Log4Shell (CVE-2021-44228)
No início de dezembro, foi divulgada uma
vulnerabilidade crítica conhecida como Log4Shell, que afeta a biblioteca de Java Log4j.
Esta
vulnerabilidade está a ser explorada ativamente e em caso de exploração com sucesso permite aos atacantes obter o controlo do
servidor através de ataques de execução remota de código (RCE). Foi identificado que a atividade se tem centrado na instalação de mineração de
criptomoedas e mais recentemente a instalação de Cobalt Strike para roubo de credenciais, movimentação lateral, extração de dados de sistemas comprometidos e em casos de
Ransomware.
A Apache
Software Foundation publicou as atualizações e medidas de mitigação no seu comunicado de segurança emitido no dia 10 de dezembro [1].
Uma vez que o Log4j é uma biblioteca Java de código aberto usada globalmente numa grande variedade de aplicações e serviços, e dado que o vetor de ataque é relativamente simples de explorar, é fortemente recomendado fazer a atualização para o Log4j mais recente e/ou aplicar mitigações recomendadas. [3] [4]
Desde a divulgação da
vulnerabilidade, tem sido observado que vários atores maliciosos estão a pesquisar ativamente a Internet para procurar sistemas vulneráveis e tentar explorar automaticamente a
vulnerabilidade. Alguns dados apontam para que já tenham sido identificados mais de 10.000 ataques que tentam explorar esta
vulnerabilidade.
De salientar que esta
vulnerabilidade Log4j (CVE-2021-44228) está a ser utilizada para atacar sistemas Linux e Windows.
Grupo de Trabalho
O CERT.PT está a colaborar com um conjunto de entidades, com o objetivo de reunir e disponibilizar informação que ajude a minimizar o impacto da
vulnerabilidade Log4Shell (CVE-2021-44228).
O CERT.PT deixa aqui o seu agradecimento público às diversas entidades (públicas e privadas) que decidiram colaborar neste Grupo de Trabalho a fim de partilhar informação para o bem do Ciberespaço de interesse nacional.
Informação a partilhar
Indicadores de Compromisso:As seguintes listas serão atualizadas ao longo das próximas semanas. Cada ficheiro consiste na lista completa à respetiva data.
Lista de IPs identificados a explorar/testar a
vulnerabilidade Log4Shell e Lista de IPs identificados a distribuir o payload para efetivar o ataque:
Notas Importantes:1) Estes IPs muitas vezes são de servidores, com outros serviços legítimos, que foram comprometidos por atacantes, sendo que fica ao critério de cada entidade o bloqueio (ou não) dos respetivos IPs.
Caso identifiquem informação que considerem ser útil, agradecemos que a mesma seja partilhada para:
cert@cert.pt
Log4j
O que é e onde está?Log4j é uma biblioteca de logs de código aberto usada globalmente numa grande variedade de aplicações e serviços em âmbito de
software baseado em Java.
Formas de mitigação:Recomenda-se a atualização para a versão mais recente do log4j[1].
Informação adicional:Webinar difundido pelo CERT.PTApresentação Log4jDemo Log4jInformação diversa:
- Scanning:
- De referir que ao utilizarem o scanner mencionado em baixo, o mesmo vai verificar se existem dependências que utilizam o Log4j.
[8] https://github.com/logpresso/CVE-2021-44228-Scanner
(--fix) Utilizando a opção --fix, o próprio scanner vai eliminar a classe vulnerável (visualizar o vídeo publicado no Youtube no canal do CERT.PT [9])
URLs de interesse
[1] https://logging.apache.org/log4j/2.x/
[2] https://logging.apache.org/log4j/2.x/download.html
[3] https://github.com/NCSC-NL/log4shell
[4] https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance
[5] https://github.com/cisagov/log4j-affected-db
[6] https://github.com/fullhunt/log4j-scan
[7] https://github.com/hillu/local-log4j-vuln-scanner
[9] https://dyn.cncs.gov.pt/pt/alerta-detalhe/art/135608/alerta-de-vulnerabilidades-log4j-2
Caso seja necessário contactar o CERT.PT, podem-no fazer através do e-mail: cert@cert.pt .