Ataque de hackers à Log4J atingem 53% das redes de empresas brasileiras
Saiba como proteger sua empresa da falha de segurança da Log4J que está afetando toda a internet
Da Comunicação
Dezembro não está sendo um mês fácil para a segurança de dados, seja no meio governamental ou no privado, hackers estão explorando todas as vulnerabilidades possíveis. Você já preparou sua empresa para essa luta?
A última batalha diz respeito a falhas de segurança encontradas em um dos mais populares softwares Java do mundo, o Log4J, uma biblioteca de registro utilizado por diversas empresas em todo o planeta.
Anunciada pelo chefe do Departamento de Segurança Cibernética e Agência de Segurança de Infraestrutura (CISA) dos Estados Unidos como “uma das falhas mais sérias” já vistas em sua carreira, a vulnerabilidade do Log4J abre caminho para que hackers acessem o servidores das empresas.
Segundo a empresa de segurança norte-americana Cloudfare, hackers aproveitaram-se da falha de segurança durante cerca de nove dias antes que o CISA e outras iniciativas detectassem o problema no software.
Earliest evidence we’ve found so far of #Log4J exploit is 2021-12-01 04:36:50 UTC. That suggests it was in the wild at least 9 days before publicly disclosed. However, don’t see evidence of mass exploitation until after public disclosure.
— Matthew Prince 🌥 (@eastdakota) December 11, 2021
Comunicado do CEO da Cloudfare no twitter no último sábado, 11 de dezembro.
Ciberpandemia
A rápida contaminação e devastação parece ser a natureza desta crise. Segundo a Check Point Research, mais de 90 países tiveram suas redes atacadas por meio da falha do Log4J. Somente no Brasil, 53% das redes de empresas privadas sofreram tentativas de ataque, um número maior do que a média global que se manteve em 44%.
Até o momento a América Latina está em terceiro lugar em quantidade de ataques, atrás somente da América do Norte e da Oceania. De acordo com a pesquisa inicial da empresa de segurança, mais de 60 variantes baseadas em ataques Log4J foram encontradas somente nas 24h primeiras horas da detecção da falha.
Até o dia 13 de dezembro mais de 830 mil diferentes ataques já haviam sido detectados globalmente.
A reação brasileira a Log4J
Nesta terça-feira (14), o Centro de Prevenção, Tratamento e Resposta a Incidentes (CTIR), órgão do governo brasileiro responsável pela segurança digital no país, emitiu um alerta a respeito da falha do log4J com algumas indicações para empresas, como a atualização do software, identificação de pontos sensíveis e aplicações críticas e acompanhamento de novos comunicados do órgão.
Até o momento não houve nenhuma informação se o ataque ao banco de dados do Ministério da Saúde e da Polícia Federal, que ocorreram no inicia da semana, tem ligação com a falha do Log4J.
Afinal de contas, o que fazer?
No meio do caos é importante focar no que há de ser feito de maneira urgente e o que deve ser pensado em longo prazo. Rodrigo Maia, gerente de projetos da Harpo, é direto em sua análise da situação “Essa questão do Log4java é um negócio que vai demorar anos para ser resolvido.”.
Não é possível somente aplicar o patch de atualização no aplicativo e achar que situação será magicamente solucionada, a resolução deste problema será fruto de um esforço conjunto de ações do mercado, de empresas de segurança como a Harpo e de órgãos governamentais.
A reação em cadeia faz com que as desenvolvedoras de softwares precisem passar um pente fino em suas soluções para avaliar a utilização da Log4J e lançar versões atualizadas de suas aplicações. Empresas como Oracle, Amazon, AWS e Microsoft já estão comunicando as atualizações em seus sistemas e soluções de mercado.
Comunicado de correção de falhas do Log4J nas soluções Oracle.
E a nível local, como se proteger de ataques a partir da Log4J?
Uma das principais questões trazidas à tona no meio desta esta falha de segurança global, segundo Rodrigo, são os aspectos de agilidade e tempo de resposta das empresas frente a uma crise. Uma falha muito comum em empresas é a falta de documentação a respeito do portfólio e dos recursos tecnológicos utilizados por uma companhia. “Muitas empresas nem sabem se usam java, quanto mais uma biblioteca lof4j dentro do java, não existe essa documentação”, comenta o gerente de projetos da Harpo.
