A Apache lançou outra versão do Log4j, 2.17.1. Essa nova versão traz a correção de uma nova falha de execução remota de código (RCE), deixando o Log4j mais seguro e livre de falhas, pelo menos por enquanto.
Essa nova vulnerabilidade foi recém-descoberta na versão 2.17.0, rastreada como CVE-2021-44832. Com essa nova atualização, a versão mais recente do Log4j é considerada a versão mais segura para atualizar.
Log4j: muitas vulnerabilidades descobertas em menos de um mês
A exploração em massa da vulnerabilidade Log4Shell original por atores de ameaças começou por volta de 9 de dezembro, quando uma exploração PoC para ela apareceu no GitHub, lembra o BleepingComputer. Devido ao amplo uso do Log4j na maioria dos aplicativos Java, o Log4Shell logo se tornou um pesadelo para empresas e governos em todo o mundo.
Essa é a quinta vulnerabilidade e foi descoberta no Log4j 2.17.0, corrigido com um patch aplicado ao lançamento mais recente 2.17.1 que foi lançado. Classificada como Moderada em gravidade e atribuída uma pontuação de 6,6 na escala CVSS, a vulnerabilidade decorre da falta de controles adicionais no acesso JDNI no log4j.
Yaniv Nizry, pesquisador de segurança da Checkmarx, reivindicou o crédito por relatar a vulnerabilidade ao Apache em sua conta do Twitter, como você pode verificar abaixo.
O tweet de Nizry explodiu rapidamente no tráfego, atraindo comentários e memes de especialistas em segurança e vítimas do cansaço contínuo dos patches do log4j. No momento do tweet de Nizry, BleepingComputer não viu um comunicado oficial ou memorando indicando a presença de um bug RCE no log4j 2.17.
O tweet em si não continha detalhes sobre a vulnerabilidade ou como ela poderia ser explorada, mas, em minutos, levou um grupo de profissionais de segurança e internautas a começar a investigar a reclamação.
Revelação precoce de vulnerabilidades: Atualização Log4j
Revelar vulnerabilidades de segurança prematuramente pode atrair os agentes da ameaça a realizar atividades maliciosas de varredura e exploração, como fica evidente no vazamento de exploração Log4Shell de 9 de dezembro, lembra o BleepingComputer.
Marc Rogers, VP de segurança cibernética da Okta revelou pela primeira vez o identificador de vulnerabilidade (CVE-2021-44832) e que a exploração do bug depende de uma configuração log4j não padrão, em que a configuração está sendo carregada de um servidor remoto:
Até agora, as vulnerabilidades do log4j foram exploradas por todos os tipos de agentes de ameaças. De acordo com o BleepingComputer, a gangue de ransomware Conti foi vista observando servidores VMWare vCenter vulneráveis. Enquanto os invasores violando a plataforma de criptografia vietnamita, ONUS, via log4shell, exigiram um resgate de 5 milhões de dólares.
Os usuários do Log4j devem atualizar imediatamente para a versão mais recente 2.17.1 (para Java 8). As versões com backport 2.12.4 (Java 7) e 2.3.2 (Java 6) contendo a correção também devem ser lançadas em breve.
Via: BleepingComputer
