Os números por trás de uma pandemia cibernética: detalhes sobre a vulnerabilidade Apache Log4j

O Apache Log4j é a biblioteca de registro Java mais popular, com mais de 400 mil downloads em seu projeto GitHub. É utilizado por um grande número de empresas em todo o mundo, permitindo o registro em um amplo conjunto de aplicativos bem conhecidos. Desde a última sexta-feira (10 de dezembro), os pesquisadores da Check Point Research testemunharam o que parece ser uma repressão evolutiva, com a rápida introdução de novas variantes da exploração original, mais de 60 em menos de 24 horas.

Precisamente um ano após o SolarWinds Hack, o ataque inovador à cadeia de suprimentos, e enquanto as organizações ainda se empenham para proteger a cadeia de suprimentos do risco de software de terceiros, a vulnerabilidade do Apache Log4j pegou equipes de segurança de surpresa durante um final de semana.

Ao contrário de outros ataques cibernéticos principais que envolvem um ou um número limitado de software, o Log4j é basicamente incorporado em todos os produtos ou serviços da web baseados em Java. É muito difícil remediar manualmente. Assim que uma exploração foi publicada (no dia 10 de dezembro), seguiram-se varreduras na Internet (para alocar superfícies que são vulneráveis devido a este incidente). Aqueles que não implementam uma proteção, provavelmente, já foram verificados por agentes mal-intencionados.

Uma verdadeira pandemia cibernética

A equipe da CPR aprofundou-se nos números por trás do ataque, coletados e analisados, e viram uma propagação semelhante a uma pandemia desde o surto na sexta-feira, dia 10 de dezembro de 2021, até o início da semana, nesta segunda-feira (dia 13). Os primeiros relatórios em 10 de dezembro mostraram apenas milhares de tentativas de ataque, aumentando para mais de 40 mil durante o sábado, 11 de dezembro. Vinte e quatro horas após o surto inicial, os sensores da Check Point Software registraram quase 200 mil tentativas de ataque em todo o mundo se aproveitando dessa vulnerabilidade. Nas 72 horas após o surto inicial, o número atingiu mais de 800 mil ataques.

Redes corporativas impactadas globalmente

Uma das características mais dramáticas de uma pandemia cibernética são as principais vulnerabilidades em softwares e serviços populares, que afetam um grande número de organizações em todo o mundo, espalhando-se rapidamente.

Desde que a Check Point Research começou a implementar a solução de proteção da empresa, foram evitadas mais de 1.272.000 tentativas de alocar a vulnerabilidade, mais de 46% dessas tentativas foram feitas por grupos mal-intencionados conhecidos. Até agora, a CPR viu uma tentativa de exploração em quase 44% das redes corporativas em todo o mundo.

A distribuição por países é impressionante e atravessa continentes e regiões, chegando a mais de 90 países em todas as regiões. O impacto em si também é amplo e atinge picos de países que veem mais de 60% das redes corporativas impactadas, e muitas distribuições vendo mais de 50% das redes corporativas dentro do país sendo afetadas.

No Brasil, o impacto dessa vulnerabilidade correspondeu, até o momento, a 53% das redes corporativas que sofreram tentativas de exploração.

“É muito importante destacar a gravidade dessa ameaça. À primeira vista, a exploração é voltada para mineradores de criptomoedas, mas acreditamos que isso é para criar um tipo de distração para que os cibercriminosos tentem explorar e atacar uma série de alvos de alto valor, como bancos, governos e infraestruturas”, comenta Lotem Finkelstein, diretor de Inteligência de Ameaças e Pesquisa da Check Point Software Technologies.

“Começamos a aplicar nossa proteção na sexta-feira e, no domingo, já havíamos evitado mais de 400 mil tentativas de explorar a vulnerabilidade em mais de um terço de todas as redes corporativas do mundo. O mais preocupante é o fato de que quase metade dessas tentativas foram feitas por grupos mal-intencionados conhecidos. As equipes de segurança devem atuar com a máxima urgência, pois o potencial de danos é incalculável. A necessidade de uma resposta rápida é acentuada pelo fato de ter sido descoberta no final da semana de trabalho, no período que antecede as festividades de final de ano, quando os técnicos podem ser mais lentos na aplicação das medidas de proteção”, relata Finkelstein.