
Log4j: Conheça como a falha de segurança preocupa especialistas brasileiros.
Por Guilherme Neves*
LOG4J é uma vulnerabilidade classificada como crítica e está deixando os administradores de redes preocupados.
Basicamente, o Log4j é uma falha de segurança que permite ao invasor obter dados confidenciais. Isso pode ocasionar uma exposição pública de informações e em alguns casos afetar financeiramente a companhia.
O alvo explorado é a famosa linguagem de programação Java, criada em 1995 com o principal atrativo de poder ser executada por qualquer tipo de dispositivo. Nos últimos anos ouvimos a frase “o Java vai morrer”, entretanto, a linguagem ainda é vista com bons olhos pela comunidade de programadores.
Agora vamos entender o que é esse tal de log4j e como ele funciona:

Um dos métodos utilizados pelos invasores é a entrada de dados em formulários na web, como por exemplo: quando você acessa o seu e-mail com a senha. A partir desta etapa, o invasor se utiliza de códigos maliciosos para conseguir acesso administrativo, e com esse acesso os dados podem ser extraídos e consequentemente vazados na internet. Esta exploração vai longe e pode causar grandes prejuízos caso não seja rapidamente tratado.
Lembra que o Java foi criado para rodar em qualquer dispositivo? Pois bem, é aí que mora o perigo, pois o sistema de QR code em caixas de supermercado e o sistema de fechadura eletrônica são exemplos de sistemas que utilizam o Java e podem se tornar o foco da invasão.
Um dos serviços que está mais sofrendo com esta falha são os servidores web (Apache), que em grande escala utiliza o serviço do Java.
A comunidade responsável pelo serviço já lançou a correção por meio de um patch de atualização, entretanto muitos servidores ainda estão desatualizados.
Nos últimos dias este tema tornou-se um assunto bastante discutido na internet, mas que não deve ser esquecido, pois é necessário que sejam realizadas as atualizações do sistema operacional e serviços, assim as falhas podem ser afastadas destes ambientes.
A AuditSafe está pronta para ajudá-los.
(*) Guilherme Neves é Consultor da AuditSafe especializado em Segurança Cibernética, Gestão de Riscos e Privacidade.