Erro detectado no Minecraft representa “risco severo” para serviços e apps em todo o mundo

O erro está no sistema de registos Log4J que é usado por milhares de serviços e aplicações em todo o mundo. A Amazon, a Apple, a Cloudflare e a Steam são algumas das plataformas afectadas.

Foto
O erro está no sistema de registos Log4J que é usado por milhares de serviços e aplicações em todo o mundo Daniel Rocha

Um erro descoberto no Log4j, uma ferramenta online usada por várias gigantes tecnológicas, incluindo a Cloudflare, a Amazon e a plataforma de videojogos Steam, está a pôr em causa a segurança de milhares de dispositivos. Especialistas de cibersegurança em todo o mundo estão a trabalhar para mitigar a vulnerabilidade, divulgada na passada quinta-feira, antes que possa ser utilizada em massa por atacantes. Se não for corrigida, a falha, que está a ser chamada Log4Shell, pode ser usada para desencadear a execução de código malicioso à distância em servidores vulneráveis e roubar credenciais de acesso.

“Vamos ser claros, esta vulnerabilidade representa um risco severo”, salientou a directora da Agência para a Cibersegurança e Segurança de Infra-Estruturas (CISA) dos EUA, Jen Easterly, num comunicado sobre o problema. “Já acrescentámos a vulnerabilidade ao nosso catálogo de vulnerabilidades conhecidas, o que obriga as agências federais a corrigir ou a mitigar urgentemente esta falha”, informou. “Só vamos conseguir minimizar o potencial impacto através de uma colaboração entre o governo e o sector privado.”

A Apache Foundation, uma organização não-governamental que gere centenas de projectos em código aberto, incluindo o Log4J, já lançou uma actualização para mitigar a falha. No entanto, pode levar meses até que todos os sistemas que usam o Log4J a instalem.

Até lá, os cibercriminosos vão continuar a tentar explorar a falha, com os investigadores da empresa de cibersegurança CheckPoint a avisar, esta segunda-feira, que estão a detectar mais de 100 tentativas de ataque por minuto. A equipa de segurança da Microsoft alerta que o erro no Log4J pode ser uma porta de entrada para instalar o Cobalt Strike, uma ferramenta usada por hackers para roubar palavras-passe.

A vulnerabilidade tornou-se pública na semana passada depois de ser identificado no videojogo Minecraft por Chen Zhaojun, um especialista de segurança da tecnológica chinesa Alibaba que alertou a Apache Foundation. A falha está no Log4j, uma biblioteca de registos (logs em inglês) em código aberto usada pelo jogo online. Quase todos os serviços na Internet mantêm registos das operações que realizam ao longo do tempo (é útil para detectar erros), só que em vez de criar sistemas próprios, muitas empresas recorrem ao sistema do Log4j — é isto que torna o Log4Shell tão perigoso.

“Milhares de aplicações usam o Log4j para registos, e tudo aquilo que o atacante precisa de fazer é usar a aplicação para registar uma sequência especial”, explica Marcus Hutchins, o investigador de cibersegurança britânico que se tornou conhecido por travar a difusão do ciberataque WannaCry, em 2017. Num conjunto de mensagens partilhadas no Twitter, Hutchins recomenda que as empresas que usam o Log4J actualizem os seus serviços assim que possam.

“A vulnerabilidade Log4Shell está claramente entre as cinco vulnerabilidades mais severas da última década”, salienta Candid Wuerts, responsável pela área de pesquisa e protecção da empresa de cibersegurança Acronis, num texto sobre a falha. “O que a torna tão grave é a facilidade de a explorar remotamente, bem como a enorme quantidade de aplicações que usam [o Log4J].”

A lista de apps e sistemas afectados continua a crescer. Até agora, o sistema de armazenamento online da Apple (iCloud) e da Amazon (AWS), a plataforma de videojogos Steam e a empresa de serviços online Cloudflare confirmam que usam o serviço Log4J.

Contactada pelo PÚBLICO, a Amazon remete para um comunicado onde explica que “está consciente do problema de segurança” e que “está a monitorizar a falha”. Os clientes da AWS já foram informados para actualizar os sistemas e passar a usar o serviço Log4j 2.15.

“O impacto [de um ataque] pode variar desde a interrupção do serviço até à utilização de um vírus [remotamente], para roubar todos os dados dos clientes”, alerta Wuerts. O especialista teme que a falha possa levar a um pico nos ciberataques, com vírus a serem enviados em massa via botnets que são redes de computadores e dispositivos infectados controlados por um único atacante.

Candid Wuerts, da Acronis, sublinha que o processo para corrigir a falha será demorado: “Não há só um programa vulnerável que tem de ser actualizado, mas uma aplicação que está incluída em muitas apps.”

Sugerir correcção
Comentar