Log4Shell: falha no registro de código deixa milhões de dispositivos vulneráveis a ataques

Serviços populares de nuvem como iCloud e Steam, bem como aplicativos da Amazon, Twitter e Minecraft entre outros que mantêm um registro dos eventos quando esses estão funcionando, guardam uma séria vulnerabilidade no Log4j, uma biblioteca de registro de código aberto, popular e amplamente utilizada.

Trata-se da vulnerabilidade Log4Shell, relatada pela primeira vez no site Minecraft, que permite ao atacante executar um código malicioso no jogo, de acordo com a Ars Technica.

Imagem: Minecraft site/Reprodução

Com a vulnerabilidade descoberta, atacantes poderiam usá-la para executar códigos remotamente em servidores, direcionando-os para baixar e executar malware, o que comprometeria os dados de pessoas e empresas.

Para o pesquisador de segurança Marcus Hutchins, que ajudou a impedir a disseminação do malware WannaCry, a vulnerabilidade é “extremamente ruim” devido à grande quantidade de aplicativos que usam o Log4j para logar.

Já um post no blog da empresa de segurança de aplicativos LunaSec diz que “acionar a vulnerabilidade nos servidores da Apple é tão fácil quanto mudar o nome de um iPhone”. No caso do jogo Minecraft, o código malicioso poderia ser executado remotamente simplesmente enviando mensagens.

A Log4j já emitiu uma correção para o Log4Shell, e serviços afetados como Minecraft e Cloudflare já implementaram atualizações.

Via Engadget