Descoberto em dezembro do ano passado, o Log4Shell rapidamente se tornou famosa como a vulnerabilidade do ano. Apesar da Fundação Apache tenha lançado um patch pouco tempo depois da sua descoberta, esta vulnerabilidade continua a representar uma enorme ameaça para indivíduos e organizações. De facto, durante as primeiras três semanas de janeiro, os produtos da Kaspersky bloquearam 30.562 tentativas de ataque a utilizadores através de métodos que visavam a vulnerabilidade da Log4Shell. 1,24% destes ataques foram em Portugal.
O CVE-2021-44228 ou Log4Shell é uma vulnerabilidade da classe Remote Code Execution (RCE), o que significa que se for explorada num servidor vulnerável, os cibercriminosos ganham a capacidade de executar código arbitrário e potencialmente assumir o controlo total sobre o sistema. Este CVE teve uma pontuação de 10 em 10 em termos de gravidade.
A vulnerabilidade é extremamente atrativa para os cibercriminosos pois permite-lhes ganhar controlo total sobre o sistema da vítima e ser fácil de explorar.
Desde que foi identificado pela primeira vez, os produtos da Kaspersky detetaram e impediram 154.098 tentativas de examinar e atacar dispositivos através do alvo da vulnerabilidade do Log4Shell. A maioria dos sistemas atacados localiza-se na Rússia (13%), Brasil (8,97%) e EUA (7,36%), enquanto em Portugal o impacto desta ameaça é mais residual (1,24%).
Embora a Fundação Apache já tenha lançado um patch para este CVE, são necessárias semanas ou meses para os vendedores atualizarem o seu software. Sem surpresas, os especialistas da Kaspersky observaram que os cibercriminosos continuam a efetuar ataques generalizados para explorar o Log4Shell. Nas primeiras três semanas de janeiro, os produtos da Kaspersky bloquearam 30.562 tentativas de ataque aos utilizadores através de ataques que visavam o Log4Shell. Além disso, quase 40% destas tentativas foram detetadas nos primeiros cinco dias do mês, entre 1 e 5 de Janeiro.
Nº de ataques que exploraram a vulnerabilidade Log4Shell, entre 1 e 20 de janeiro de 2022
"Vemos certamente que tem havido muito menos tentativas de ataques através do Log4Shell do que nas primeiras semanas em que foi inicialmente descoberto. Ainda assim, as tentativas de explorar esta vulnerabilidade estão aqui para ficar. Como mostra a nossa telemetria, os cibercriminosos continuam as suas extensas atividades de ataques em massa e tentam aproveitar o código. Esta vulnerabilidade está a ser explorada tanto por agentes de ameaça avançados que visam organizações específicas como por oportunistas que procuram simplesmente qualquer sistema vulnerável para atacar. Sugerimos que todos os que ainda não o fizeram a usar uma solução de segurança forte para se manterem protegidos", comenta Evgeny Lopatin, especialista em segurança da Kaspersky.
Os produtos da Kaspersky protegem contra ataques que alavancam vulnerabilidades, incluindo a utilização de PoCs, entre eles:
- UMIDS:Intrusion.Generic.CVE-2021-44228.
- PDM:Exploit.Win32.Generic
Para se proteger contra esta nova vulnerabilidade, os especialistas da Kaspersky recomendam:
- Instalar a versão mais recente da biblioteca. Pode fazer o download na página do projeto. Se estiver a utilizar a biblioteca de um produto de terceiros, terá de monitorizar e instalar atempadamente as atualizações de um fornecedor de software.
- Seguir as diretrizes do projeto Apache Log4j: https://logging.apache.org/log4j/2.x/security.html.
- Utilizar uma solução de segurança que fornece componentes de prevenção de exploração e de gestão de patches, tais como a Kaspersky Endpoint Security for Business. O componente Automatic Exploit Prevention da Kaspersky também monitoriza ações suspeitas em aplicações e bloqueia execuções maliciosas de ficheiros.
- Utilizar soluções como Kaspersky Endpoint Detection and Response e o Kaspersky Managed Detection and Response, que ajudam a identificar e impedir os ataques nas fases iniciais antes que os cibercriminosos possam alcançar o seu objetivo final.
Post A Comment:
0 comments: