LOGIN :

Alerta Vulnerabilidades

Vulnerabilidades - Apache Java Log4j

No passado dia 9 de Dezembro veio a público uma vulnerabilidade 0day que está presente na biblioteca de software de código aberto Java Log4j, popularmente utilizada para registar, armazenar e criar informação de registo de software, aplicações, dispositivos de hardware, entre outros. Esta plataforma é utilizada em muitos produtos, quer comerciais quer em desenvolvimentos internos feitos com base em Java.

 

Esta informação vai no sentido de transmitir esta informação a todos os tomadores de apólices de Cyber e de Responsabilidade Civil Profissional para Consultores e Empresas de Tecnologia e Informática, embora tratando-se de uma ameaça global, acreditamos que os conteúdos podem ser de interesse para todas as empresas.
A importância de divulgar informação sobre esta vulnerabilidade reside no facto de que os sistemas dos seus clientes podem ficar comprometidos no caso de não se atualizarem em conformidade, podendo decorrer daí uma qualquer perda ou dano.

 

Qual é o risco?

Esta vulnerabilidade é especialmente perigosa porque a sua exploração pode realizar-se de forma remota.

Não requer autenticação e pode dar acesso completo ao servidor ou dispositivo atacado. Mais, é possível realizar o ataque com recurso a uma linha de código e, de facto, já se realizaram ataques que vieram a comprovar estas possibilidades.

Para além disso, trata-se de uma biblioteca de registos amplamente utilizada e que se encontra numa ampla gama de dispositivos e software de empresas como Apache Struts e Tomcat, Solr, distribuições Linux, Blackberry Symantec, Apple, entre outros.

 

Quem são os mais afetados?

Infelizmente não é possível dizer que há um tipo de organização que possa ser mais afetada do que outra e por isso é difícil a uma empresa antever com total certeza a sua própria vulnerabilidade. Para dar um exemplo, seria possível uma empresa não ter a vulnerabilidade na versão do software que utiliza, mas tê-la presente em dispositivos de que é utilizador, como os dispositivos VPN, os fornecedores em cloud, entre outros.

Como se trata de uma biblioteca Apache, é mais provável que se execute em servidores Linux. No entanto, ao tratar-se de uma vulnerabilidade de Java pode executar-se em múltiplas plataformas, pelo que servidores Windows e Apple também poderão encontrar-se vulneráveis.

Suspeita-se que as empresas com uma faturação entre 25 a 1.000 milhões de euros são as que correrão maior risco, devido à probabilidade de estarem a executar software ou dispositivos vulneráveis, supondo-se por outro lado que estas mesmas empresas sejam também as que teriam a capacidade de deteção e os conhecimentos necessários para resolver este problema de vulnerabilidade.

O que fazer?

Perguntas chave para os responsáveis das empresas

  • Está consciente da recente vulnerabilidade / falha de segurança log4j, também conhecida como CVE-2021-44228 ou log4shell?
  • Procedeu à avaliação da sua exposição à mesma no caso das aplicações desenvolvidas internamente?
  • Falou com os seus fornecedores de hardware / software / serviços na cloud e avaliou em que medida os seus serviços possam ter sido afetados?
  • Tem um plano para proceder a atualizações a partir das respostas às perguntas anteriores?

Passos a dar pelos colaboradores especializados

(NOTA: Em caso de dúvida, deve entregar este documento aos seus fornecedores de serviços tecnológicos, para que o possam acompanhar ao longo destes passos. No entanto, é importante ter em conta que estas são medidas preventivas para manter a segurança da sua infraestrutura informática e não se encontram cobertas pelas apólices Cyber).

Passo nº 1: Identificar todos os fornecedores ou prestadores de serviços de tecnologia  

Para além dos servidores Windows e Linux, devem incluir-se dispositivos como firewalls, servidores de registo, hypervisors, routers, prestadores de serviços na cloud (por exemplo: sistemas financeiros ou de recursos humanos).

Atendendo a que o software também pode ser utilizado em máquinas industriais, estes sistemas (ICS, SCADA, IoT) devem ser verificados para que se possa detetar esta falha de segurança e comunicar-se com o fabricante destes sistemas.

Passo nº 2: Para cada fornecedor, validar se o software é vulnerável e se há um patch de segurança disponível

No link abaixo pode aceder à base de dados de alertas do Centro Naciconal de Cibersegurança na qual poderá consultar as últimas vulnerabilidades documentadas e conhecidas, assim como saber da disponibilidade de um patch ou de uma solução alternativa disponível. É recomendado que faça uma referência cruzada entre a sua lista de prestadores e a informação que abaixo se disponibiliza.
https://dyn.cncs.gov.pt/pt/alertas/

 

Passo nº3: aplicar os patches para cada um dos serviços

Desejavelmente cada fabricante deveria oferecer conselhos específicos sobre como instalar atualizações nos seus serviços. Uma vez que os ataques a que estamos a assistir têm origem noutros locais diferentes da Internet, deve priorizar a aplicação dos patches nos sistemas perimetrais, tais como firewalls, load balancing, dispositivos gateway e sistemas VPN, dado serem todos externos. Depois disto, deverá ter em conta qualquer outro sistema orientado para a web, como por exemplo os servidores web, e finalmente o sistema interno nas suas redes privadas.

Devido à natureza generalizada da vulnerabilidade, não existe uma solução única para todos os casos onde possam ocorrer falhas de segurança, mas o percorrer destes passos simples reduzirá significativamente os riscos de que venha a ter no futuro um incidente de cibersegurança com base na vulnerabilidade Log4j.

Outras ligações de interesse

As ligações abaixo são externas e não foram alvo de análise detalhada por parte da Hiscox, que a Innovarisk representa em Portugal, mas poderão ajudá-lo a entender melhor este problema:

Fale connosco