O estudo da Cisco Talos Intelligence Group apontou que a permanência do Log4j como vetor de todo tipo de risco às informações críticas exigirá que grandes companhias e poder público apliquem planejamentos claros, vindos de seus times de Segurança da Informação. O objetivo é mitigar os riscos que a biblioteca pode oferecer a todo o sistema de dados de uma corporação.
“Avaliamos que a ameaça de tentativas de exploração da Log4j continuará sendo um desafio para as organizações em 2023 e próximos anos. Sabe-se que os atores do risco cibernético utilizam as mesmas táticas, ferramentas e técnicas (TTPs) enquanto permanecerem eficazes, e o Log4j provavelmente não será exceção”, afirmou o Líder de Pesquisas em Segurança da Cisco Talos, David Liebenberg em entrevista à Security Report.
O pesquisador disse que são algumas razões capazes de explicar o nível de risco que o Log4j representa para a proteção de dados. Primeiro, ela é uma vulnerabilidade consideravelmente simples de ser explorada. Segundo, ela teve uma prova-de-conceito rapidamente disponibilizada para a comunidade cibernética, o que levou cibercriminosos a rapidamente se adaptaram a esse uso. Por fim, devido à disseminação larga entre os códigos de dados, sua área de ameaça também alcança um enorme limite, colocando em risco uma série de informações alinhadas à essa biblioteca.
Com isso, a análise da Cisco Talos recomenda que as organizações se esforcem para criar inventários os mais detalhados possíveis de suas bibliotecas, para que assim possam identificar qualquer vulnerabilidade gerada por aplicação do Log4j. Depois disso, é altamente recomendável que as equipes de Segurança da Informação criem cronogramas de patches para atualizar instâncias ameaçadas pela vulnerabilidade. E finalmente, deve-se pensar em replanejar as respostas à incidentes considerando todas essas informações colhidas e a ideia de que um ataque pode ocorrer a qualquer momento.
“O Log4j ainda é um vetor de infecção altamente viável para os atores explorarem e os adversários devem seguir abusando dos sistemas vulneráveis o máximo de tempo possível. Embora os cibercriminosos permaneçam adaptáveis, há poucos motivos para que eles gastem mais recursos desenvolvendo novos métodos se ainda puderem explorar com sucesso as vulnerabilidades conhecidas”, explicou Liebenberg.
O pesquisador ainda reconheceu o desafio de combater efetivamente essa vulnerabilidade, apesar de não haver muitas alternativas para tanto. “A onipresença do Log4j torna a aplicação de patches um desafio. Como a biblioteca é tão amplamente utilizada, o Log4j pode estar profundamente embutido em grandes sistemas, tornando difícil o inventário onde todas as vulnerabilidades de softwares podem estar em um determinado ambiente. Além disso, não há um sistema de correção uniforme para o Log4j, o que significa que ele não pressiona as atualizações de software – incluindo importantes atualizações de segurança – de forma regular ou automática”.
Esses riscos foram postos em evidência pelo próprio Cisco Talos 2022 Year in Review, ao detectar evidências da exploração do Log4j pelo ransomware Conti em servidores vulneráveis da Vmware Horizon. Segundo a pesquisa, isso mostra como a vulnerabilidade vem sendo descoberta por cibercriminosos desde pelo menos dezembro de 2021, quando os primeiros registros se tornaram públicos.
“A razão pela qual os agentes de ransomware usariam isto é mais para um meio de acesso inicial, que eles poderiam então usar para criar uma base para realizar o resto de seu ataque, culminando com a criptografia”, disse Liebenberg. “Assim que as provas-de-conceito são desenvolvidas, temos que esperar ver uma rápida adaptação dos cibercriminosos, especialmente aqueles que estão atuando com mineração ilícita de criptomoedas, que muitas vezes são os primeiros a adotar novas explorações”, completa o especialista.
