Uma vulnerabilidade que afeta a Java Apache Log Library foi lançada em 10 de dezembro 'Log4j 2', uma ferramenta desenvolvida pela Apache Foundation que ajuda os desenvolvedores de software a escrever mensagens de log cuja finalidade é registrar uma determinada transação em tempo de execução. Além disso, o Log4j permite filtrar mensagens por importância.
'Log4j 2' é um sistema de registro muito comum usado por desenvolvedores de aplicações web e servidores baseados em Java e outras linguagens de programação. Consequentemente, a vulnerabilidade afeta uma ampla gama de serviços e aplicativos, incluindo aplicativos de negócios e serviços em nuvem.
O perigo representado por esta vulnerabilidade é que um atacante pode explodir-enviando um código malicioso que acabará sendo registrado pelo Log4j e dará ao invasor acesso ao sistema, o que será capaz de executar código remotamente.
Ações
O CCN-CERT emitiu um alerta em 10 de dezembro com um indicador de nível crítico de perigo, depois que a vulnerabilidade se tornou conhecida quando foi relatada por um engenheiro de segurança cibernética no github em 9 de dezembro, com várias ondas de recomendações em 10 e 13 de dezembro.
Para tomar as medidas de verificação, contenção e erradicação que considere adequadas, a Agência Catalã de Cibersegurança oferece uma série de recomendações que estão incluídas no Boletim de segurança cibernética “Vulnerabilidades do Log4J”.
O SGAD, em relação aos seus próprios sistemas, identificou os sistemas e aplicativos afetados e adotou medidas prioritárias de mitigação, atualizações e ajustes de configuração. O SGAD dirigiu-se aos contactos do COCS-CDTIC solicitando a aplicação das recomendações indicadas pelo CCN-CERT para mitigar a vulnerabilidade e que o SGAD seja informado das medidas tomadas.