O Conselho de Revisão de Segurança Cibernética classifica o Log4j como ‘vulnerabilidade endêmica’

O CSRB divulgou um relatório dizendo que a exploração do Log4j está aqui para ficar a longo prazo, o que significa que as empresas devem estar prontas em caso de um ataque cibernético.

O Cyber ​​Safety Review Board (CSRB) recentemente rotulou a exploração de segurança Log4j como uma ‘vulnerabilidade endêmica’ que permanecerá por anos, de acordo com um relatório divulgado em 11 de julho de 2022. A vulnerabilidade em si foi descoberta em dezembro de 2021, exigindo pouco para nenhuma habilidade de hacking para aproveitar a lacuna nas medidas de segurança.

“Estamos em uma conjuntura significativa nas indústrias de tecnologia e segurança cibernética e as descobertas do CSRB sinalizam uma direção para o futuro”, disse Daniel Trauner, diretor sênior de segurança da Axonius. “Em algum momento, veremos um uso ainda mais visível dos relatórios de Software Bill of Materials (SBOM). Assim como a FDA espera que os consumidores possam se manter informados sobre o que estão colocando em seus corpos por meio de rótulos de informações nutricionais padronizadas com listas claras de ingredientes, empresas e outras entidades que usam software vão querer – e, em última análise, precisar – transparência sobre o que vai para o software que eles estão usando.”

As descobertas do CRSB no Log4j

A vulnerabilidade Log4j, também conhecida como Log4Shell, é uma estrutura de log baseada em Java de software livre que coleta e gerencia informações sobre a atividade do sistema. Além de ser fácil de usar, o arquivo é gratuito para e extremamente eficaz. Entre os desenvolvedores Java, esse software também foi incorporado em milhares de outros pacotes de software. A facilidade de uso faz com que alguns hackers explorem vários softwares que ainda não foram corrigidos como parte do Log4j.

O erro foi encontrado e publicado como prova de conceito por um engenheiro da equipe de segurança em nuvem do Alibaba. Isso se tornou um problema sério em 9 de dezembro de 2021 depois que a vulnerabilidade foi tornada pública, pois pesquisadores da Cloudflare descobriram que havia 400 varreduras por segundo para tentar aproveitar os sistemas comprometidos usando o software. Os profissionais de segurança desde então tornaram uma prioridade mitigar o risco potencial enfrentado por essa exploração ser fácil e amplamente disponível para as massas.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Dicas para se manter seguro contra a exploração do Log4j

Para se preparar para os efeitos de longo prazo causados ​​por essa vulnerabilidade, o CSRB recomenda as seguintes dicas para as organizações seguirem:

• Aborde os riscos contínuos do Log4j
• Impulsione as práticas recomendadas existentes para higiene de segurança
• Construa um ecossistema de software melhor
• Invista no futuro

Ao se preparar para lidar com a vulnerabilidade do Log4j a longo prazo, as organizações podem fazer um trabalho melhor de observar e relatar ações às autoridades apropriadas para fins de monitoramento. Isso permitirá que as agências necessárias coletem os dados necessários para lidar com a exploração em tempo real.

Embora essas dicas adicionais sejam úteis, outros especialistas em segurança cibernética atribuíram a exploração às empresas que simplesmente têm práticas e hábitos de segurança ruins. Compreender quais informações e dados estão sendo protegidos pode levar ao desenvolvimento de melhores métodos de defesa cibernética no futuro.

“O que está na raiz é que a maioria das organizações tem práticas terríveis de gerenciamento de ativos. Simplificando, se você não sabe o que tem, não pode protegê-lo”, disse Matt Chiodi, diretor de confiança da Cerby. “O gerenciamento de ativos é extremamente difícil, especialmente quando você considera os aplicativos em nuvem. Quando se trata de seus próprios aplicativos na nuvem, os desenvolvedores raramente acompanham quais componentes de software eles usam. Para aplicativos SaaS, você precisa contar com o fornecedor sabendo o que eles desenvolveram e quais componentes de software estão sendo usados. Isso é tudo sobre a segurança da cadeia de suprimentos de software, que está quebrada hoje.”