Uma nova vulnerabilidade do tipo zero-day, capaz de afetar uma série de serviços — incluindo o iCloud, da Apple — foi descoberta no utilitário de logging open source Apache Log4j, utilizado por uma série de empresas em seus apps, sistemas e serviços.
Batizada como Log4Shell pela firma de cibersegurança LunaSec, a vulnerabilidade é classificada como severa e pode dar a criminosos a chance de invadir computadores pessoais e servidores de empresas remotamente, tomando para si o controle desses sistemas.
Entre as companhias vulneráveis — já confirmadas — a ataques Log4Shell, estão Apple, Amazon, Cloudflare, Twitter, Steam, Baidu, NetEase, Tencent e Elastic — embora centenas de outras também possam ser afetadas. O primeiro registro conhecido desse exploit foi identificado no jogo Minecraft, da desenvolvedora sueca Mojang Studios (pertencente à Microsoft).
De acordo com o Computer Emergency Response Team (CERT) da Nova Zelândia e o serviço de monitoramento GreyNoise, a vulnerabilidade já está sendo utilizada em escala global, ao passo que mais de 100 hosts foram identificados escaneando a internet por potenciais oportunidades de ataque.
Embora o problema seja considerado grave, é provável que os ataques sejam concentrados em empresas, em vez de em usuários comuns.
A Apache Software Foundation lançou um patch de emergência que tenta corrigir a vulnerabilidade envolvendo o Log4j, além de algumas orientações que buscam minimizar os danos para os serviços que não puderem atualizar seus sistemas imediatamente.
A Mojang também lançou uma atualização de segurança para corrigir o bug em seus serviços. Mesmo assim, sites e servidores relacionados ao seu jogo aconselharam jogadores a serem “extremamente cuidadosos”.
via TechCrunch