Se você estiver executando uma versão do Apache Log4j entre 2.0-beta9 e 2.14.1 (inclusive), a vulnerabilidade Log4Shell é algo que você precisa estar ciente. Rastreado como CVE-2021-44228, esta é uma falha RCE séria e facilmente explorada no utilitário de criação de log baseado em Java de código aberto. Assim, uma empresa de segurança lança uma correção gratuita para vulnerabilidade grave do Log4Shell no Apache Log4j. Também acaba de sair uma nova versão Apache Log4j 2.16.0.
Um invasor pode explorar a falha de segurança para executar um ataque remoto simplesmente usando uma string específica como o agente do usuário do navegador. Embora a Apache Software Foundation tenha lançado uma versão corrigida do Log4j 2.15.0, nem todos são capazes de atualizar imediatamente, e isso é algo que os invasores estão aproveitando. Felizmente, a empresa de segurança Cybereason lançou uma “vacina” chamada Logout4Shell que protege contra Log4Shell.
A empresa produziu a “vacina” gratuita que corrige a falha usando o bug contra si mesma.
Escrevendo sobre a vulnerabilidade em uma postagem de blog, Cybereason diz: “Uma vulnerabilidade que afeta o Apache Log4j versões 2.0 a 2.14.1 saiu no GitHub do projeto em 9 de dezembro de 2021. A falha tem o nome de ‘Log4Shell’ e tem a maior quantidade possível classificação de gravidade de 10. O Apache está em quase um terço de todos os servidores da web no mundo – tornando esta uma falha potencialmente catastrófica.
Empresa de segurança lança uma correção gratuita para vulnerabilidade grave do Log4Shell no Apache Log4j
A empresa continua :
Log4j é uma biblioteca de criação de log Java de software livre amplamente usada em uma variedade de aplicativos de software e serviços em todo o mundo. A vulnerabilidade pode permitir que os agentes da ameaça assumam o controle de qualquer servidor voltado para a Internet baseado em Java e se envolvam em ataques de execução remota de código (RCE).
A maioria das telas de login no mundo normalmente audita as tentativas de login malsucedidas, o que significa que praticamente todas as páginas autenticadas que usam Log4j são vulneráveis. As barras de pesquisa do navegador também costumam registrar e expõem os sistemas a essa falha.
Explorar a falha é bastante trivial. Um invasor pode explorar a vulnerabilidade simplesmente enviando uma string de código malicioso com registro pelo Log4j. Nesse ponto, a exploração permitirá que o invasor carregue o código Java arbitrário e assuma o controle do servidor.
No GitHub, a Cybereason lançou sua vacina Logout4Shell e fornece várias instruções.
Mais informações e código estão disponíveis aqui.
Do mesmo modo, você pode acompanhar o anúncio do lançamento da nova versão do Apache Log4j neste link.
Via Betanews