🪛
Personalização e Desenvolvimento
TA
Tech Academy
·Postado em Personalização e Desenvolvimento

Vulnerabilidade Log4j pode causar problemas críticos

Uma falha de segurança na biblioteca de software Log4j revelada no início desse mês (09/12) está deixando especialistas de segurança preocupados. Isso porque a ferramenta é utilizada por diversas empresas ao redor do mundo e a vulnerabilidade pode ser explorada para conseguir acesso a partes críticas das aplicações feitas em Java.

A biblioteca Apache Log4j ajuda desenvolvedores a fazer o que é chamado de “logging”, um processo que permite guardar registros de interações, procedimentos que o código executa e até mesmo resultado de um processamento. Esse tipo de ferramenta é fundamental para diagnosticar falhas no software através do que chamamos de “troubleshooting”.

Essa vulnerabilidade encontrada na biblioteca Log4j permite que um hacker insira códigos maliciosos em um processo da sua aplicação. Uma vez esse código carregado, o hacker consegue enviar instruções para o servidor de aplicações executar. Comandos esses que podem variar de acordo com as intenções de quem ataca.

Especialistas em cibersegurança classificaram essa falha como gravíssima (fonte: CVE-2021-44228 Detail). Segundo um levantamento da Check Point, no Brasil, 59% das redes corporativas monitoradas foram impactadas por tentativas de explorar essa vulnerabilidade, nas últimas semanas (fonte: The Numbers Behind Log4j Vulnerability CVE-2021-44228).

O Sankhya Om está protegido?

Sim, todos os recursos oficiais da plataforma Sankhya estão seguros.

Após a divulgação da vulnerabilidade, os especialistas da Sankhya analisaram todas as aplicações da plataforma Sankhya, incluindo o servidor de aplicação, e nenhuma possui a vulnerabilidade citada. Tanto as aplicações, quanto as versões de servidor de aplicação que adotamos, utilizam versões seguras do Log4j.

ATENÇÃO PARA AS CUSTOMIZAÇÕES

Mesmo que as aplicações oficiais da plataforma Sankhya estejam protegidas, recomendamos que as customizações em módulo java e extensões sejam verificadas pelos seus autores. É necessário confirmar que as versões da biblioteca Log4j Core 2.0 até 2.16 não estão sendo utilizadas pelas customizações. Caso estejam, solicitamos a imediata atualização para a versão 2.17 ou a remoção da classe “JndiLookup.class” do pacote Log4j. Detalhes sobre o procedimento podem ser encontrados em Apache Log4j.