TugaTech

Categoria: log4j

  • Mais de 30% de aplicações com Log4J ainda usam versões vulneráveis

    Mais de 30% de aplicações com Log4J ainda usam versões vulneráveis

    Mais de 30% de aplicações com Log4J ainda usam versões vulneráveis

    De acordo com um estudo recente, cerca de 38% das aplicações que usam o módulo de Apache Log4j ainda se encontram a usar versões vulneráveis do mesmo. Isto inclui versões que estão vulneráveis ao Log4Shell, uma falha que conta com a gravidade máxima e que foi corrigida faz mais de dois anos.

    A falha Log4Shell permite que código remoto seja executado nas aplicações, podendo levar ao controlo completo das mesmas. Esta afeta sistemas com o Log4j 2.0-beta9 até à 2.15.0.

    Esta foi originalmente identificada a 10 de Dezembro de 2021, e tendo em conta a sua facilidade de ataque, bem como o possível impacto para os sistemas, é atualmente uma das mais exploradas para ataques em larga escala.

    Apesar de a falha ter sido identificada, e corrigida, faz quase dois anos, ainda existe um elevado número de aplicações online que usam versões vulneráveis da mesma, e que estão abertas a possíveis ataques em larga escala. Este foi o resultado da análise feita pela empresa Veracode, que recolheu dados entre 15 de Agosto e 15 de Novembro de 2023.

    De acordo com a análise, cerca de 3866 empresas usam mais de 38.278 aplicações com Log4j, entre as versões 1.1 e 3.0.0-alpha1. Destas 2.8% usam o Log4j entre as variantes 2.0-beta9 e 2.15.0, que estão diretamente vulneráveis ao Log4Shell.

    Outras 3.8% encontram-se a usar o Log4j 2.17.0, que apesar de não se encontrar vulnerável ao ataque anterior, encontra-se a outra falha igualmente importante que pode permitir a execução remota de código – e que foi corrigida com o Log4j 2.17.1.

    Por fim, 32% das aplicações ainda se encontram com o Log4j 1.2.x, que deixou de receber suporte em Agosto de 2015, e encontra-se vulnerável a várias falhas, incluindo a Log4Shell.

    O uso de aplicações com versões desatualizadas ou vulneráveis continua a ser um dos principais problemas em vários ambientes empresariais. De acordo com os investigadores, a maioria das aplicações que usam estas versões desatualizadas não são corrigidas com versões mais recentes porque os programadores preferem não ter o trabalho de atualizar as mesmas – e evitando possíveis problemas que podem surgir dai.

    O estudo aponta ainda que 79% dos programadores nunca chegam a atualizar os módulos usados inicialmente nas suas aplicações, para evitarem ter problemas de compatibilidade ou de falhas nas funcionalidades com a atualização – o que obrigaria a corrigir as mesmas e a reformular o código existente.

    Isto apesar de 65% dos módulos open source em questão terem alterações que praticamente não causam impacto no código existente entre versões – exceto quando se realiza uma alteração de grande porte, como a mudança entre várias versões.

    Apesar de o Log4Shell ter sido um exemplo que deveria ter reforçado a importância da segurança digital em vários meios, muitos acreditam que não terá sido suficiente para levar os programadores a atualizarem as suas apps a tempo.

  • 9% das empresas portuguesas impactadas pelo trojan Emotet em abril

    9% das empresas portuguesas impactadas pelo trojan Emotet em abril

    A Check Point Research acaba de publicar o mais recente Índice Global de Ameaças de abril de 2022. Os investigadores reportam que o Emotet, um trojan avançado, auto propagador e modular, continua a ser o malware mais impactante, afetando 6% das organizações em todo o mundo. Em Portugal, também o Emotet foi líder, impactando 9% das organizações portuguesas. Seguiram-se o Lokibot e o Formbook, dois infostealers que este mês subiram na lista.

    A classificação alta do Emotet em março a nível global (10%) deveu-se principalmente aos esquemas temáticos associados à Páscoa. Por outro lado, o decréscimo em relação ao mês passado pode ser explicado pela decisão da Microsoft de desativar os macros específicos associados a ficheiros Office, afetando a forma como o Emotet é implementado normalmente. Aliás, há investigações que indicam que o Emotet tem um novo método de implementação, utilizando e-mails de phishing que contêm um URL de OneDrive.

    O Emotet tem muitas utilizações depois de conseguir contornar as proteções de um dispositivo. Devido às suas sofisticadas técnicas de propagação e assimilação, o Emotet também proporciona outros malwares a cibercriminosos em fóruns da dark web, incluindo trojans bancários, ransomwares, botnets, etc. Desta forma, assim que o Emotet encontra uma falha de segurança, as consequências podem variar dependendo de qual malware foi instalado depois de a falha ter sido comprometida.

    Mais abaixo no índice, o Lokibot, um infostealer, voltou a entrar na lista em sexto lugar após uma campanha de spam de alto impacto, implementando um malware através de ficheiros xlsx feitos para parecerem faturas legítimas. Isto, e a ascensão de Formbook, alterou significativamente a posição de outros malwares no índice com o Trojan avançado de acesso remoto (RAT) AgentTesla, por exemplo, caindo de segundo para terceiro lugar.

    No final de Março, foram encontradas vulnerabilidades na Framework Java Spring, conhecido como Spring4Shell, e desde então, muito atacantes têm aproveitado a ameaça para espalhar Mirai, o nono malware mais predominante deste mês.

