O que é Log4j e você precisa se preocupar com isso?

Christopher Budd 21 dez 2021

O que é Log4j e você precisa se preocupar com isso?

Uma nova vulnerabilidade chamada Log4j alarmou equipes de segurança em todo o mundo. Aqui está o que você precisa e o que você não precisa fazer

Houve muita conversa desde o final de semana sobre uma nova vulnerabilidade chamada Log4j* e como ela afeta os principais serviços na nuvem como Steam, Apple iCloud e aplicativos como Minecraft. É tão sério que a Agência de Infraestrutura e Segurança Cibernética dos Estados Unidos (CISA) emitiu um comunicado* sobre o assunto na sexta-feira, 11 de dezembro de 2021.

Esta é uma grande vulnerabilidade que confunde as equipes de segurança em todo o mundo. Diante disso, é compreensível que muitas pessoas estejam se perguntando “Estou afetado?” e “O que preciso fazer para me proteger disso?”.
A resposta curta é que, se você for um usuário médio da internet, não há nada que você precise fazer. A menos que você trabalhe diretamente com um “servidor Apache” ou “Java” (a linguagem de programação, não a ilha ou o café), você não está diretamente afetado. Não há nada que você precise fazer para se proteger dessa ameaça além de seguir as mesmas práticas recomendadas para proteger sua segurança e privacidade online* que, felizmente, você já está seguindo.

Uma vulnerabilidade chamada “Log4j” está por trás da situação atual. Uma vulnerabilidade é uma falha que os cibercriminosos podem usar e abusar de forma maliciosa. Vulnerabilidades são encontradas regularmente no software e corrigidas por meio de atualizações de segurança (às vezes, chamadas de “patches”). A maioria das pessoas está familiarizada com as vulnerabilidades e atualizações de segurança das atualizações de segurança que recebem regularmente da Apple e da Microsoft.

Nesse caso, a vulnerabilidade “Log4j” afeta os servidores em vez dos sistemas e dispositivos que as pessoas possuem e usam diretamente. É por isso que não é algo com que pessoas não técnicas precisem se preocupar ou realizar uma ação específica.
A vulnerabilidade afeta um pacote de registro baseado em Java que é amplamente usado em todo o mundo e pode permitir que invasores que o atacam e o explorem assumam os servidores. Isso pode permitir que os invasores desfigurem sites, implante malware, roubem dados ou qualquer outra coisa que esses invasores possam decidir fazer.

Se você trabalha com o Apache ou administra uma empresa e deseja informações técnicas mais detalhadas, este artigo da Cloudflare é um ótimo recurso.

O Log4j pode e talvez tenha afetado você se você precisa atualizar aplicativos. Por exemplo, já sabemos que a edição Java do Minecraft lançou uma atualização* em resposta a esse problema. Se você usa a edição Java do Minecraft, tudo o que você precisa fazer é certificar-se de que está usando a versão nova e atualizada.

Como comentamos anteriormente, obter e aplicar atualizações faz parte do processo regular para se manter seguro online. É algo que você já deveria estar fazendo regularmente. Enquanto estiver fazendo isso, você já estará fazendo uma das coisas mais importantes que pode fazer para se proteger contra esta última ameaça, e muitas outras ameaças por aí.

Outras coisas importantes que você pode fazer (e espero que já esteja fazendo) que podem ajudar a protegê-lo em situações como esta são executar um pacote de segurança atualizado (como o Avast) e não clicar em links em e-mails ou mensagens de texto.

A situação do Log4j é muito séria e em todo o mundo as equipes de segurança estão literalmente trabalhando 24 horas para resolvê-la. Mas essa situação é muito parecida com um incêndio em um prédio: o corpo de bombeiros está combatendo o incêndio. A menos que você mesmo seja um bombeiro (nesse caso, provavelmente não está lendo isso agora), você não precisa fazer nada além do que você (espero) já faz para proteger sua segurança e privacidade online.


A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.

* Original em inglês.

--> -->