A vulnerabilidade de registro de código aberto renova as preocupações da cadeia de suprimentos de software

Após a revelação de dezembro de 2020 do hack da cadeia de suprimentos do software Solar Winds por agentes russos, 2021 não ficou para trás, com dezembro de 2021 marcando a descoberta do “próprio objetivo” dos desenvolvedores Java na infraestrutura global de TI/OT. A limpeza está em andamento e provavelmente se estenderá por anos.

Cerca de uma década atrás, os contribuidores do lançamento de 2 do software Log4j de código aberto da Apache Foundation acharam que seria uma boa ideia que o software de log de mensagens/eventos pudesse enviar um log que também executasse código, explica Eric Byres, CTO em aDolus (www.aDolus.com ).

“Efetivamente, a vulnerabilidade do Log4Shell na biblioteca Log4j fornece uma maneira de agrupar um comando em uma mensagem que se parece com um log de eventos, enviá-lo para o coletor de log de sua vítima em potencial e iniciar um controle”, diz Byres. A vulnerabilidade do Log4j é particularmente preocupante porque seu uso é generalizado, a exploração é trivial, além de ser usada em servidores de missão crítica de alto nível. “É a Solar Winds sem os russos”, acrescenta Byres.

Em uma nota positiva, poucos controladores industriais de nível um provavelmente serão comprometidos diretamente pela vulnerabilidade, pois não fazem muito registro e geralmente não são programados em Java. Mas os aplicativos nos níveis dois a quatro — software HMI em cima — são outra história.

“Neste momento, não vimos o uso do Log4Shell resultando em invasões significativas”, disse Jen Easterly, diretora da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), em uma coletiva de imprensa em 10 de janeiro. “Esse pode ser o caso porque adversários sofisticados já usaram essa vulnerabilidade para explorar alvos e estão apenas esperando para alavancar seu novo acesso até que os defensores da rede estejam em alerta mais baixo”.

Como o Log4j é um código de código aberto que os desenvolvedores incorporam rotineiramente em um software de aplicativo maior, sua vulnerabilidade trouxe uma nova luz sobre a necessidade crônica de gerenciar melhor as cadeias de suprimentos de desenvolvimento de software. O uso crescente de listas de materiais de software (SBOM), que basicamente listam todos os componentes de software incorporados em um aplicativo específico, são um primeiro passo importante para determinar se o Log4j está presente em um aplicativo. “Para um produto atual, é relativamente simples”, observa Byres. “Mas e se for um produto com cinco anos de idade? Os fornecedores são tão cegos quanto os proprietários de ativos sobre onde pode estar o bug da semana.”

Para complicar ainda mais as coisas do ponto de vista prático, “a presença de uma vulnerabilidade não equivale a explorabilidade”, diz Ron Brash, vice-presidente de pesquisa técnica e integrações da aDolus. “Para que a vulnerabilidade seja explorável, os pacotes de ataque precisam ser capazes de alcançá-la”, acrescenta. ”E se a vulnerabilidade não for explorável, não se preocupe – cada patch é um risco e cada mudança precisa ser gerenciada.”

Para ajudar a resolver e gerenciar esses problemas, a aDolus está participando de um esforço de todo o setor para desenvolver documentos de Vulnerability Exploitability eXchange (VEX) específicos de aplicativos que complementam SBOMs, adicionando uma medida de avaliação de risco à lista não filtrada de vulnerabilidades que o SBOM representa. “O pensamento por trás do VEX é uma maneira padrão e legível por máquina para os fornecedores informarem a seus clientes quais vulnerabilidades são realmente arriscadas – e quais não são”, diz Byres.

Enquanto isso, Brash e Byres recomendam que os proprietários de ativos preocupados com a vulnerabilidade do Log4j consultem seus fornecedores de software para determinar se as versões vulneráveis ​​da biblioteca estão incluídas em seus aplicativos. Se essa busca for improdutiva, a Dolus já testou muitos aplicativos para Log4j usando metodologias assistidas por IA e se ofereceu generosamente para compartilhar seu conhecimento sobre quais aplicativos de OT incluem o Log4j – ou digitalizar o seu, se ainda não o fizeram – gratuitamente. Eles também estabeleceram uma página de recursos útil sobre o problema do Log4j em adolus.com/vulnerabilities/log4j/.

Fonte: Smart industry

Notícias do setor industrial você encontra aqui no portal da indústria brasileira, Indústria S.A.