O que os líderes de segurança precisam saber e fazer sobre a vulnerabilidade Log4j

Em 9 de dezembro, a Apache Software Foundation lançou um comunicado de segurança abordando uma vulnerabilidade de execução remota de código (CVE-2021-44228) que afetava o utilitário de registros em Java Log4j. O MITRE classificou a vulnerabilidade como de gravidade crítica e atribuiu um score CVSS de 10/10. Pouco depois, os invasores começaram a explorar a vulnerabilidade do Log4j, levando instituições de segurança cibernética de governos no mundo todo, entre elas a United States Cybersecurity and Infrastructure Security Agency e a CERT da Áustria, a emitirem alertas pedindo que as organizações corrigissem os sistemas imediatamente. 

Para entender melhor os impactos da vulnerabilidade Log4j na segurança e nas empresas, conversamos com Jonathan Care, diretor analista sênior do Gartner, sobre os riscos que essa vulnerabilidade representa para as organizações e as medidas que os líderes de segurança devem tomar para proteger os sistemas corporativos contra as possíveis ameaças associadas.

Qual é o grau de disseminação da vulnerabilidade Log4j e quais são os tipos de sistemas afetados?

A vulnerabilidade Log4j está extremamente disseminada e pode afetar aplicativos empresariais, sistemas integrados e seus subcomponentes. Os aplicativos em Java, como Cisco Webex, Minecraft e FileZilla FTP, são exemplos de programas afetados, mas esses são apenas alguns de uma extensa lista. A vulnerabilidade afeta até mesmo a missão do helicóptero Mars 2020, o Ingenuity, que usa o Apache Log4j para registrar eventos.

Baixar agora: As três principais prioridades estratégicas para segurança e gestão de riscos

A comunidade de segurança criou recursos catalogando sistemas vulneráveis. No entanto, é importante observar que essas listas estão mudando constantemente. Assim, se um sistema ou aplicativo específico não estiver incluído, não garante que não seja impactado. A exposição a essa vulnerabilidade é altamente provável, e mesmo que uma pilha tecnológica específica não use Java, os líderes de segurança devem prever que os principais sistemas de fornecedores (fornecedores de SaaS, provedores de hospedagem na nuvem e provedores de servidores web) o fazem.

Supondo-se que usem essa vulnerabilidade, que ameaça isso representa para sistemas e aplicativos empresariais?

Se não for corrigida, os invasores poderiam usar essa vulnerabilidade para controlar servidores de computadores, aplicativos e dispositivos e infiltrar-se em redes empresariais. Já temos relatos de malware, ransomware e outras ameaças automatizadas que estão explorando ativamente a vulnerabilidade.

O bloqueio ao ataque dessa vulnerabilidade é quase inexistente, basta o invasor digitar uma simples série de caracteres em uma janela de bate-papo. A proeza é fazer “pré-autenticação”, ou seja, o invasor não precisa entrar em um sistema vulnerável para controlá-lo. Em outras palavras, presuma que o seu servidor web esteja vulnerável.

Quais são as medidas que os líderes de segurança cibernética devem tomar para proteger suas empresas?

Os líderes de segurança cibernética precisam tornar a identificação e a correção dessa vulnerabilidade a prioridade imediata e absoluta. Comece com uma auditoria detalhada de cada aplicativo, site e sistema dentro do seu domínio de responsabilidade que esteja conectado à internet ou que possa ser considerado voltado para o público. Isso inclui instalações auto-hospedadas de produtos de fornecedores e serviços baseados na nuvem. Dedique uma atenção especial aos sistemas que contêm dados operacionais confidenciais, por exemplo, credenciais de acesso e dados do cliente.

Concluída essa auditoria, concentre-se nos funcionários remotos e garanta que eles atualizem os dispositivos pessoais e roteadores, que formam o elo vital na cadeia de segurança. Isso provavelmente exigirá uma abordagem proativa, de engajamento, uma vez que não é suficiente simplesmente emitir uma lista de instruções, visto que roteadores vulneráveis proporcionam um possível ponto de entrada para atingir os principais aplicativos empresariais e repositórios de dados. Você precisará do suporte e da cooperação de toda equipe de TI.

De modo geral, esse é o momento de recorrer às medidas formais de resposta a incidentes graves, de acordo com os planos de resposta a incidentes organizacionais. Esse incidente requer envolvimento de todos os níveis da organização, incluindo o diretor executivo, o diretor de informação e a diretoria. Verifique se a liderança sênior foi instruída e se estão preparados para responder às perguntas publicamente. Provavelmente essa vulnerabilidade e os padrões de ataque que a exploram vão continuar por algum tempo, por isso é importante manter a vigilância ativa pelo menos nos próximos 12 meses.