Uma falha importante em um software amplamente usado fez com que especialistas em segurança cibernética disparassem alarmes e grandes empresas corressem para consertar o problema.

A vulnerabilidade, relatada na semana passada, está em um software baseado em Java conhecido como “Log4j”, que grandes organizações usam para configurar seus aplicativos — e apresenta riscos potenciais para grande parte da Internet.

O serviço de computação em nuvem da Apple, a empresa de segurança Cloudflare e um dos videogames mais populares do mundo, o Minecraft, estão entre os muitos serviços que executam o Log4j, de acordo com pesquisadores de segurança.

Jen Easterly, chefe do Departamento de Segurança Cibernética e Agência de Segurança de Infraestrutura (CISA) do Departamento de Segurança Interna dos Estados Unidos, chamou isso de “uma das falhas mais sérias” já vistas em sua carreira.

Em um comunicado no sábado (11), Easterly disse que “um conjunto crescente” de hackers está ativamente tentando explorar essa vulnerabilidade.

Na terça-feira (14), mais de 100 tentativas de hacking ocorriam por minuto, de acordo com dados desta semana da empresa de segurança cibernética Check Point.

“Levará anos para resolver isso, enquanto os invasores estarão tentando diariamente explorá-la”, disse David Kennedy, CEO da empresa de segurança cibernética TrustedSec.

“Esta é uma bomba-relógio para as empresas.”

O que é Log4j e por que isso importa?

Log4j é uma das bibliotecas de registro mais populares usadas online, de acordo com especialistas em segurança cibernética.

O Log4j oferece aos desenvolvedores de software uma maneira de criar um registro de atividades a ser usado para uma variedade de propósitos, como solução de problemas, auditoria e rastreamento de dados.

Por ser de código aberto e gratuito, a biblioteca atinge essencialmente todas as partes da Internet.

“É onipresente. Mesmo se você for um desenvolvedor que não usa Log4j diretamente, você ainda pode estar executando o código vulnerável porque uma das bibliotecas de código aberto que você usa depende do Log4j”, Chris Eng, diretor de pesquisa da empresa de segurança cibernética Veracode, disse à CNN Business.

“Essa é a natureza do software: ele desce completamente.”

Empresas como Apple, IBM, Oracle, Cisco, Google e Amazon, todas executam o software.

Ele pode estar presente em aplicativos e sites populares, e centenas de milhões de dispositivos em todo o mundo que acessam esses serviços podem ser expostos à vulnerabilidade.

Ataque afetou milhares de dispositivos e pode levar anos para ser restaurado / Mati Mango / Pexels

Os hackers estão explorando isso?

Os invasores parecem ter tido mais de uma semana de vantagem na exploração da falha do software antes da informação ser divulgada publicamente, de acordo com a empresa de segurança cibernética Cloudflare.

Agora, com um número tão alto de tentativas hacking acontecendo todos os dias, alguns se preocupam que o pior ainda está por vir.

“Agentes de ameaças [hackers] sofisticados e mais experientes descobrirão uma maneira de realmente usar a vulnerabilidade como arma para obter o maior ganho”, disse Mark Ostrowski, chefe de engenharia da Check Point, na terça-feira.

Na terça-feira (14), a Microsoft disse em uma atualização de um blog que hackers da China, Irã, Coreia do Norte e Turquia tentaram explorar a falha do Log4j.

Por que essa falha de segurança é tão ruim?

Os especialistas estão preocupados com a vulnerabilidade porque os hackers podem obter acesso fácil ao servidor de computador de uma empresa, permitindo a entrada em outras partes da rede.

Também é muito difícil encontrar a vulnerabilidade ou ver se um sistema já foi comprometido, de acordo com Kennedy.

Além disso, uma segunda vulnerabilidade no sistema do Log4j foi encontrada na terça-feira.

Apache Software Foundation, uma organização sem fins lucrativos que desenvolveu o Log4j e outros softwares de código aberto, lançou uma correção de segurança para as organizações aplicarem.

Como as empresas estão tentando resolver o problema?

Na semana passada, o Minecraft publicou uma postagem no blog anunciando que uma vulnerabilidade foi descoberta em uma versão do jogo — e rapidamente emitiu uma correção. Outras empresas tomaram medidas semelhantes.

IBM, Oracle, AWS e Cloudflare emitiram avisos aos clientes, com alguns empurrando atualizações de segurança ou delineando seus planos para possíveis patches.

“Este é um bug tão grave, mas não é como se você pudesse apertar um botão para corrigi-lo como normalmente acontece. Vai exigir muito tempo e esforço”, disse Kennedy.

Por transparência e para ajudar a reduzir a desinformação, a CISA disse que criaria um site público com atualizações sobre quais produtos de software foram afetados pela falha e como os hackers os exploraram.

O que você pode fazer para se proteger?

A pressão recai principalmente sobre as empresas para que haja alguma manifestação.

Por enquanto, as pessoas devem se certificar de atualizar dispositivos, software e aplicativos quando as empresas derem avisos nos próximos dias e semanas.

Qual é o próximo?

O governo dos Estados Unidos emitiu um alerta de ransomware e ataques cibernéticos para que as empresas afetadas ficassem sob alerta máximo durante o feriado.

Existe a preocupação de que um número crescente de agentes mal-intencionados fará uso da vulnerabilidade de novas maneiras e, embora grandes empresas de tecnologia possam ter equipes de segurança para lidar com essas ameaças potenciais, muitas outras organizações não o fazem.

“O que mais me preocupa são as instituições escolares, hospitais, os locais onde há um único profissional de tecnologia da informação (TI) que cuida da segurança e que não tem tempo, orçamento ou ferramentas de segurança”, disse Katie Nickels, diretora de inteligência em segurança cibernética empresa Red Canary.

“Essas são as organizações com as quais estou mais preocupada — pequenas organizações com pequenos orçamentos de segurança.”

Sean Lyngaas contribuiu para este relatório.

(Texto traduzido. Confira o original aqui)

Fonte: CNN Brasil

Marcações: