Log4Shell foi a vulnerabilidade de dia zero mais crítica de 2021

João Fernandes Por
Dez. 31, 2021
Log4Shell foi a vulnerabilidade de dia zero mais crítica de 2021
Notícias

A Qualys Inc é um fornecedor pioneiro e líder de soluções disruptivas de TI, segurança e conformidade baseadas na cloud, com mais de 19.000 clientes ativos em mais de 130 países, incluindo a maioria das listas Forbes Global 100 e Fortune 100.

A equipa de investigadores da Qualys, Inc., fabricante pioneiro e líder de soluções de conformidade e segurança baseadas na cloud, analisou detalhadamente a vulnerabilidade recentemente descoberta relacionada com a biblioteca de Java Apache Log4j e denominada Log4Shell (CVE-202-44228), tendo chegado a algumas conclusões.

  • O Log4j, desenvolvido pela Apache Foundation, é amplamente utilizado tanto por aplicações empresariais como por serviços cloud. É incluído em frameworks de Java muito populares como Apache Flink, Apache Druid, Apache Struct2, etc.
  • Este vetor de ataque aumenta muito mais a superfície de ataque desta vulnerabilidade do que se previa inicialmente.
  • A falha do Log4Shell resulta na execução remota de código no servidor vulnerável com privilégios de nível de sistema. Pelo seu impacto, tem uma classificação CVSS (Sistema standard de pontuação de vulnerabilidades) de 10.0.
  • Apache Log4j2 versão 2.15.0 corrige esta vulnerabilidade. Se não é possível atualizar a versão, podem ser aplicadas as mitigações aqui
  • Os ataques sucedem-se e foram já detetadas exploits de prova de conceito (PoC) em domínios como Twitter, GitHub, entre muitos outros.

“Estamos provavelmente perante a vulnerabilidade dia zero mais crítica de 2021”, afirma Bharat Jogi, diretor da equipa de Investigação de Vulnerabilidades e Ameaças da Qualys. “Falamos de uma biblioteca utilizada por milhões de aplicações Java e que, além disso, é fácil de explorar. Recomendamos aos utilizadores e administradores que atualizem as suas aplicações para a última versão do Log4j ou apliquem as mitigações de forma urgente”.

Qualys disponibiliza ferramenta de scan gratuita

A Qualys, entretanto, anunciou que a sua solução Web Application Scanning (WAS) estará disponível de forma gratuita durante os próximos 30 dias para ajudar as empresas a proteger-se contra a vulnerabilidade Log4Shell.

“As capacidades de scan de aplicações web são essenciais para detetar vulnerabilidades como esta, já que permitem simular um ataque como os que o Log4Shell protagoniza”, explica Sergio Pedroche, Country Manager da Qualys Iberia. “Para ajudar as empresas a manterem-se a salvo desta ameaça, disponibilizamos agora esta tecnologia líder que permite analisar aplicações web e APIs em busca de vulnerabilidades”.

Para utilizar o serviço WAS gratuitamente durante 30 dias, visite a página web da Qualys. Para obter mais informações sobre como utilizar o WAS para detetar o Log4Shell, leia o artigo “Is Your Web Application Exploitable by the Log4 Shell Vulnerability?

Classifique este item
(0 votos)
Ler 1421 vezes
Mais nesta categoria: « MRW alerta para fraude em seu nome Novos Surface já estão disponíveis em Portugal »
Top