Os factos:
Depois da falha da Microsoft no início de dezembro, é agora a falha de segurança Log4Shell que está a dar que falar. Foi o Bundesamt für Sicherheit in der Informationstechnik (BSI) (o equivalente à ANSSI na Alemanha) que revelou a sua existência a 10 de dezembro de 2021.
Diz respeito à biblioteca de registo Log4j desenvolvida pela Fundação Apache. Uma biblioteca, também designada por biblioteca de software, é um conjunto de funções e classes que já foram codificadas numa linguagem específica para o desenvolvimento de software. Se for utilizada indevidamente, a biblioteca Log4j pode executar código não autorizado num servidor.
Esta falha é preocupante, uma vez que a biblioteca Log4j é amplamente utilizada em todo o mundo, nomeadamente por grandes empresas. As versões afetadas por esta vulnerabilidade são as versões 2.0 a 2.14.1. Além disso, trata-se de uma falha 0-day, ou seja, não havia qualquer correção disponível no momento da sua descoberta.
Segundo Jennifer Easterly, diretora da CISA, «Esta é uma das falhas mais graves, se não mesmo a mais grave, com que me deparei desde o início da minha carreira», com um nível de ameaça de 10. (Fonte: France24)
Guillaume Poupard, diretor-geral da ANSSI: «Receio que, ao aprofundar (…) nos apercebamos de consequências que podem ser relativamente graves», afirmou, acrescentando: «O meu receio é que a vulnerabilidade tenha sido explorada há muito mais tempo do que imaginamos.» Esta falha está, de facto, a ser explorada ativamente
Foram desenvolvidas correções
A Apache lançou uma correção com a versão 2.15.0 do Log4j que recomendamos que instale o mais rapidamente possível.
Para as organizações em causa (empresas, administrações, etc.), atualizar as suas ferramentas pode ser uma tarefa morosa. É um processo demorado, pois é necessário garantir que essa «correção» não cause problemas de compatibilidade. (Fonte: LeMonde) E outras talvez ainda não saibam que estão vulneráveis…
Para além da correção do Apache, muitos fornecedores que utilizam o Log4j estão a publicar gradualmente outras correções. No entanto, caso haja dificuldades na migração para esta versão, podem ser aplicadas medidas de contorno podem ser aplicadas temporariamente.
O «Avant de Cliquer» sensibiliza-o para a cibersegurança…
- Em primeiro lugar, recomendamos que verifique se não está afetado por esta falha, fazendo um inventário das suas aplicações.
- Atualize a biblioteca para a versão 2.16.00 (ou aplique uma solução alternativa temporária)
- Verifique os seus registos para se certificar de que não houve nenhum ataque
- Implemente soluções técnicas e organizacionais na sua empresa para sensibilizar as suas equipas para a cibersegurança.
