NCSC alertou para os riscos remanescentes do Log4j

Através de um aviso emitido recentemente, a NCSC alertou para os riscos remanescentes do Log4j, pedindo que todos permaneçam vigilantes.

Em um aviso emitido na última quinta-feira (20/01), o Dutch National Cybersecurity Centre (NCSC, ou Centro Nacional de Segurança Cibernética Holandesa) diz que as organizações ainda devem estar cientes dos riscos relacionados aos ataques do Log4j e permanecer vigilantes quanto às ameaças em andamento.

NCSC alertou para os riscos remanescentes do Log4j

NCSC alertou para os riscos remanescentes do Log4j
NCSC alertou para os riscos remanescentes do Log4j

Embora as consequências de incidentes recentes relacionados à exploração do Log4Shell “não tenham sido tão ruins”, porque muitas organizações agiram rapidamente para mitigar essas vulnerabilidades críticas, o NCSC diz que os agentes de ameaças provavelmente ainda planejam violar novos alvos.

Segundo a agência de segurança cibernética holandesa:

“Espera-se que as partes mal-intencionadas continuem a procurar sistemas vulneráveis ​​e realizar ataques direcionados no próximo período.”

“Portanto, é importante permanecer vigilante. O NCSC aconselha as organizações a continuar monitorando se os sistemas vulneráveis ​​são usados ​​e aplicar atualizações ou medidas de mitigação quando necessário.”

“Além disso, o NCSC aconselha os diretores a ficarem alertas, informando-se sobre o Log4j e o possível impacto do abuso na continuidade dos negócios.”

As vulnerabilidades do Log4j (incluindo o Log4Shell) são um vetor de ataque muito atraente para invasores com motivação financeira e apoiados pelo estado, uma vez que a biblioteca de log Apache Log4j de código aberto é usada em uma ampla variedade de sistemas de dezenas de fornecedores.

O Log4Shell, em particular, pode ser aproveitado remotamente em servidores expostos a acesso local ou à Internet para permitir que invasores se movam lateralmente por uma rede até atingirem sistemas internos sensíveis.

Após sua divulgação, vários atores de ameaças começaram a implantar explorações do Log4Shell, incluindo grupos de hackers vinculados a governos na China, Irã, Coreia do Norte e Turquia e agentes de acesso usados ​​por gangues de ransomware.

Log4j ainda está sob exploração ativa
O aviso do NCSC é oportuno, visto que vários alertas de exploração contínua do Log4j em todo o mundo foram emitidos por organizações governamentais e privadas em todo o mundo.

Por exemplo, um relatório publicado pela Microsoft na quarta-feira menciona tentativas feitas por agentes de ameaças desconhecidos de propagar ataques Log4j aos servidores LDAP internos de uma organização explorando um dia zero do SolarWinds Serv-U.

No entanto, os ataques falharam porque os controladores de domínio do Windows visados ​​no incidente não estavam vulneráveis ​​às explorações do Log4j.

Uma semana antes, a Microsoft alertou sobre um agente de ameaças chinês rastreado como DEV-0401 usando explorações do Log4Shell em servidores VMware Horizon expostos à Internet para implantar o ransomware Night Sky.

A Microsoft disse que :

“Já em 4 de janeiro, os invasores começaram a explorar a vulnerabilidade CVE-2021-44228 em sistemas voltados para a Internet executando o VMware Horizon.”

“Nossa investigação mostra que invasões bem-sucedidas nessas campanhas levaram à implantação do ransomware NightSky.”

Os relatórios da Microsoft foram precedidos por outro alerta emitido pelo Serviço Nacional de Saúde (NHS) do Reino Unido em 5 de janeiro sobre invasores visando sistemas VMware Horizon com explorações do Log4Shell.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.