0
0
Quando a vulnerabilidade do Log4Shell (CVE-2021-44228) foi revelada publicamente em dezembro de 2021, a diretora da CISA Jen Easterly disse que é a vulnerabilidade “mais grave” que ela viu em suas décadas de carreira e pode levar anos para ser resolvida.
É verdade: a falha é remotamente explorável por invasores não qualificados e versões vulneráveis da biblioteca de código aberto são aparentemente onipresentes – e ainda estão sendo baixadas e usadas.
Os atacantes têm tentado explorar a vulnerabilidade para comprometer sistemas em todo o mundo para fornecer criptominers e ransomware ou estabelecer acesso persistente para um ataque futuro.
Mas, de acordo com Rotem Iram, co-fundador e CEO da Cyber Management General Agent (MGA) At-Bay, o risco de exploração do Log4j não é tão alto quanto se pensava.
Determinando o risco de exploração do Log4j
Depois de digitalizar mais de 13.000 empresas seguradas de médio porte em seu portfólio e empresas que apresentaram um pedido para serem seguradas, eles descobriram que apenas uma porcentagem muito pequena delas são vulneráveis à exploração do Log4Shell proveniente de invasores fora do perímetro da rede.
“Como MGA de seguros, estamos interessados em reduzir o maior risco para a maioria das organizações. No mercado intermediário, os criminosos cibernéticos não têm como alvo organizações específicas; eles estão executando varreduras em toda a internet procurando por vulnerabilidades críticas e, em seguida, atacando o que é encontrado. Então, ao olhar para o risco apresentado pelo Log4j, consideramos quantas organizações poderiam ser identificadas e exploradas por um invasor especificamente buscando usar uma exploração do Log4j”, compartilhou Iram.
Eles adicionaram a capacidade à varredura do perímetro de sua rede para identificar se uma organização pode ser comprometida através de uma das explorações publicadas do Log4j (para 11 produtos de software), e descobriram que apenas 0,5% das organizações no mercado médio são vulneráveis.
Entre as outras coisas que eles encontraram estão:
- Espera-se que quanto maior o tamanho da organização, maiores as pilhas de tecnologia que eles têm, e maior a chance de usar um sistema vulnerável e identificável através de varreduras externas
- Os 3 produtos mais vulneráveis encontrados foram Ubiquiti Unifi, VMWare Horizon e MobileIron
- Serviços educacionais (escolas, faculdades, etc.) e Indústria da Informação (editoras, emissoras, telecomunicações) são as indústrias de maior risco
Mas, o mais importante, eles também descobriram que as taxas de exposição dessas empresas de médio porte para a falha EternalBlue e ProxyLogon são maiores, e para acesso rdp não autorizado maior ainda.
“Remediar qualquer sistema vulnerável ao Log4j é crucial, mas as organizações não devem desviar a atenção de outros vetores de ataque comuns. O Remote Desktop Protocol (RDP) continua sendo a principal causa de incidentes de ransomware, responsável por quase 50% de todos os ataques — e não prevemos que isso mude tão cedo”, disse ele.
“O número de alvos disponíveis no mercado intermediário para os hackers explorarem [via vulnerabilidades do Log4j] é relativamente baixo, o que representa menos oportunidade para criminosos cibernéticos e explica por que houve poucos relatos de violações até o momento.”
Outras considerações
Iram disse à Help Net Security que seus clientes são todos baseados nos EUA e não estão excessivamente concentrados em nenhum segmento. “Quando consideramos isso ao lado do número total de empresas digitalizadas – que era de cerca de 13.000 – achamos que esses dados são uma boa representação do mercado.”
Ele também observou que seu scanner se concentra em todos os produtos e configurações atualmente exploráveis e que se um produto está usando uma versão log4j desatualizada, mas não há uma maneira conhecida de explorar esse produto, eles não o considerariam como um “explorável confirmado”.
Finalmente, ele apontou que se um invasor ganha acesso por meios diferentes (por exemplo, um e-mail de phishing) e está se movendo lateralmente dentro da organização, ele pode ser capaz de aproveitar um produto interno vulnerável para avançar ainda mais.
“Os atacantes no mercado intermediário não têm como alvo organizações, mas sim fáceis de encontrar e explorar vulnerabilidades. Eles projetam um ataque específico para esse ponto de partida e, em seguida, dimensioná-lo, vendendo-o como ferramenta de ransomware como serviço para outros atacantes menos sofisticados”, acrescentou.
“Esses invasores então digitalizam cada endereço IP em busca de ativos vulneráveis e priorizam os que pertencem às empresas de maior receita. Então, saber que 0,5% das empresas de médio porte entrariam no radar de um invasor, é importante porque nos diz a magnitude dos ataques que se seguiriam, e também nos permite ajudar essas empresas a eliminar o problema antes do alvo. Essa abordagem nos levou a reduzir os casos de ransomware em mais de 5x em comparação com as médias relatadas.”
FONTE: HELPNET SECURITY