Através de um aviso emitido recentemente, a NCSC alertou para os riscos remanescentes do Log4j, pedindo que todos permaneçam vigilantes.
Em um aviso emitido na última quinta-feira (20/01), o Dutch National Cybersecurity Centre (NCSC, ou Centro Nacional de Segurança Cibernética Holandesa) diz que as organizações ainda devem estar cientes dos riscos relacionados aos ataques do Log4j e permanecer vigilantes quanto às ameaças em andamento.
NCSC alertou para os riscos remanescentes do Log4j
Embora as consequências de incidentes recentes relacionados à exploração do Log4Shell “não tenham sido tão ruins”, porque muitas organizações agiram rapidamente para mitigar essas vulnerabilidades críticas, o NCSC diz que os agentes de ameaças provavelmente ainda planejam violar novos alvos.
Segundo a agência de segurança cibernética holandesa:
“Espera-se que as partes mal-intencionadas continuem a procurar sistemas vulneráveis e realizar ataques direcionados no próximo período.”
“Portanto, é importante permanecer vigilante. O NCSC aconselha as organizações a continuar monitorando se os sistemas vulneráveis são usados e aplicar atualizações ou medidas de mitigação quando necessário.”
“Além disso, o NCSC aconselha os diretores a ficarem alertas, informando-se sobre o Log4j e o possível impacto do abuso na continuidade dos negócios.”
As vulnerabilidades do Log4j (incluindo o Log4Shell) são um vetor de ataque muito atraente para invasores com motivação financeira e apoiados pelo estado, uma vez que a biblioteca de log Apache Log4j de código aberto é usada em uma ampla variedade de sistemas de dezenas de fornecedores.
O Log4Shell, em particular, pode ser aproveitado remotamente em servidores expostos a acesso local ou à Internet para permitir que invasores se movam lateralmente por uma rede até atingirem sistemas internos sensíveis.
Após sua divulgação, vários atores de ameaças começaram a implantar explorações do Log4Shell, incluindo grupos de hackers vinculados a governos na China, Irã, Coreia do Norte e Turquia e agentes de acesso usados por gangues de ransomware.
Log4j ainda está sob exploração ativa
O aviso do NCSC é oportuno, visto que vários alertas de exploração contínua do Log4j em todo o mundo foram emitidos por organizações governamentais e privadas em todo o mundo.
Por exemplo, um relatório publicado pela Microsoft na quarta-feira menciona tentativas feitas por agentes de ameaças desconhecidos de propagar ataques Log4j aos servidores LDAP internos de uma organização explorando um dia zero do SolarWinds Serv-U.
No entanto, os ataques falharam porque os controladores de domínio do Windows visados no incidente não estavam vulneráveis às explorações do Log4j.
Uma semana antes, a Microsoft alertou sobre um agente de ameaças chinês rastreado como DEV-0401 usando explorações do Log4Shell em servidores VMware Horizon expostos à Internet para implantar o ransomware Night Sky.
A Microsoft disse que :
“Já em 4 de janeiro, os invasores começaram a explorar a vulnerabilidade CVE-2021-44228 em sistemas voltados para a Internet executando o VMware Horizon.”
“Nossa investigação mostra que invasões bem-sucedidas nessas campanhas levaram à implantação do ransomware NightSky.”
Os relatórios da Microsoft foram precedidos por outro alerta emitido pelo Serviço Nacional de Saúde (NHS) do Reino Unido em 5 de janeiro sobre invasores visando sistemas VMware Horizon com explorações do Log4Shell.