00e9 t\u00e3o popular?<\/h2>\n

Apache Log4j faz parte do Apache Logging Project.\u00a0 Em geral, o uso dessa biblioteca \u00e9 uma das maneiras mais f\u00e1ceis de registrar erros e \u00e9 por isso que a maioria dos desenvolvedores Java a usa.<\/p>\n

Muitas grandes empresas de software e servi\u00e7os online usam a biblioteca Log4j, incluindo Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter e muitas outras.\u00a0 Por ser uma biblioteca t\u00e3o popular, alguns pesquisadores de seguran\u00e7a da informa\u00e7\u00e3o esperam um aumento significativo nos ataques a servidores vulner\u00e1veis \u200b\u200bnos pr\u00f3ximos dias.<\/p>\n

\n

#Log4Shell<\/a> pic.twitter.com\/1bKDwRQBqt<\/a><\/p>\n

\u2014 Florian Roth (@cyb3rops) December 10, 2021<\/a><\/p><\/blockquote>\n