A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies Ltd, investigou a vulnerabilidade crítica de execução remota de código (RCE) no pacote Apache Log4j 2 versões 2.14.1 e inferior (CVE-2021-44228). Além disso, a Apache forneceu um patch (Log4j 2.15.0) para atenuar a vulnerabilidade, por meio do qual os usuários podem e devem atualizar o quanto antes.
O Apache Log4j é a biblioteca de registro Java mais popular, com mais de 400 mil downloads em seu projeto GitHub. É utilizado por um grande número de empresas em todo o mundo, permitindo o registro em um amplo conjunto de aplicativos bem conhecidos. Desde a última sexta-feira (10 de dezembro), os pesquisadores da Check Point Research testemunharam o que parece ser uma repressão evolutiva, com a rápida introdução de novas variantes da exploração original, mais de 60 em menos de 24 horas.
Precisamente um ano após o SolarWinds Hack, o ataque inovador à cadeia de suprimentos, e enquanto as organizações ainda se empenham para proteger a cadeia de suprimentos do risco de software de terceiros, a vulnerabilidade do Apache Log4j pegou equipes de segurança de surpresa durante um final de semana.
Ao contrário de outros ataques cibernéticos principais que envolvem um ou um número limitado de software, o Log4j é basicamente incorporado em todos os produtos ou serviços da web baseados em Java. É muito difícil remediar manualmente. Assim que uma exploração foi publicada (no dia 10 de dezembro), seguiram-se varreduras na Internet (para alocar superfícies que são vulneráveis devido a este incidente). Aqueles que não implementam uma proteção, provavelmente, já foram verificados por agentes mal-intencionados.
Uma verdadeira pandemia cibernética
A equipe da CPR aprofundou-se nos números por trás do ataque, coletados e analisados, e viram uma propagação semelhante a uma pandemia desde o surto na sexta-feira, dia 10 de dezembro de 2021, até o início da semana, nesta segunda-feira (dia 13). Os primeiros relatórios em 10 de dezembro mostraram apenas milhares de tentativas de ataque, aumentando para mais de 40 mil durante o sábado, 11 de dezembro. Vinte e quatro horas após o surto inicial, os sensores da Check Point Software registraram quase 200 mil tentativas de ataque em todo o mundo se aproveitando dessa vulnerabilidade. Nas 72 horas após o surto inicial, o número atingiu mais de 800 mil ataques.
É claramente uma das vulnerabilidades mais sérias da Internet nos últimos anos e o potencial de danos é incalculável.
Quando a Check Point Software discutiu sobre a pandemia cibernética , isso é exatamente o que seus especialistas queriam dizer: espalhar ataques devastadores rapidamente.
Redes corporativas impactadas globalmente
Uma das características mais dramáticas de uma pandemia cibernética são as principais vulnerabilidades em softwares e serviços populares, que afetam um grande número de organizações em todo o mundo, espalhando-se rapidamente.
Desde que a Check Point Research começou a implementar a solução de proteção da empresa, foram evitadas mais de 1.272.000 tentativas de alocar a vulnerabilidade, mais de 46% dessas tentativas foram feitas por grupos mal-intencionados conhecidos. Até agora, a CPR viu uma tentativa de exploração em quase 44% das redes corporativas em todo o mundo.
Até o momento, a equipe da CPR acompanhou uma tentativa de exploração em mais de 40% das redes corporativas em todo o mundo.
A distribuição por países é impressionante e atravessa continentes e regiões, chegando a mais de 90 países em todas as regiões. O impacto em si também é amplo e atinge picos de países que veem mais de 60% das redes corporativas impactadas, e muitas distribuições vendo mais de 50% das redes corporativas dentro do país sendo afetadas.
No Brasil, o impacto dessa vulnerabilidade correspondeu, até o momento, a 53% das redes corporativas que sofreram tentativas de exploração.
"É muito importante destacar a gravidade dessa ameaça. À primeira vista, a exploração é voltada para mineradores de criptomoedas, mas acreditamos que isso é para criar um tipo de distração para que os cibercriminosos tentem explorar e atacar uma série de alvos de alto valor, como bancos, governos e infraestruturas", comenta Lotem Finkelstein, diretor de Inteligência de Ameaças e Pesquisa da Check Point Software Technologies.
"Começamos a aplicar nossa proteção na sexta-feira e, no domingo, já havíamos evitado mais de 400 mil tentativas de explorar a vulnerabilidade em mais de um terço de todas as redes corporativas do mundo. O mais preocupante é o fato de que quase metade dessas tentativas foram feitas por grupos mal-intencionados conhecidos. As equipes de segurança devem atuar com a máxima urgência, pois o potencial de danos é incalculável. A necessidade de uma resposta rápida é acentuada pelo fato de ter sido descoberta no final da semana de trabalho, no período que antecede as festividades de final de ano, quando os técnicos podem ser mais lentos na aplicação das medidas de proteção", relata Finkelstein.
As estatísticas e dados usados nesta avaliação e investigação apresentam números detectados pelas tecnologias Threat Prevention da Check Point Software, armazenados e analisados na sua rede ThreatCloud .
A ThreatCloud fornece inteligência contra ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e dispositivos móveis. A ThreatCloud é, na verdade, o cérebro por trás do poder de prevenção de ameaças da Check Point Software que combina inteligência de ameaças de big data com tecnologias avançadas de IA para fornecer prevenção precisa para todos os clientes da empresa.
Todas as vulnerabilidades de software que são encontradas pela CPR, como a Log4j, são imediatamente alimentadas para ThreatCloud, que propaga as proteções adequadas em todos os produtos da Check Point Software, para que todos os clientes estejam instantaneamente protegidos sem necessidade de patch. Isso é exatamente o que aconteceu no final de semana passado. Assim que a vulnerabilidade Log4j foi relatada em 9 de dezembro, todas as proteções relevantes foram propagadas por todos os produtos Check Point Software.
