Como a biblioteca Log4j 2 pode se comunicar com outras fontes e serviços de diretório interno, os invasores podem alimentar facilmente o Log4j 2 com comandos mal-intencionados de fora e fazer com que ele baixe e execute códigos perigosos de fontes mal-intencionadas.
Como os invasores podem explorar o Log4j 2 depende das especificações do sistema afetado. Até agora, a grande maioria das atividades maliciosas tem sido a digitalização em massa para sistemas vulneráveis de impressão digital. Os invasores têm explorado a vulnerabilidade para comprometer a infraestrutura de virtualização, instalar e executar ransomware, roubar credenciais do sistema, assumir amplo controle de redes comprometidas e exportar dados, de acordo com um relatório da Microsoft .
Conforme os relatórios continuam a crescer sobre a exploração do Log4Shell, as possibilidades de atividades maliciosas parecem exponenciais. Atores mal-intencionados podem executar qualquer código no sistema atacado, por exemplo, para acessar dados de configuração confidenciais. Ao capturar esses dados, os invasores podem obter controle total de um sistema – e de todos os seus dados e aplicativos. É como um ladrão que tem as chaves da porta da frente e a combinação do cofre interno.
Quais são as vulnerabilidades publicadas até agora?
CVE publicou três vulnerabilidades relacionadas ao Log4Shell:
| Vulnerabilidade | O que era vulnerável | Log4j 2 patch corrigido por |
| CVE-2021-45105 (mais recente) | Deixou a porta aberta para um invasor iniciar um ataque de negação de serviço, causando um loop de recursão infinito em pesquisas autorreferenciais. | Log4j 2.17.0 para Java 8 e superior. Este é o patch mais recente. |
| CVE-2021-45046 (segundo) | Pode permitir que invasores criem dados de entrada maliciosos que podem causar vazamento de informações ou execução remota de código. | Log4j 2.12.2 para Java 7 e 2.16.0 para Java 8 e superior |
| CVE-2021-44228 (original) | É possível que um invasor execute código aleatório usando a funcionalidade de pesquisa de mensagens. | Log4j 2.12.2 e Log4j 2.16.0 |
Para garantir que os sistemas que usam Log4j 2 estejam protegidos contra essas vulnerabilidades, as equipes de TI devem aplicar o patch mais recente, Log4j 2.17.0 para Java 8 e superior.
Como o Log4Shell nos afeta como consumidores?
Muitas empresas e organizações usam a biblioteca Log4j em vários aplicativos e infraestrutura, diretamente ou por meio de uso de terceiros. No setor de consumo, muito armazenamento habilitado para rede e equipamentos domésticos inteligentes também usam a biblioteca Log4j 2. Os usuários devem desconectá-los da Internet até que seus fabricantes disponibilizem as atualizações.
A maioria das empresas colocou uma mensagem de segurança correspondente em seus sites, descrevendo o que estão fazendo sobre a vulnerabilidade Log4Shell.
Os consumidores devem instalar atualizações de software fornecidas pelos fornecedores que usam. Eles também devem tentar descobrir se o Log4Shell afeta as organizações que hospedam os sites e serviços que usam. Nesse caso, eles devem descobrir quais medidas as organizações estão tomando para proteger suas informações pessoais