Ir para conteúdo

Log4Shell (CVE-2021-44228)

No início de dezembro, foi divulgada uma vulnerabilidade crítica conhecida como Log4Shell, que afeta a biblioteca de Java Log4j.
Esta vulnerabilidade está a ser explorada ativamente e em caso de exploração com sucesso permite aos atacantes obter o controlo do servidor através de ataques de execução remota de código (RCE). Foi identificado que a atividade se tem centrado na instalação de mineração de criptomoedas e mais recentemente a instalação de Cobalt Strike para roubo de credenciais, movimentação lateral, extração de dados de sistemas comprometidos e em casos de Ransomware.

A Apache Software Foundation publicou as atualizações e medidas de mitigação no seu comunicado de segurança emitido no dia 10 de dezembro [1]. 
Uma vez que o Log4j é uma biblioteca Java de código aberto usada globalmente numa grande variedade de aplicações e serviços, e dado que o vetor de ataque é relativamente simples de explorar, é fortemente recomendado fazer a atualização para o Log4j mais recente e/ou aplicar mitigações recomendadas. [3] [4]

Desde a divulgação da vulnerabilidade, tem sido observado que vários atores maliciosos estão a pesquisar ativamente a Internet para procurar sistemas vulneráveis e tentar explorar automaticamente a vulnerabilidade. Alguns dados apontam para que já tenham sido identificados mais de 10.000 ataques que tentam explorar esta vulnerabilidade.

De salientar que esta vulnerabilidade Log4j (CVE-2021-44228) está a ser utilizada para atacar sistemas Linux e Windows.

Grupo de Trabalho

O CERT.PT está a colaborar com um conjunto de entidades, com o objetivo de reunir e disponibilizar informação que ajude a minimizar o impacto da vulnerabilidade Log4Shell (CVE-2021-44228).

O CERT.PT deixa aqui o seu agradecimento público às diversas entidades (públicas e privadas) que decidiram colaborar neste Grupo de Trabalho a fim de partilhar informação para o bem do Ciberespaço de interesse nacional.

Informação a partilhar

Indicadores de Compromisso:
As seguintes listas serão atualizadas ao longo das próximas semanas. Cada ficheiro consiste na lista completa à respetiva data.

Lista de IPs identificados a explorar/testar a vulnerabilidade Log4Shell e Lista de IPs identificados a distribuir o payload para efetivar o ataque:
Notas Importantes:
1) Estes IPs muitas vezes são de servidores, com outros serviços legítimos, que foram comprometidos por atacantes, sendo que fica ao critério de cada entidade o bloqueio (ou não) dos respetivos IPs.

Caso identifiquem informação que considerem ser útil, agradecemos que a mesma seja partilhada para: cert@cert.pt


Log4j

O que é e onde está?

Log4j é uma biblioteca de logs de código aberto usada globalmente numa grande variedade de aplicações e serviços em âmbito de software baseado em Java.

Formas de mitigação:
Recomenda-se a atualização para a versão mais recente do log4j[1].

Informação adicional:
Webinar difundido pelo CERT.PT
Apresentação Log4j
Demo Log4j

Informação diversa:
  • Scanning:
    • De referir que ao utilizarem o scanner mencionado em baixo, o mesmo vai verificar se existem dependências que utilizam o Log4j.
      [8] https://github.com/logpresso/CVE-2021-44228-Scanner
      (--fix) Utilizando a opção --fix, o próprio scanner vai eliminar a classe vulnerável (visualizar o vídeo publicado no Youtube no canal do CERT.PT [9])

URLs de interesse

[1] https://logging.apache.org/log4j/2.x/
[2] https://logging.apache.org/log4j/2.x/download.html
[3] https://github.com/NCSC-NL/log4shell
[4] https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance
[5] https://github.com/cisagov/log4j-affected-db
[6] https://github.com/fullhunt/log4j-scan
[7] https://github.com/hillu/local-log4j-vuln-scanner
[9] https://dyn.cncs.gov.pt/pt/alerta-detalhe/art/135608/alerta-de-vulnerabilidades-log4j-2

Caso seja necessário contactar o CERT.PT, podem-no fazer através do e-mail: cert@cert.pt .

Última atualização em 21-09-2022