Em um momento de crise essa falta de conhecimento interno e ponto cego, pode ser fatal. No meio de uma ciberpandemia como estamos vivenciando, cabe aos gestores e aos coordenadores de TI questionar as empresas de prestação de serviços, como a Harpo, e de fornecedores de software a respeito do uso de ferramentas em seu sistema.
A falta de documentação e controle dos inventários tecnológicos fica ainda pior quando passamos a falar não só das grandes Softwares Houses, mas, de ativos de pequenas desenvolvedoras ou então softwares criados dentro das próprias empresas. Como exemplifica Rodrigo Maia, o buraco é sempre mais embaixo, “As vezes um desenvolvedor usou essa biblioteca no passado, ele até saiu da empresa, não deixou isso documentado em nenhum lugar e você tem um software desenvolvido em casa, dentro da sua empresa, em uso produtivo, com essa biblioteca sem nem mesmo saber que essa biblioteca esta sendo utilizada.”, no meio de uma crise isso ponde ser muito perigoso.
A falta de uma política de segurança elaborada que conste a documentação, a organização, os padrões, os métodos de catalogação e os inventários tecnológicos e de infraestrutura podem ser fatais. “o que parece até ser pouco importante em um momento normal, em um momento de crise se mostra um enorme problema, retarda a resolução e pode até causar a consequências muito piores, como a invasão do ambiente.”, coloca Rodrigo.
Como a falha da Log4J vai afetar pequenas e médias empresas?
Neste momento a importância de uma resposta rápida tanto por parte das empresas de tecnologia quanto do mercado é vital para evitar consequências piores em larga escala. Mas, o que vai definir a velocidade da resposta é o trabalho prévio de segurança que cada companhia desenvolveu ao longo dos anos.
Precisamos ter a consciência de que empresas de pequeno e médio porte também estão expostas a ransomwares, ataques e precisam também investir em segurança de dados. A limitação financeira e orçamentária devem ser levadas em consideração na hora de montar um projeto, no entanto, o cenário global em que vivemos hoje pede uma priorização, como lembra o gerente de projetos da Harpo: “existem soluções de todos os preços, adaptáveis a todos os orçamento.”
A falha da Log4J deixa essa situação à flor da pele, “uma empresa que não fez nada, que não está preparada, a reação rápida é quase impossível, a reação vai ser lenta”, Rodrigo é direto em como lidar com a situação, agora e no futuro: “a maior importância é prevenir, estar preparado para uma resposta rápida.”.
O que a Harpo pode fazer?
Neste momento estamos nos movendo para entrar em contato com nossos clientes e seus departamentos e equipes de TI, para que suas equipes de desenvolvimento de software comecem um movimento investigativo para detectar se essa vulnerabilidade irá afetar o seu ambiente ou não.
A detecção, com a maior agilidade possível, da presença do Log4J nos sistemas, BPs, softwares de gestão de projetos ou qualquer aplicação usada pela empresa pode fazer toda a diferença. Encontrar a vulnerabilidade no sistema de nossos clientes é o primeiro passo, após isso é necessário montar planos de ação para mitigar o risco de ataques.
É preciso avaliar cada situação de uma maneira, avaliar se é possível atualizar a biblioteca e resolver a vulnerabilidade, ou então, caso aja alguma restrição, se outras medidas paliativas são possíveis, como tornar a publicação acessível somente pela rede da empresa ou por meio de canais criptografados como um VPN.
O objetivo final é sempre o mesmo: proteger nossos clientes e minimizar o risco de um hacker chegar até a aplicação para explorar essa vulnerabilidade.
Acompanhe novas informações sobre a ciberpandemia do Log4J por meio do portal Harpo e saiba como proteger a sua empresa.
Qualquer dúvida entre em contato com nossos representantes pela Central de Atendimento ou pelo canal abaixo!
MAIS INFORMAÇÕES?
Solicite o contato de um de nossos consultores.
