Steam, Apple iCloud e Minecraft Vulneráveis a Exploração de Zero-Day

Vários serviços populares, incluindo Apple iCloud, Steam, Amazon, Twitter, Cloudflare e Minecraft, estão vulneráveis a uma exploração de zero-day ‘ubíqua’ que foi descoberta no sistema de registro Java amplamente utilizado chamado ‘log4j2’, desenvolvido pela Apache Software Foundation.

A vulnerabilidade, apelidada de “Log4Shell” por pesquisadores de cibersegurança da LunaSec e creditada a Chen Zhaojun da Alibaba, resulta em Execução Remota de Código (RCE) ao registrar uma determinada string, o que permite que atacantes obtenham acesso não controlado a sistemas de computador e importem malware, colocando milhões de dispositivos completamente em risco.

O 0-day foi tweetado em 9 de dezembro junto com uma prova de conceito (POC) postada no GitHub.

De acordo com os pesquisadores, dada a ubiquidade desta biblioteca, o impacto da exploração (controle total do servidor) e a facilidade de exploração, o impacto desta vulnerabilidade (CVE-2021-44228) é “bastante severo”.

Pesquisadores da LunaSec disseram que qualquer um que use Apache Struts também é provavelmente vulnerável, acrescentando que vulnerabilidades semelhantes foram exploradas anteriormente em ataques como a violação da Equifax em 2017. A vulnerabilidade nos servidores da Apple pode ser acionada simplesmente mudando o nome de um iPhone.

O problema afeta todas as versões entre 2.0-beta-9 e a versão 2.14.1. No entanto, a LunaSec observou que versões do Java superiores a 6u211, 7u201, 8u191 e 11.0.1 não são afetadas pela vulnerabilidade.

A vulnerabilidade afeta todas as versões entre 2.0-beta-9 e a versão 2.14.1. Muitos projetos de Código Aberto, como o servidor Minecraft, Paper, já começaram a corrigir seu uso de ‘log4j2’. Uma lista extensa de respostas de organizações impactadas foi listada aqui.

A Apache Software Foundation lançou uma atualização de segurança de emergência na versão mais recente da biblioteca, versão 2.15.0, para corrigir a vulnerabilidade de zero-day em ‘log4j’, juntamente com etapas de mitigação para aqueles que não conseguem atualizar imediatamente.

“Um atacante que pode controlar mensagens de log ou parâmetros de mensagens de log pode executar código arbitrário carregado de servidores LDAP quando a substituição de pesquisa de mensagens está habilitada”, disse a Fundação Apache em um aviso. “A partir do Log4j 2.15.0, esse comportamento foi desativado por padrão.”

Aqueles que usam Log4j em seu software são recomendados a atualizá-lo para a versão 2.15 mais recente imediatamente.