Nenhuma empresa pode garantir 100% de segurança no seus sistemas todo o tempo, já que falhas que possibilitam ataques são descobertas – e exploradas – continuamente. O importante é ter processos e ferramentas para lidar com estas novas ameaças o mais rápido possível, evitando que os sistemas fiquem vulneráveis por muito tempo e, com isso, sujeitos a ataques. Um bom exemplo desta necessidade é o caso descoberto há pouco de uma vulnerabilidade de dia zero (zero-day vulnerability)

Recentemente uma nova vulnerabilidade (CVE-2021-44228) foi descoberta no Apache Log4j que, se explorada, pode permitir que um atacante remoto execute código arbitrário em sistemas vulneráveis que se utilizem deste componente. O código de exploração para esta vulnerabilidade, apelidado de Log4Shell, foi compartilhado publicamente e vários invasores já estão tentando explorá-lo. De acordo com o Apache, a vulnerabilidade ocorre em certas configurações não padrão. Isso poderia permitir que os invasores “criem dados de entrada maliciosos usando um padrão JNDI Lookup, resultando em um ataque de negação de serviço (DOS)”.

A vulnerabilidade Log4J CVE-2021-44228 Log4shell é considerada de severidade crítica, e se encontra na biblioteca Apache Log4j2 versões 2.14.1 e inferiores. Esta problema representa um risco crítico para os aplicativos porque permite a execução remota de código por meio do “LDAP JNDI parser”. Com isso invasores ganham  o controle sobre as mensagens de log ou parâmetros de mensagem de log, executam código arbitrário carregado dos servidores LDAP quando “message lookup substitution” está habilitada. Esse problema é particularmente preocupante devido ao quão amplamente usada essa biblioteca de código aberto é, dando suporte a milhões de aplicativos Java para gravar mensagens de erro. 
 
Desde que foi descoberta, a Apache corrigiu rapidamente esse problema e lançou o log4j versão 2.16.0, onde esse comportamento foi desabilitado por padrão.
 
De acordo com a Symantec, as tentativas de exploração já foram largamente detectadas, com o código de exploração sendo compartilhado publicamente e vários hackers já estão tentando explorá-lo.
 
A WhiteSource, nossa parceira de soluções de segurança para open source, enviou uma comunicação formal a todos os seus clientes com os itens de ação exigidos que precisam ser seguidos. Nós estamos empenhados em fornecer uma plataforma de detecção de vulnerabilidade confiável, sem dificuldades e altamente segura para nossos clientes e parceiros, e a solução Whitesource é indicada para tratar com agilidade problemas como este relatado acima. Aliás, a empresa disponibilizou sua ferramenta sem custo, de forma emergencial, para detectar e remediar a vulnerabilidade Log4j – você pode ter informações sobre isto neste link. Entre em contato se tiver alguma dúvida ou preocupação, podemos ajudar você a analisar os seus repositórios.
 
Você também pode consultar este blog para obter mais informações sobre a vulnerabiliade e correções.