Isso é o que o Google tem a dizer sobre o bug da internet que ameaça afetar milhões
Os cibercriminosos estão fazendo milhares de tentativas para explorar uma segunda vulnerabilidade envolvendo um sistema de registro Java chamado ‘Apache log4j2’.
De acordo com o Google, essa vulnerabilidade cativou o ecossistema de segurança da informação desde sua divulgação em 9 de dezembro por causa de sua gravidade e impacto generalizado.
“Como uma ferramenta de registro popular, o ‘log4j’ é usado por dezenas de milhares de pacotes de software (conhecidos como ‘artefatos’ no ecossistema Java) e projetos em toda a indústria de software”, disse o Google em um blog.
A falta de visibilidade do usuário em suas dependências e dependências transitivas dificultou o patch; também tornou “difícil determinar o raio de explosão total dessa vulnerabilidade”.
Em 16 de dezembro, o Google descobriu que 35.863 dos ‘artefatos’ Java disponíveis no Maven Central dependem do código log4j afetado.
Isso significa que mais de 8 por cento de todos os pacotes no Maven Central têm pelo menos uma versão que é afetada por esta vulnerabilidade.
“No que diz respeito ao impacto no ecossistema, 8% é enorme. O impacto médio no ecossistema dos alertas que afetam o Maven Central é de 2%, com a mediana inferior a 0,1%”, disse o Google.
Até agora, quase 5.000 ‘artefatos’ foram corrigidos, deixando mais de 30.000 a mais.
Enquanto isso, o Apache lançou a versão 2.17.0 do patch para Log4j depois de descobrir problemas com sua versão anterior, que saiu na semana passada.
Na sexta-feira, pesquisadores de segurança tweetaram sobre possíveis problemas com o 2.16.0, com alguns identificando a “vulnerabilidade de negação de serviço”.
As empresas de segurança cibernética descobriram que grandes grupos de ransomware como o Conti estão explorando maneiras de tirar proveito da vulnerabilidade.
Eles alertaram que os hackers estavam fazendo mais de 100 tentativas a cada minuto para explorar uma vulnerabilidade crítica de segurança no sistema de registro Java amplamente usado, chamado ‘Apache log4j2’, deixando milhões de empresas globalmente em risco de roubo cibernético.
Vários serviços populares, incluindo Apple iCloud, Amazon, Twitter, Cloudflare e Minecraft, são vulneráveis a esta exploração ‘onipresente’ de dia zero, agora apelidada como uma das vulnerabilidades mais sérias na Internet nos últimos anos.
‘Apache Log4j’ é usado em muitas formas de software corporativo e de código aberto, incluindo plataformas em nuvem, aplicativos da web e serviços de e-mail.
o FacebookTwitterLinkedin
Source link
