BLOG

Vulnerabilidade do Log4j: As organizações ainda estão em risco?

Sudhir Patamsetti Miniatura
Sudhir Patamsetti
Publicado em 12 de julho de 2023

A Ameaça Persistente

Já se passaram mais de 18 meses desde que a vulnerabilidade do log4j causou impacto na comunidade de segurança cibernética, mas relatórios recentes indicam que impressionantes 40% dos downloads do log4j ainda estão vulneráveis à exploração e 72% das organizações ainda estão vulneráveis ao log4j, em 1º de outubro de 2022. Somente em maio de 2023, nossa F5 Distributed Cloud Platform ajudou a proteger clientes de mais de 1 milhão de tentativas de ataque log4j, que foram mitigadas com sucesso pelos recursos de proteção de API e aplicativo da web.

Figura 1: Os ataques Log4j em junho e julho de 2023 continuam a ser mitigados pelo F5 Distributed Cloud WAAP

Este é apenas um exemplo de um CVE destacando os desafios que persistem enquanto as organizações lutam para acompanhar o gerenciamento da correção de CVE, e é um problema que só tende a aumentar. O número de CVEs publicados está aumentando, e a F5 Labs espera que a taxa de publicação de novos CVEs em uma semana típica aumente para 500 por semana até 2025. Já se passaram quase 2 anos desde que a vulnerabilidade do log4j foi exposta, e as organizações ainda estão tentando recuperar o atraso enquanto o problema mais amplo continua a evoluir. Apesar da disponibilidade de patches e atualizações, vários fatores contribuem para vulnerabilidades persistentes como o log4j.

Desafios Organizacionais

O grande número e a frequência de novas vulnerabilidades fazem com que as organizações tenham dificuldade para se manterem atualizadas (e possivelmente desconhecem) à medida que elas surgem, seja devido a informações ou recursos limitados para se manterem atualizadas sobre novos avisos. Depois que uma vulnerabilidade é identificada, a aplicação de patches em sistemas vulneráveis pode ser complexa, especialmente em grandes organizações com sistemas interconectados, exigindo esforço e coordenação significativos, levando a longos ciclos de aplicação de patches. Isso se torna ainda mais complexo pela mistura de infraestrutura, sistemas e aplicativos legados e modernos que existe na maioria das organizações, o que pode criar problemas de compatibilidade, altos custos ou compromissos de tempo inconvenientes ao tentar implementar atualizações críticas. Além disso, patches e atualizações complicados são dependências indiretas que podem existir em cadeias de fornecimento de software ou componentes de infraestrutura, o que pode ser um ponto cego, mesmo que uma organização não use diretamente o sistema vulnerável. Assim como o próprio código do software, erros humanos e supervisão também podem dificultar os esforços de mitigação, pois desenvolvedores ou administradores podem ignorar a necessidade de aplicar patches ou configurar incorretamente os sistemas. Por fim, organizações com infraestruturas de TI complexas ou culturas avessas a riscos podem sofrer atrasos na adoção de patches devido a testes extensivos, preocupações com interrupções ou prioridades comerciais conflitantes. Somando-se a toda essa complexidade, a maioria das organizações tem falta de pessoal, especialmente na área de segurança. Então, como eles vão conseguir acompanhar enquanto trabalham arduamente para corrigir e atualizar sistemas e aplicativos?

Conclusão

Lidar com vulnerabilidades como o log4j exige um esforço coletivo de organizações, desenvolvedores, fornecedores e da comunidade de segurança cibernética mais ampla. Aplicação de patches abrangente e oportuna, conscientização aprimorada, práticas robustas de gerenciamento de vulnerabilidades e monitoramento contínuo são essenciais para minimizar a persistência de vulnerabilidades e proteger as organizações de possíveis ataques. Embora os patches sejam essenciais para corrigir vulnerabilidades conhecidas como o log4j, eles não podem garantir proteção completa, pois novas vulnerabilidades surgem constantemente. Para mitigar riscos de forma eficaz, as organizações devem adotar soluções de segurança abrangentes. Isso inclui a implementação de firewalls de aplicativos da Web (WAFs) e medidas de segurança de API para proteção contra ataques em nível de aplicativo. Além disso, o monitoramento contínuo é crucial para detectar e responder prontamente a ameaças emergentes. Ao adotar uma abordagem holística que combina aplicação de patches com medidas de segurança robustas e monitoramento contínuo, as organizações podem proteger melhor seus sistemas e dados contra riscos de segurança em evolução.

A aplicação de patches acontece, mas muitas vezes (como neste caso com o log4j) não acontece rápido o suficiente e novos CVEs estão sendo identificados rapidamente, então é essencial que as organizações tenham uma camada abrangente de segurança na frente de seus aplicativos, não importa o quão corrigidos e atualizados eles estejam. Proteger aplicativos internos e voltados para a web com uma solução como a proteção de API e aplicativos da Web em nuvem distribuída (WAAP) da F5 é crucial para preencher a lacuna de vulnerabilidade enquanto as organizações trabalham em seus backlogs de patches e atualizações.


Alguns recursos e links relacionados: