Pesquisadores descobrem a terceira vulnerabilidade na biblioteca Apache Log4j


  •  

Após a descoberta, em 01 de dezembro, do primeiro exploit para a vulnerabilidade zero-day de execução de código remoto (RCE, pela sigla em inglês) na Apache Log4j (CVE-2021-44228), a biblioteca de geração de registros em Java, especialistas descobriram uma segunda falha (CVE-2021-45046) no último dia 14 de dezembro.

Essa segunda vulnerabilidade é classificada como de gravidade moderada (recebeu uma pontuação de 3,7 em 10 na escala CVSS) e está presente inclusive na versão 2.15.0 que foi lançada há uma semana para corrigir a primeira vulnerabilidade, que é extremamente crítica e foi classificada com uma gravidade de 10 em 10. A versão 2.16.0 já está disponível.

Supostamente, o patch para a CVE-2021-44228 na versão 2.15.0 estava incompleto e permitia a exploração de uma segunda falha, explicou a Apache Software Foundation. Esta segunda vulnerabilidade permite que um cibercriminoso realize ataques de negação de serviço (DDoS) e foi corrigida na versão 2.16.0, portanto, o ideal é atualizar a biblioteca para a versão mais recente o mais rápido possível. De acordo com especialistas da Cloudflare, essa segunda vulnerabilidade também está sendo explorada ativamente.

Além disso, pesquisadores da empresa Praetorian descobriram uma terceira vulnerabilidade na versão 2.15.0 da Apache Log4j. A falha faz com que um cibercriminosos possa exfiltrar dados sensíveis das vítimas em certas circunstâncias. De acordo com os especialistas, os detalhes técnicos não serão divulgados por enquanto para evitar que a situação se torne mais complexa com as atuais tentativas de explorar a primeira vulnerabilidade. Entretanto, eles publicaram um vídeo demonstrando como ocorre a exfiltração de dados na versão 2.15.0.

Enquanto isso…

Considerando que a biblioteca Apache Log4j é bastante utilizada e, portanto, um grande número de empresas e serviços conhecidos podem estar expostos a essa falha, dias após o lançamento do patch para a vulnerabilidade zero-day, em 10 de dezembro, atividades maliciosas começaram a ser detectadas em todo o mundo tentando explorar a falha, embora com uma porcentagem maior nos Estados Unidos e no Reino Unido.

Pesquisadores também descobriram que alguns cibercriminosos têm realizado uma espécie de varredura da rede em busca do UniFi Video, um sistema de gerenciamento de câmeras de segurança IP em fim de vida útil da Ubiquiti. Este sistema tem versões vulneráveis tanto para Linux quanto para Windows e existem mais de 8.500 sistemas rodando essas versões.

Por outro lado, outras empresas de segurança registraram em menos de 24 horas mais de 60 novas variantes do exploit original e pelo menos 10 amostras diferentes de malware também foram detectadas tentando explorar a falha CVE-2021-44228, desde mineradores de criptomoedas, trojans como o Tsunami ou o Mirai, a ferramentas como o Meterpreter para a realização de pentesting. Como se isso não fosse suficiente, também encontraram o primeiro grupo de ransomware que explora a vulnerabilidade log4shell. Chama-se Khonsari e sabe-se que os cibercriminosos por trás desse ransomware usaram o mesmo servidor para distribuir o RAT Orcus. Além disso, nas últimas horas, foi detectada a exploração da Log4Shell para obter acesso inicial e fazer o download do ransomware Conti.