O patch Log4J para corrigir o dia zero grave tem sua própria vulnerabilidade que já é explorada ativamente
Facepalm: As explorações do Log4J que têm atormentado os administradores de servidor na semana passada continuam, pois o patch lançado para bloquear as intrusões parece ter suas próprias falhas de segurança. Algumas empresas que já atualizaram para o Log4J 2.15.0 continuaram sofrendo ataques de pelo menos uma das duas novas fraquezas encontradas.
Na semana passada, pesquisadores de segurança notificaram os desenvolvedores de que descobriram uma vulnerabilidade de dia zero explorada ativamente no framework Apache Struts. A falha estava no utilitário de log Log4J. A Apache Foundation emitiu uma correção com a versão 2.15.0 e divulgou publicamente a fraqueza no fim de semana.
Durante as 72 horas após a emissão da atualização, a exploração da falha disparou, com pesquisadores rastreando até 100 ataques por minuto e quase um milhão de incidentes no total. Grandes empresas, incluindo Apple, Amazon, Cisco e outras, lutaram para consertar o buraco.
Quase tão rápido quanto os sistemas estavam instalando o Log4J 2.15.0, as empresas de segurança Praetorian e Cloudflare começaram a ver ataques ativos nos sistemas corrigidos. Os pesquisadores identificaram pelo menos duas explorações em uma nova vulnerabilidade rastreada como CVE-2021-45046.
Uma fraqueza, encontrada na terça-feira, permitiu que hackers realizassem ataques DDoS manipulando "padrões de pesquisa de mensagens" e "funcionalidade JNDI". O Apache agora os desativou por padrão no Log4J 2.16.0.
Então, na quarta-feira, os analistas do Praetorian encontraram outro exploit que permitiria que hackers extraíssem dados de servidores vulneráveis. Praetorian postou um vídeo de prova de conceito demonstrando a exfiltração no Log4J 2.15.0 (acima). A atualização 2.16.0 cuida disso também.
"Em nossa pesquisa, demonstramos que o 2.15.0 ainda pode permitir a exfiltração de dados confidenciais em determinadas circunstâncias", observou Praetorian em um aviso para atualizar imediatamente. "Passamos os detalhes técnicos do problema para a Apache Foundation, mas nesse ínterim, recomendamos fortemente que os clientes atualizem para a versão 2.16.0 o mais rápido possível."
A empresa de segurança Cloudflare disse na quarta-feira que está rastreando o CVE-2021-45046 e já viu a falha sendo ativamente explorada, mas não mencionou se os ataques eram DDoS, exfiltração de dados ou ambos. Ele também recomenda que os administradores de sistema atualizem para o Log4J 2.16.0 o mais rápido possível.
Ambas as empresas estão mantendo os detalhes técnicos das explorações em segredo enquanto os trabalhadores da indústria atualizam seus sistemas.