Fala pessoal, tranquilos?
Hoje quero trazer um assunto sério, vamos falar da provável falha mais crítica da DÉCADA, isso mesmo, da década.
Essa falha recebeu uma classificação de gravidade CVSS de 10 pois leva a uma execução remota de código, o temido RCE, mas antes de falar sobre tudo isso, primeiro precisamos entender o que é o Log4j, depois o que é o Log4shell e, por fim, como isso se aplica ao Minecraft e pior: a boa parte da Web.
E quando eu digo boa parte, me refiro a uma grande parte mesmo, de acordo com cálculos recentes, esse valor pode chegar a 10% de todos sistemas usados no controle de processos industriais.
Log4j
Primeiro vamos entender o que é esse tal de Log4j, essa é uma biblioteca para os servidores Apache ela permite que os desenvolvedores armazenem o que chamamos de “logging”, ele é um registro das interações, informações e dados resultados de uma ação, sendo bem mais completo que um log padrão gerado pelo servidor.
Então, quando você clica em um botão num site, se ele usar o Log4j, todas as ocorrências geradas pelo click são salvas nos logs da ferramenta.
Como você deve ter percebido por esse mini resumo, é muito justificada a utilização dessa biblioteca em vários servidores, né?
Grande parte de grandes sistemas escritos em Java utilizam essa biblioteca, e isso é de fato, essencial pois é muito mais fácil realizar depurações por ela, do que pela IDE.
Log4Shell
Agora, vamos entrar de fato na falha e, o que você deve estar pensando é:
Como isso interage com um sistema de logs?
Simples, a nossa falha na Log4j permite que um hacker insira código ativo no processo de registro.
Portanto, se descobrirmos que o Log4j armazena uma informação fornecida diretamente pelo user, é possível inserir um código que diz, por exemplo, para o servidor executar um código, software ou comando. É claro que isso pode variar com a intenção do atacante.
Vou te dar um exemplo usado pela grande provedora de serviços Cloudflare, imagine o cenário que um sistema armazena um log quando o nome do cliente não for encontrado, munido dessa informação um hacker pode uma solicitação pro servidor e substituir o nome do cliente por um código que executa a vulnerabilidade.
Dentro desse cenário ele poderia, por exemplo, executar um comando que, por meio de uma base de dados, garanta acesso aos sistemas da empresa.
Eai? Entendeu por que essa vulnerabilidade é crítica?
Agora imagine o problema gerado por 10% da internet exposta a ela, é meus amigos, isso é um prato cheio pros bug hunters…
Minecraft
Bom, entendida toda a parte técnica já podemos linkar o problema com o Minecraft, mas se você prestou atenção, já deve imaginar que ele usa Java e portanto, Log4j, né?
Para ser um pouco mais específico, vamos falar do PaperMC, essa é uma versão do servidor Minecraft que conta com diversas novas features, correções de bugs e melhorias de performance, ao baixá-lo, utilizamos junto o Log4j.
E, como consequência ganhamos a falha que, nesse caso, também permitia executar comandos na máquina de outros usuários, colando uma curta mensagem no chat do jogo.
Então sim, um hacker conseguiria executar comandos em seu computador apenas pelo fato de você jogar Minecraft, mas relaxa que já foram lançadas correções para essa falha e, atualmente, se você utilizar servidores atualizados será muito difícil que você seja hackeado.
Há diversos exemplos na internet de usuários carregando a calculadora ou alguma outra aplicação por essa falha.
O mais interessante dessa falha é que ela foi descoberta justamente no Minecraft pela equipe de segurança em nuvem do Alibaba.