A exploração Apache Log4j pode ter impacto na Minecraft: Java Edition, Amazon, Twitter e muitos mais, mas pode ser mitigado.
Foi descoberta uma vulnerabilidade de segurança de longo alcance de dia zero que poderia permitir a execução de código remoto por actores nefastos num servidor, e que poderia ter impacto em montes de aplicações online, incluindo o Minecraft: Java Edition, Steam, Twitter, e muitas mais se deixadas sem controlo.
A exploração foi identificada como CVE-2021-44228, que está marcada como 9,8 na escala de gravidade por (Red Hat) mas é suficientemente recente para ainda estar à espera de análise por parte do NVD. Está dentro da biblioteca de registo baseado em Java do Apache Log4j, amplamente utilizada, e o perigo reside na forma como permite a um utilizador executar código num servidor – assumindo potencialmente o controlo completo sem acesso ou autoridade adequados, através da utilização de mensagens de registo.
“Um atacante que pode controlar mensagens de registo ou parâmetros de mensagens de registo pode executar código arbitrário carregado a partir de servidores LDAP quando a substituição de procura de mensagens está activada,” o (CVE ID description states).
O problema pode afectar a Minecraft: Java Edition, Tencent, Apple, Twitter, Amazon, e muitos mais fornecedores de serviços online. Isto porque embora o Java já não seja tão comum para os utilizadores, continua a ser amplamente utilizado em aplicações empresariais. Felizmente, a Valve disse que o Steam não é afectado por esta questão.
“Revimos imediatamente os nossos serviços que utilizam log4j e verificámos que as nossas regras de segurança de rede bloquearam o descarregamento e a execução de código não confiado”, disse um representante da Valve à PC Gamer. “Não acreditamos que haja riscos para o Steam associados a esta vulnerabilidade”.
Quanto a uma correcção, existem, felizmente, algumas opções. O problema afecta alegadamente versões log4j entre 2.0 e 2.14.1. A actualização para a versão 2.15 do Apache Log4j é o melhor curso de acção para mitigar o problema, conforme delineado na página da vulnerabilidade de segurança do Apache Log4j. Embora, os utilizadores de versões mais antigas também possam ser mitigados definindo a propriedade do sistema “log4j2.formatMsgNoLookups” para “verdadeiro” ou removendo a classe JndiLookup do classpath.
Se estiver a executar um servidor usando Apache, tal como o seu próprio servidor Minecraft Java, irá querer actualizar imediatamente para a versão mais recente ou corrigir a sua versão mais antiga, como acima referido, para assegurar que o seu servidor está protegido. Da mesma forma, Mojang lançou um patch para proteger os clientes de jogos dos utilizadores, e podem ser encontrados mais detalhes ( em nenhum lugar).
A segurança do jogador é para nós a prioridade máxima. Infelizmente, hoje cedo identificámos uma vulnerabilidade de segurança no Minecraft: Edição Java.
A questão está remendada, mas por favor siga estes passos para proteger o seu cliente e/ou servidores de jogo. Por favor RT para amplificar.https://t.co/4Ji8nsvpHf
— Minecraft (@Minecraft) Dezembro 10, 2021
O medo a longo prazo é que, embora aqueles que sabem agora atenuar a falha potencialmente perigosa, haverá muitos mais no escuro que não o farão e poderão deixar a falha por um longo período de tempo.
Muitos já temem que a vulnerabilidade já esteja a ser explorada, incluindo a CERT NZ. Como tal, muitas empresas e utilizadores de nuvens estarão provavelmente a correr para remediar o impacto o mais rapidamente possível.
“Devido à facilidade de exploração e à amplitude da aplicabilidade, suspeitamos que os agentes de resgate comecem imediatamente a aproveitar esta vulnerabilidade”, diz a empresa de segurança Randori num (blog post) sobre a vulnerabilidade.
