Supreenda-se: A falha do apache Log4J2 continua uma ameaça financeira global

O analista independente de inteligência sobre ameaças cibernéticas, Anis Haboubi, alerta sobre uma grave falha de configuração de registro que pode impactar dramaticamente o setor financeiro.

A vulnerabilidade é CVE-2021-44832 e afeta o Apache Log4j2. Um invasor remoto pode explorar esta vulnerabilidade para executar código malicioso nos sistemas afetados. A falha recebeu uma pontuação CVSS de 6,6 e afeta todas as versões log4j de 2.0-alpha7 a 2.17.0. Versões 2.3.2 e 2.12.4. não são impactados.

“As versões 2.0-beta7 a 2.17.0 do Apache Log4j2 (excluindo as versões de correção de segurança 2.3.2 e 2.12.4) são vulneráveis ​​a um ataque de execução remota de código (RCE), onde um invasor com permissão para modificar o arquivo de configuração de log pode construir um ataque malicioso configuração usando um JDBC Appender com uma fonte de dados referenciando um URI JNDI que pode executar código remoto. Este problema foi corrigido limitando os nomes das fontes de dados JNDI ao protocolo Java nas versões 2.17.1, 2.12.4 e 2.3.2 do Log4j2.”  lê o comunicado .

A vulnerabilidade foi descoberta pelo pesquisador de segurança da Checkmarx, Yaniv Nizry, que a relatou ao Apache em 27 de dezembro de 2020. A Apache Software Foundation lançou a versão Log4j 2.17.1 para resolver a falha alguns dias depois.

As recentes violações na Sisense e na Snowflake , ambas empresas certificadas pela ISO/IEC 27001, destacam uma vulnerabilidade crítica que ainda ameaça todo o setor financeiro. Apesar de aderirem a padrões de segurança rigorosos, as falhas na sua infra-estrutura expuseram dados financeiros sensíveis a acesso não autorizado, levando potencialmente a consequências catastróficas, disse Haboubi à SecurityAffairs.

Por que esta velha falha ainda ameaça o setor financeiro?

A falha crítica nas configurações de log permite que invasores com acesso de gravação explorem um JDBC Appender com um URI JNDI, permitindo a execução remota de código. Isso pode levar ao comprometimento total do sistema, permitindo que invasores executem códigos maliciosos remotamente e obtenham acesso não autorizado a dados financeiros confidenciais. Sisense e Snowflake contam com a confiança dos principais grupos financeiros internacionais.

“Essas empresas confiam em seus serviços para operações críticas, incluindo análise de dados e armazenamento em nuvem. Uma violação destes sistemas pode perturbar as atividades financeiras à escala global, causando danos financeiros e de reputação significativos.” disse Haboubi .

“As violações resultaram na exfiltração de vários terabytes de dados de clientes, incluindo tokens de acesso, senhas de contas de e-mail e certificados SSL. Esses dados podem ser explorados por invasores para obter maior acesso aos sistemas financeiros e realizar atividades fraudulentas. Sistemas Financeiros Interconectados: O setor financeiro está altamente interconectado. Uma vulnerabilidade num sistema pode levar a um efeito dominó, comprometendo outros sistemas e serviços. O potencial de perturbação generalizada torna esta falha particularmente perigosa.”

As violações levantaram questões sobre se a Sisense e a Snowflake estavam fazendo o suficiente para proteger dados confidenciais. Os dados roubados, que aparentemente não foram criptografados enquanto estavam em repouso, ressaltam a necessidade de medidas de segurança mais robustas.

Em conclusão, as falhas nas infra-estruturas do Sisense e do Snowflake, combinadas com a sua utilização extensiva no sector financeiro, representam uma ameaça significativa. É necessária uma acção imediata para mitigar estas vulnerabilidades e proteger a integridade das operações financeiras a nível global. Medidas de segurança reforçadas, como a integração da autenticação baseada em chave PEM, são cruciais para prevenir futuras violações e garantir a segurança de dados financeiros sensíveis.

“É bastante impressionante. Acredito que os invasores violaram os sistemas há vários meses, ou talvez até anos. Eles provavelmente esperaram o momento certo para exfiltrar os dados, e a Sisense só recentemente descobriu a violação. Um dos maiores problemas para mim é que o Sisense permitiu “conectar-se a uma rede privada com um túnel SSH” sem uma chave PEM. Isso é o que eles consertaram discretamente no commit que compartilhei com vocês. Os atacantes exploraram claramente a vulnerabilidade Log4j desde o início para obter acesso privilegiado a infraestruturas críticas. Eles então se esconderam por meses para ver se conseguiam manter a persistência”, finaliza o especialista. “ainda hoje 30% das instalações log4J são vulneráveis ​​ao log4hell”