A Log4j é uma biblioteca de registro que é amplamente utilizada por milhões de computadores. A diretora da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) diz que esta é a vulnerabilidade mais séria que ela já viu em sua carreira de décadas, e muitos especialistas em segurança concordam.
Os ciberataques já estão explorando a vulnerabilidade centenas de vezes a cada minuto. O fato é que o Log4Shell é relativamente fácil de explorar, então mesmo pouco qualificados podem tirar vantagem.
Pesquisadores do Google descobriram que mais de 8% de todos os pacotes no Maven Central, um grande repositório de pacotes Java, têm pelo menos uma versão afetada por essa vulnerabilidade – uma quantidade enorme para todos os padrões de impacto no ecossistema.
A CISA divulgou uma lista de “ações imediatas” que as organizações devem realizar para remediar os riscos apresentados pelo Log4Shell.
A principal ação é entender a extensão do problema, identificando quais de seus ativos usam o software Log4j e, em seguida, aplicar um patch apropriado.