CISA avisa que Log4Shell continua sendo uma ameaça

Na semana passada, a Agência de Segurança Cibernética e Infraestrutura (CISA) emitiu um aviso notificando as organizações de que os agentes de ameaças mal-intencionados continuam explorando a vulnerabilidade do Log4Shell de dia 0 no VMware Horizon e no Unified Get right of entry to Gateway (UAG) para obter acesso inicial aos sistemas de destino sem os patches necessários.

No relatório, a CISA recomenda que todas as organizações com sistemas afetados que não implantaram patches “assumam comprometimento e iniciem atividades de caça a ameaças”.

Acima de tudo, o aviso destaca que as empresas que não corrigiram o Log4Shell ainda estão em risco e, no mínimo, precisam implantar os patches disponíveis em seus sistemas, se não tomarem medidas para remediar uma intrusão.

Um olhar sobre a história do Log4Shell

A equipe de segurança em nuvem do Alibaba descobriu e relatou a vulnerabilidade do Log4Shell ao Apache em 24 de novembro de 2021.

Os pesquisadores inicialmente notaram invasores usando uma exploração no Apache Log4j 2, uma biblioteca de código aberto que registra erros e eventos em aplicativos Java, para executar remotamente códigos maliciosos em servidores e clientes executando o Minecraft.

Enquanto o Apache corrigiu a vulnerabilidade em 9 de dezembro de 2021, o Log4Shell já havia ganhado a reputação de uma séria vulnerabilidade de dia 0, que comentaristas advertido que “causaria estragos em toda a web nos próximos anos”, com uma estimativa 3 bilhões de dispositivos exploráveis.

À medida que a publicidade sobre a vulnerabilidade crescia, os agentes de ameaças começaram a direcionar ataques a empresas em todo o mundo, com Microsoft encontrar um aumento nas técnicas, incluindo varredura em massa, mineração de moedas, estabelecimento de conchas remotas e atividade de equipe vermelha.

Desde então, a exploração diminuiu a confiança no device de nuvem de terceiros a ponto de 95% dos líderes de TI relatarem que o Log4Shell foi um grande alerta para a segurança na nuvem. Além disso, 87% relatam que se sentem menos confiantes sobre a segurança da nuvem agora do que antes do incidente.

Muitos pacotes de device afetados ainda não foram corrigidos

Embora tenham se passado meses desde que o Log4Shell foi descoberto e muitas organizações implantaram as vulnerabilidades necessárias para proteger seus sistemas, a maioria não o fez. De fato, em abril deste ano, um Rezilion relatório descobriu que quase 60% dos pacotes de device Log4Shell afetados permanecem sem correção.

O alerta recente da CISA destaca que a falha em corrigir esses sistemas pode ser um descuido caro, uma vez que os agentes de ameaças ainda estão procurando ativamente sistemas não corrigidos para explorar.

A única maneira de minimizar essas ameaças de dia 0 é as empresas implementarem um plano de correção organizado, para garantir que todos os servidores voltados para a Web sejam corrigidos e protegidos.

“A correção é uma parte crítica do plano de segurança de qualquer organização, e os dispositivos conectados à Web sem correção – especialmente contra uma vulnerabilidade bem conhecida e explorada – cria um sério risco para as organizações e seus clientes”, disse Erich Kron, defensor da conscientização de segurança. com KnowBe4. “Embora a aplicação de patches possa ser um desafio e até representar um risco actual de interrupção se houver problemas, qualquer organização que tenha dispositivos voltados para a Web deve ter um sistema instalado e testes para reduzir significativamente o risco.”

As implicações de segurança de não corrigir o log4j

Nesse estágio do ciclo de vida da vulnerabilidade, a falha em corrigir os sistemas expostos é um erro grave que indica que uma organização tem lacunas significativas em sua estratégia de segurança existente.

“Os patches para as versões do Log4j que são vulneráveis ​​ao Log4Shell estão disponíveis desde dezembro. Isso inclui patches para produtos VMware”, disse Tim Mackey, major estrategista de segurança do Synopsys Cybersecurity Analysis Middle. “Infelizmente, as organizações que ainda precisam corrigir o Log4j ou VMware Horizon carecem de uma estratégia robusta de gerenciamento de patches, seja uma estratégia comercial ou de código aberto, ou tenha instâncias de implantações de sombra.”

Mackey também destacou que, embora o uso da mídia para incentivar as organizações a corrigir novas vulnerabilidades possa ser eficaz, não substitui o monitoramento proativo de explorações.

Um olhar sobre as soluções

Embora manter as vulnerabilidades corrigidas seja mais fácil falar do que fazer em ambientes de rede modernos e complexos, há um número crescente de soluções de gerenciamento de patches que as organizações podem usar para enviar patches para vários dispositivos de forma remota e eficiente.

Muitas organizações já estão usando soluções de gerenciamento de patches para manter seus dispositivos atualizados, com pesquisadores prevendo que o mercado world de gerenciamento de patches crescerá de um valor de US$ 652 milhões em 2022, para atingir uma avaliação de US$ 1.084 milhões até 2027.

Para abordar a vulnerabilidade do Log4Shell em um nível mais granular, as empresas podem aproveitar ferramentas de verificação de vulnerabilidades como PortSwigger BurpSuite Professional, Nmape Testador de vulnerabilidade Log4J da TrendMicro para identificar arquivos expostos para que possam tomar medidas para corrigi-los.

Também vale a pena notar que fornecedores de tecnologia proeminentes como Microsoft e Google implantaram suas próprias soluções proprietárias para ajudar as empresas a identificar e mitigar o Log4j.

A Microsoft expandiu o Microsoft Defender para que ele possa verificar dispositivos em busca de arquivos Log4j de vulnerabilidade. Ofertas do Google Cloud Cloud Logging para permitir que as empresas consultem logs de tentativas de explorar o Log4j 2 e emita alertas para notificá-los quando mensagens de exploit são gravadas em logs.

Ao combinar soluções de gerenciamento de patches com verificação proativa de vulnerabilidades, as organizações podem identificar consistentemente a infraestrutura comprometida e explorações como o Log4j antes que um invasor tenha an opportunity de explorá-las.