    “Com a paisagem de ciberameaças em constante evolução e com grandes corporações como a Microsoft a influenciar os parâmetros em que os cibercriminosos podem operar, os atacantes têm de se tornar mais criativos na forma como distribuem malware, como é evidente no novo método de implementação agora utilizado pelo Emotet”, afirma Maya Horowitz, VP Research da Check Point. “Além disso, este mês vimos a vulnerabilidade da Spring4Shell a entrar nas manchetes. Embora ainda não esteja no top dez da lista de vulnerabilidades, é de notar que mais de 35% das organizações em todo o mundo já foram afetadas por esta ameaça só no seu primeiro mês, pelo que esperamos vê-la subir na lista nos próximos meses”.

    A CPR revela também que este mês em Portugal a área da Educação é a área mais afetada por ataques, substituindo a Saúde que ocupa agora 0o segundo lugar, seguido da área das Utilities como as mais afetadas em Portugal. Já na Europa as áreas mais afetadas são a da Educação, a Administração Pública/Setor Militar e as Utilities. Globalmente, a Educação/Investigação continua a ser a indústria mais afetada pelos cibercriminosos.

    hacker em computador

    A vulnerabilidade “Web Server Exposed Git Repository Information Disclosure” é a vulnerabilidade mais explorada, com um impacto em 46% das organizações por todo o mundo, seguida de perto pelo “Apache Log4j Remote Code Execution”. “Apache Struts ParametersInterceptor ClassLoader Security Bypass” sobe vários lugares, estando agora em terceiro lugar, com um impacto global de 45%.

    Famílias de malware mais prevalentes em abril

    Este mês, o Emotet continua a ser o malware mais popular com impacto de 6% das organizações a nível mundial, seguido de perto pelo Formbook, responsável por impactar 3% das organizações e pela AgentTesla com um impacto global de 2%.

    Em Portugal, também o Emotet é o malware mais impactante, afetando cerca de 9% das organizações portuguesas. Com o mesmo nível impacto, seguiu-se o Lokibot, com 9%. Em segundo lugar, esteve o Formbook, com um impacto de 4,45%.

    1. Emotet – Trojan avançado, auto-propagador e modular. O Emotet já foi utilizado como Trojan bancário, mas recentemente é utilizado para distribuir malware e outras campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser disseminado através de e-mails de spam de phishing contendo anexos ou links maliciosos.

    2. Lokibot – Identificado pela primeira vez em Fevereiro de 2016, o LokiBot é um infostealer de mercadorias com versões tanto para o SO Windows como para o Android. Recolhe credenciais de uma variedade de aplicações, navegadores web, clientes de correio electrónico, ferramentas de administração de TI como o PuTTY e muito mais.

    3. Formbook – O Formbook é um Infostealer que tem como alvo o SO Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hacking na dark web pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe capturas de ecrã, monitoriza e regista toques nas teclas, e pode descarregar e executar ficheiros de acordo com as ordens do seu C&C.

    Indústrias mais atacadas em Portugal:

    Este mês, o setor da Saúde foi o mais atacado em Portugal, seguido pela Educação/Investigação e, em terceiro, as Utilities.

    1. Educação\Investigação

    2. Saúde

    3. Utilities

    Indústrias mais atacadas na Europa:

    Este mês, Educação/Investigação é o setor mais atacado a nível europeu, seguido pela Administração Pública/Indústria Militar e, em terceiro lugar, as Utilities.

    1. Educação/Investigação

    2. Administração Pública/Indústria Militar

    3. Utilities

    Indústrias mais atacadas no mundo:

    Este mês, Educação/Investigação é o setor mais atacado globalmente, seguido pela Administração Pública/Indústria Militar e ISP/MSP.

    1. Educação/Investigação

    2. Administração Pública/Indústria Militar

    3. ISP/MSP

    Vulnerabilidades Mais Exploradas

    Este mês “Web Server Exposed Git Repository Information Disclosure” é a vulnerabilidade mais explorada, com um impacto global de 46% nas organizações, seguido de perto pelo “Apache Log4j Remote Code Execution” com um impacto global de 46%. “Apache Struts ParametersInterceptor ClassLoader Security Bypass” está agora em terceiro lugar na lista das vulnerabilidades mais exploradas, com um impacto global de 45%.

    1. Web Server Exposed Git Repository Information Disclosure- Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.

    2. Apache Log4j Remote Code Execution (CVE-2021-44228)- Vulnerabilidade que permite a execução remota de código presente no Apache Log4j. A exploração bem-sucedida desta vulnerabilidade permitirá um atacante remoto executar código arbitrariamente no sistema infetado.

    3. Apache Struts ParametersInterceptor ClassLoader Security Bypass (CVE-2014-0094,CVE-2014-0112,CVE-2014-0113,CVE-2014-0114)- Existe uma vulnerabilidade de segurança em Apache Struts. A vulnerabilidade deve-se a uma validação inadequada dos dados processados pelo ParametersInterceptor, permitindo a manipulação do ClassLoader. Um atacante remoto poderia explorar esta vulnerabilidade, fornecendo um parâmetro de classe num pedido.

    Principais malwares móveis

    Este mês, o AlienBot fica em primeiro lugar na lista de malware móveis mais prevalentes, seguido pelo FluBot e pelo xHelper.

     1. AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite um atacante remoto injetar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla o dispositivo.

    2. FluBot- Botnet para Android distribuído via mensagens SMS de phishing que imitam marcas de logística e entregas. Assim que o utilizador clica no link enviado, o FluBot é instalado e tem acesso a todas as informações sensíveis do telemóvel.

    3. xHelper Aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, utilizada para descarregar aplicações maliciosas e exibir anúncios. A aplicação é capaz de se esconder do utilizador, podendo reinstalar-se no caso do utilizador a desinstalar.