Os especialistas em cibersegurança identificaram uma falha considerada gravíssima (nível de gravidade CVSS 10 de 10) na biblioteca Log4j. Os profissionais de TI equiparam essa brecha, presente em serviços e dispositivos que utilizam JAVA, como um tsunami de grandes proporções de destruição.
Essa vulnerabilidade afeta desde softwares web, softwares de desktop a sistemas que estão dentro de roteadores domésticos e dispositivos IoT, entre outros.
O Log4j é uma biblioteca que é usada para os softwares guardarem log. É através dela que o sistema registra erros. Por ser uma biblioteca popular e de fácil operação, ela é utilizada por grande parte dos desenvolvedores Java em seus projetos.
Importante: Apesar de haver a palavra Apache antes do nome Log4j em muitos artigos, essa vulnerabilidade é geral, não tem relação com o servidor HTTP Apache. Apache também é o nome da organização que apoia o projeto Log4j. Não se confunda, a vulnerabilidade vai afetar desde sistemas web a softwares de desktop que usamos no dia a dia.
Através da falha CVE-2021-44228, o cibercriminoso consegue inserir códigos de acesso ao sistema de maneira rápida e fácil, sem exigir alto nível de conhecimento do invasor. O acesso pelo Log4j pode conceder controle total do dispositivo, seja ele um servidor, um computador pessoal ou um produto IoT, uma vez que o JAVA é a linguagem padrão desses aparelhos.
Por isso, essa falha crítica tem a nota 10 de 10 no Common Vulnerability Scoring System (CVSS), que é a maior nota possível. No GitHub, você pode conferir uma lista de todos os produtos e serviços que podem ser afetados por esse problema.
Para corrigir a vulnerabilidade Log4j, é necessário atualizar a biblioteca para a versão 2.15.0-rc2, ou baixar a correção do Apache direto do site. Atualize o quanto antes e reforce a segurança do seu ambiente.
Para mais detalhes consulte:
https://www.fortinet.com/blog/psirt-blogs/apache-log4j-vulnerability
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
https://www.oracle.com/security-alerts/alert-cve-2021-44228.html
https://access.redhat.com/security/cve/cve-2021-44228