Log4Shell: entenda o conjunto de vulnerabilidades que abalou o mundo
“Apocalipse”. Foi com essa poderosa palavra que muitos especialistas em segurança cibernética descreveram a descoberta da Log4Shell, um conjunto de vulnerabilidades que tem tirado o sono de profissionais do setor desde dezembro de 2021. O uso do termo pode até parecer um exagero, mas basta entender a gravidade do problema para concordar com essa atribuição: estamos falando de bugs que podem afetar grande parte da internet e causar estragos gigantescos em computadores corporativos, servidores e aplicações.
O nome Log4Shell, na verdade, foi inicialmente usado para descrever uma única brecha encontrada por pesquisadores da chinesa Alibaba e divulgada para o mundo no dia 9 de dezembro. A vulnerabilidade em questão residia na Log4j, uma famosíssima biblioteca de código aberto mantida pela Fundação Apache e empregada para registrar logs de atividades em aplicações Java. Porém, após a descoberta do bug original (CVE-2021-44228), vários outros similares foram sendo detectados.
Explicando da forma menos técnica possível, as vulnerabilidades Log4Shell permitem que um atacante execute códigos arbitrários em uma aplicação vulnerável, pois as edições afetadas do Log4j respondem às solicitações sem antes fazer algumas verificações, que seriam necessárias. Trata-se de uma falha de execução remota de código (RCE). Com isso, é possível roubar dados sigilosos e até implantar malwares na máquina atacada. De fato, a maioria dos criminosos estão aproveitando a situação para instalar mineradores de criptomoedas, montar botnets e espalhar ransomwares.
Não há para onde correr
Você deve estar pensando: “Ok, mas quem usa essa tal de Log4j?”. É aí que está o maior problema: praticamente todo mundo, mesmo que não saiba! A Log4j existe há anos e é a biblioteca mais usada no mundo inteiro para registrar e armazenar logs em softwares feitos em Java. Ela é tão popular que está incluída em outras bibliotecas que muitos programadores empregam em seus projetos sem sequer saber que, lá no fundo, existe a Log4j fazendo o seu trabalho. Eis o motivo de tanto desespero.
A Log4Shell foi inicialmente identificada no jogo “Minecraft: Java Edition” e a lista de serviços e aplicações afetadas logo tornou-se gigantesca. O governo dos Estados Unidos ficou tão preocupado com a situação que criou, no GitHub, uma lista completa de quem foi ou não afetado pelo conjunto de brechas.
Aliás, por falar em respostas governamentais, a Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) determinou que todos os fornecedores contratados pelo governo corrigissem as falhas até o dia 24 de dezembro de 2021, pedido que foi prontamente atendido. “É uma das mais sérias que já vi em toda a minha carreira, senão a mais séria”, afirmou Jen Easterly, atual diretora da CISA. Já o Quebec, no Canadá, fechou quase 4 mil de seus sites como “medida preventiva”.
Como se proteger?
Embora possa causar danos ao usuário final, a Log4Shell é uma vulnerabilidade que depende mais dos desenvolvedores de uma aplicação do que do internauta em si. Afinal, são eles que devem atualizar a biblioteca para a versão mais recente, livre de bugs. Claro, uma vez que isso seja feito, é crucial que o consumidor também baixe as devidas atualizações que lhe forem oferecidas.