Atualização do Log4j corrige nova falha de execução remota de código

Hackers usaram a falha Log4j para obter acesso antes de passar pela rede de uma empresa
Hackers usaram a falha Log4j para obter acesso antes de passar pela rede de uma empresa

A Apache lançou outra versão do Log4j, 2.17.1. Essa nova versão traz a correção de uma nova falha de execução remota de código (RCE), deixando o Log4j mais seguro e livre de falhas, pelo menos por enquanto.

Essa nova vulnerabilidade foi recém-descoberta na versão 2.17.0, rastreada como CVE-2021-44832. Com essa nova atualização, a versão mais recente do Log4j é considerada a versão mais segura para atualizar.

Log4j: muitas vulnerabilidades descobertas em menos de um mês

atualizacao-do-log4j-corrige-nova-falha-de-execucao-remota-de-codigo

A exploração em massa da vulnerabilidade Log4Shell original por atores de ameaças começou por volta de 9 de dezembro, quando uma exploração PoC para ela apareceu no GitHub, lembra o BleepingComputer. Devido ao amplo uso do Log4j na maioria dos aplicativos Java, o Log4Shell logo se tornou um pesadelo para empresas e governos em todo o mundo.

Essa é a quinta vulnerabilidade e foi descoberta no Log4j 2.17.0, corrigido com um patch aplicado ao lançamento mais recente 2.17.1 que foi lançado. Classificada como Moderada em gravidade e atribuída uma pontuação de 6,6 na escala CVSS, a vulnerabilidade decorre da falta de controles adicionais no acesso JDNI no log4j.

Yaniv Nizry, pesquisador de segurança da Checkmarx,   reivindicou o crédito por relatar a vulnerabilidade ao Apache em sua conta do Twitter, como você pode verificar abaixo.

O tweet de Nizry explodiu rapidamente no tráfego, atraindo comentários e memes de especialistas em segurança e vítimas do cansaço contínuo dos patches do log4j. No momento do tweet de Nizry, BleepingComputer não viu um comunicado oficial ou memorando indicando a presença de um bug RCE no log4j 2.17.

O tweet em si não continha detalhes sobre a vulnerabilidade ou como ela poderia ser explorada, mas, em minutos, levou um grupo de profissionais de segurança e internautas a começar a investigar a reclamação.

Revelação precoce de vulnerabilidades: Atualização Log4j

Revelar vulnerabilidades de segurança prematuramente pode atrair os agentes da ameaça a realizar atividades maliciosas de varredura e exploração, como fica evidente no vazamento de exploração Log4Shell de 9 de dezembro, lembra o BleepingComputer.

Marc Rogers, VP de segurança cibernética da Okta revelou pela primeira vez o identificador de vulnerabilidade (CVE-2021-44832) e que a exploração do bug depende de uma configuração log4j não padrão, em que a configuração está sendo carregada de um servidor remoto:

Até agora, as vulnerabilidades do log4j foram exploradas por todos os tipos de agentes de ameaças. De acordo com o BleepingComputer, a gangue de ransomware Conti foi vista observando servidores VMWare vCenter vulneráveis. Enquanto os invasores violando a plataforma de criptografia vietnamita, ONUS, via log4shell, exigiram um resgate de 5 milhões de dólares. 

Os usuários do Log4j devem atualizar imediatamente para a versão mais recente  2.17.1  (para Java 8). As versões com backport 2.12.4 (Java 7) e 2.3.2 (Java 6) contendo a correção também devem ser lançadas em breve.

Via: BleepingComputer