Vulnerabilidade Log4j no Java pode causar problemas críticos

Os especialistas em cibersegurança identificaram uma falha considerada gravíssima (nível de gravidade CVSS 10 de 10) na biblioteca Log4j. Os profissionais de TI equiparam essa brecha, presente em serviços e dispositivos que utilizam JAVA, como um tsunami de grandes proporções de destruição.

Essa vulnerabilidade afeta desde softwares web, softwares de desktop a sistemas que estão dentro de roteadores domésticos e dispositivos IoT, entre outros.

O que é Log4j?

O Log4j é uma biblioteca que é usada para os softwares guardarem log. É através dela que o sistema registra erros. Por ser uma biblioteca popular e de fácil operação, ela é utilizada por grande parte dos desenvolvedores Java em seus projetos.

Importante: Apesar de haver a palavra Apache antes do nome Log4j em muitos artigos, essa vulnerabilidade é geral, não tem relação com o servidor HTTP Apache. Apache também é o nome da organização que apoia o projeto Log4j. Não se confunda, a vulnerabilidade vai afetar desde sistemas web a softwares de desktop que usamos no dia a dia.

O que faz a vulnerabilidade Log4j?

Através da falha CVE-2021-44228, o cibercriminoso consegue inserir códigos de acesso ao sistema de maneira rápida e fácil, sem exigir alto nível de conhecimento do invasor. O acesso pelo Log4j pode conceder controle total do dispositivo, seja ele um servidor, um computador pessoal ou um produto IoT, uma vez que o JAVA é a linguagem padrão desses aparelhos. 

Por isso, essa falha crítica tem a nota 10 de 10 no Common Vulnerability Scoring System (CVSS), que é a maior nota possível. No GitHub, você pode conferir uma lista de todos os produtos e serviços que podem ser afetados por esse problema.

Como corrigir a biblioteca Log4j?

Para corrigir a vulnerabilidade Log4j, é necessário atualizar a biblioteca para a versão 2.15.0-rc2, ou baixar a correção do Apache direto do site. Atualize o quanto antes e reforce a segurança do seu ambiente.

Para mais detalhes consulte:
https://www.fortinet.com/blog/psirt-blogs/apache-log4j-vulnerability
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
https://www.oracle.com/security-alerts/alert-cve-2021-44228.html
https://access.redhat.com/security/cve/cve-2021-44228

Confira outros posts