2021/12/12

Vulnerabilidade Log4Shell afecta milhões de apps e serviços

Há novo cenário de pesadelo na internet, com uma vulnerabilidade crítica "Log4Shell" que afecta o sistema de logs Log4j da Apache Foundation.

Com tudo na internet a ser, cada vez mais, assente em blocos pré-feitos, torna-se inevitável que qualquer falha descoberta num módulo popular imediatamente deixe em risco milhões de apps e serviços. É exactamente o caso que agora se enfrenta.

Investigadores descobriram uma vulnerabilidade designada por Log4Shell, que afecta o Log4j da Apache Foundation, um sistema para análise de logs que é utilizado por inúmeros serviços na cloud (Apple, Amazon, Cloudflare, Twitter), apps, e até pela versão java do popular jogo Minecraft. Esta falha permite que atacantes possam executar código remoto ao injectarem conteúdos específicos, e já está a ser usada em ataques. É um cenário tão mau que alguns investigadores lançaram uma "vacina", que aproveita a própria vulnerabilidade para fazer alterações que evitam que um posterior ataque malicioso - um cenário que ainda assim pode deixar os investigadores expostos a acusações de "hacking" por estarem a entrar em sistemas sem autorização, mesmo que com um bom propósito.

Este caso vem também relembrar o desequilíbrio que existe, em que temos empresas que valem milhares de milhões de dólares a usufruírem de software gratuito open-source, muitas vezes mantido apenas à custa da boa vontade de um qualquer indivíduo que o faz voluntariamente no seu part-time. Quase que justifica rematar isto com um "E esta, hein?" do saudoso Fernando Pessa.

2 comentários:

  1. Aplica-se em pleno a famosa frase:
    "Um palácio assente em pés de barro."

    ResponderEliminar
  2. Não instalem pacotes que são "projectos escolares", pessoal...

    ResponderEliminar