Em Dezembro de 2021, o anúncio de uma vulnerabilidade Log4j tornou-se uma chamada de atenção para os vendedores de software em todo o mundo. As organizações de todo o mundo precisavam de procurar a componente log4j em todas as suas aplicações e garantir que tinham um plano de acção para manter os seus utilizadores seguros. Não o fazer poderia ter resultados devastadores. Muitos chegaram ao ponto de dizer que o impacto do Log4j poderia ser ainda mais grave do que o famoso hack Equifax de 2017.

O que é a vulnerabilidade Log4j?

Os primeiros anúncios da vulnerabilidade saíram a 9 de Dezembro. CVE-2021-4228, é um componente de registo de código aberto utilizado em numerosas aplicações. As estruturas populares como o Apache incluem o Log4j, tornando-o omnipresente nos principais actores tecnológicos e no seu software. A CBS News disse do impacto que “a lista de potenciais vítimas abrange quase um terço de todos os servidores web a nível mundial”.

A vulnerabilidade é especialmente crítica porque é fácil de explorar. Segundo a Sonatype, “este é um ataque de baixa qualificação que é extremamente simples de executar. Permite a um atacante executar um código arbitrário em qualquer aplicação que seja vulnerável e utilizar esta capacidade para executar um ataque.

Uma das primeiras organizações a descobrir a vulnerabilidade de Log4j foi o popular jogo online Minecraft. Uma vez que Log4j era utilizado para registar mensagens de chat dentro do jogo, a vulnerabilidade significava que qualquer pessoa dentro de um servidor Minecraft público podia explorar outras dentro do servidor, simplesmente digitando comandos na caixa de chat.

O que acontece agora?

Agora que o mundo conhece a vulnerabilidade log4j, as empresas ainda estão a trabalhar para corrigir as suas aplicações e garantir que os seus utilizadores estão a salvo desta falha de segurança catastrófica.

A Comissão Federal de Comércio emitiu um anúncio severo a 4 de Janeiro: “A FTC pretende usar toda a sua autoridade legal para processar as empresas que não tomem medidas razoáveis para proteger os dados dos consumidores da exposição em resultado da Log4j, ou vulnerabilidades conhecidas semelhantes no futuro”.

À medida que as grandes empresas começam a lançar remendos e as manchetes começam a afastar-se de toda a questão, começamos a respirar de alívio. Mas, se não sairmos de toda esta situação com uma melhor compreensão de como evitar que algo semelhante volte a acontecer, podemos estar a preparar-nos para um fracasso ainda maior.

Lições aprendidas com a vulnerabilidade do Log4j

Uma das maiores lições da vulnerabilidade da Log4j é que as empresas precisam de saber o que está dentro do seu software para se manterem a si próprias e aos seus clientes em segurança.

Sergio Caltagirone, vice-presidente de inteligência de ameaças na empresa de cibersegurança Dragos, foi entrevistado pela CBS News e fez a analogia: “As pessoas são capazes de dizer: ‘Sou alérgico a amendoins? Será que isto tem nozes? Agora temos de ser capazes de dizer: ‘Esta vulnerabilidade log4j surgiu. Tenho isto no meu ambiente?

Mas como é que se tem uma lista de componentes de uma aplicação? É importante criar uma lista de materiais de software (SBOM). Esta listagem lista todos os nomes de componentes, informação de licenciamento, números de versão e fornecedores dentro de cada uma das aplicações de uma empresa.

Os SBOM permitem às organizações responder rapidamente a perguntas em situações críticas. Numa questão de minutos, uma empresa com uma SBOM pode localizar componentes vulneráveis conhecidos e tomar decisões informadas para salvaguardar essas áreas específicas das suas aplicações. Uma SBOM não só funciona numa situação extrema como Log4j, como também torna mais eficiente e mais fácil para as equipas de desenvolvimento remediar várias outras vulnerabilidades à medida que constroem software no dia-a-dia.

Mas qual é o próximo passo na construção da sua lista técnica de software? Os nossos parceiros Sonatype fornecem soluções de classe mundial para todos os aspectos da Análise de Composição de Software, incluindo a construção de uma SBOM.

Saiba mais aqui: https://www.sonatype.com/products/vulnerability-scanner 

Saiba mais aqui: