As falhas de segurança nunca são bem-vindas, em especial quando têm um impacto grande como o novo Log4Shell apresenta. Esta falha está presente num componente que muitos dos principais serviços da Internet usam.
A sua importância é de tal forma grande que existem já vários alertas e muitos preparam as suas atualizações. O Log4Shell está a comprometer a segurança e a solução está já disponível, sendo que todos devem atualizar as suas apps assim que possível.
Apesar de estar presente num componente que poucos conhecem, a falha que o Log4Shell traz tem impacto em quase toda a Internet e em muitos dos serviços que nela existem. Está presente no Log4j, uma biblioteca de Java dedicada ao registo de logs.
Presente em serviços como o iCloud, o Steam, o Minecraft e muitos outros, tem uma vulnerabilidade que permite ao atacante correr código remoto nestas plataformas. Sabe-se que está ativamente a ser explorado e se originalmente se focava em malware de mineração, abriu o seu leque e é agora usado para muito mais.
🚨⚠️New #0-day vulnerability tracked under "Log4Shell" and CVE-2021-44228 discovered in Apache Log4j 🌶️‼️ We are observing attacks in our honeypot infrastructure coming from the TOR network. Find Mitigation instructions here: https://t.co/tUKJSn8RPF pic.twitter.com/WkAn911rZX
— Deutsche Telekom CERT (@DTCERT) December 10, 2021
Esta foi mais uma falha descoberta de forma quase aleatória, mas que assim que foi revelada ativou de imediato muitos especialistas de segurança. Presente nas versões do Log4j 2.0-beta-9 até à 2.14.1, foi prontamente corrigido na versão 2.15.0 desta biblioteca de Java.
Com uma prova de conceito já disponível, fica evidente que é extremamente simples de usar. Basta uma mudança de nome num iPhone pode fazer ou uma consulta de DNS pode provocar este problema e assim abrir a porta aos atacantes.
Com muitos serviços na Internet a atuar já para mitigar este problema, é importante que os utilizadores sigam as instruções dadas. Devem também atualizar as apps destes serviços, para assim garantir uma segurança em todas as frentes.
Com um grau de severidade muito elevado, o Log4Shell está a ser descrito como ainda pior que o conhecido Heartbleed. Esta falha no Log4j está a tomar a Internet de assalto e a revelar que muito do que se considerava seguro está, na verdade, exposto e com problemas de segurança sérios.