Surgiu uma vulnerabilidade de software chamada "Log4Shell" no jogo Minecraft neste último final de semana. A informação vem através do site rocketcitynow, onde é dito que a falha pode ser uma grande ameaça para dispositivos conectados à internet.
De acordo com as informações, a "Log4Shell" é uma vulnerabilidade que "abre uma lacuna no código de software que é onipresente em serviços em nuvem e softwares corporativos utilizados na indústria e no governo". Através dessa falha, o criminoso é capaz de obter dados valiosos, injetar malwares ou apagar informações importantes, por exemplo.
Log4Shell - A maior e mais crítica vulnerabilidade da última década
O CEO da empresa de segurança cibernética, Amit Yoran, diz que a Log4Shell é "a maior e mais crítica vulnerabilidade da última década". A Apache Software Foundation avaliou a Log4Shell como sendo uma falha de nível 10 em uma escala de 1 a 10. Segundo os especialistas, qualquer pessoa que souber como explorar a falha, pode obter acesso total a um computador sem patch que usa o software Apache.
O software Apache possui código aberto e é utilizado para rodar sites e outros serviços da web. A vulnerabilidade foi descoberta pelo Alibaba no dia 24 de novembro. De acordo com LunaSec, a falha foi encontrada na biblioteca de registro Java log4j2, daí o nome da vulnerabilidade Log4Shell. A New Zealand's computer emergency foi uma das primeiras a relatar a ocorrência da falha que já estava sendo "ativamente explorada na internet".
A exploração (utilização) da falha Log4Shell foi encontrada pela primeira vez no jogo Minecraft. De acordo com profissionais da Marcus Hutchins, jogadores do game já utilizavam essa falha para executar programas nos computadores de outros usuários colando uma curta mensagem na caixa de bate-papo (chat). A Microsoft diz que já lançou uma atualização para Minecraft e diz que "os clientes aplicaram a correção estão protegidos".
Software Apache - O programa afetado pela vulnerabilidade
O software Apache é um programa escrito na linguagem de programação Java e foi desenvolvido com o intuito de registrar a atividade do usuário nos computadores. O Apache é muito popular entre os desenvolvedores de softwares comerciais e roda em muitas plataformas (Windows, Linux, MacOS) e alimentando tudo, desde webcams até sistemas de navegação automotiva. Pesquisadores relatam que encontraram evidências de que a falha pode ser explorada em servidores da Apple, Amazon, Twitter e Clouddlare.
Eric Goldstein, diz que o "Log4j" costuma ser incorporado a programas de terceiros que precisam ser atualizados por seus proprietários". Além disso, foi dito que mesmo que a correção da falha seja aplicada, profissionais de segurança cibernética terão de tentar detectar se a vulnerabilidade foi explorada (se houve uma rede ou dispositivo invadido).
Atualização do Apache Log4j 2.16.0 - 14 de dezembro de 2021
Para que se corrija a vulnerabilidade, é indicado que o usuário baixe o patch Apache Log4j 2.16.0 enquanto os desenvolvedores continuam suas investigações sobre a falha.