Entenda a Log4Shell, conjunto de vulnerabilidades que abalou o mundo
A descoberta de diversas falhas na famosíssima biblioteca Log4j desesperou muitos profissionais da área, visto que elas foram descritas como “as maiores e mais críticas da década”.
O dia 9 de dezembro de 2021 foi sombrio para a comunidade global de segurança cibernética. Foi nessa data que, perplexos, pesquisadores da Alibaba Security Cloud divulgaram aquilo que ficou conhecido como Log4Shell — um conjunto de vulnerabilidades de dia zero presentes na Log4j. Os próprios especialistas descreveram o problema como “a maior e mais crítica vulnerabilidade da década”; de lá para cá, profissionais de cibersegurança, programadores e desenvolvedores estão em uma corrida frenética para resolver essa questão e frear ataques que utilizam o bug recém-descoberto.
Antes de mais nada, vale a pena explicar o que é a Log4j. Trata-se de uma das bibliotecas de logging (registro de dados, interações, informações etc.) de código-aberto mais famosas do mundo, sendo parte do projeto Apache Logging Services (da Apache Software Foundation) e ganhando este nome por ser escrito em Java. Sua usabilidade é tão ampla que muitos projetos e aplicações usadas diariamente por bilhões de pessoas a utilizam, mesmo que indiretamente.
Só para ter uma ideia, alguns dos serviços que usam a Log4j de forma direta ou indireta incluem Cloudflare, iCloud, Minecraft, Steam, Tencent QQ e Twitter. As vulnerabilidades, se exploradas, podem ser usadas para diversas finalidades, uma vez que dão ao atacante acesso total à aplicação vitimizada: isso inclui ataques de negação de serviço (DoS), implantação de malwares (incluindo ransomwares), roubo de informações pessoais e assim por diante. Eis o porquê de tanta preocupação dentro da comunidade.
Em poucos dias, mais de 840 mil ataques utilizando as vulnerabilidades Log4Shell foram registradas ao redor do mundo, e esse número não para de crescer. Por mais que a Apache Foundation esteja correndo contra o tempo para “tapar os buracos”, novos bugs são descobertos e a total erradicação dessa ameaça depende da adoção de versões atualizadas do Log4j pelos seus usuários. Novamente, pela ampla adoção da biblioteca, esse é um processo que levará muito tempo.
A recomendação é que as equipes de desenvolvimento analisem cautelosamente a existência do Log4j em seus projetos — não apenas no código principal, mas também em plugins e APIs terceirizadas — para garantir que estejam livres e protegidos contra tal risco, que promete causar muita dor de cabeça durante vários anos.
