Em virtude da gravidade do caso e da urg\u00eancia para tratamento e mitiga\u00e7\u00e3o das vulnerabilidades de execu\u00e7\u00e3o remota de c\u00f3digo (RCE) identificadas na biblioteca de registro Apache Java Log4j (CVE-2021-44228 e CVE-2021-45046), indicamos a leitura das seguintes recomenda\u00e7\u00f5es:<\/p>\n
<\/p>\n
<\/p>\n
Em complemento, refor\u00e7amos a necessidade imediata da identifica\u00e7\u00e3o de todos os sistemas que possuem a biblioteca Apache Java Log4j implementada, para que seja realizada sua atualiza\u00e7\u00e3o, com a urg\u00eancia que o caso requer, para a vers\u00e3o mais atual dispon\u00edvel em:<\/p>\n
Recomendamos, ainda, que sejam monitoradas tentativas de explora\u00e7\u00e3o da vulnerabilidade nos ativos de TI.<\/p>\n
3.1.\u00a0 Exemplos de padr\u00f5es de strings que devem ser monitorados nos logs:<\/p>\n
${jndi:ldap:\/}<\/em> \u00c9 poss\u00edvel monitorar, ainda, tentativas de ofusca\u00e7\u00e3o das strings, como por exemplo:<\/p>\n (${${::-j}${::-n}${::-d}${::-I})<\/em> 4. Ressaltamos, finalmente, que malwares est\u00e3o explorando a vulnerabilidade Log4Shell para dissemina\u00e7\u00e3o de artefatos maliciosos, tais como:<\/p>\n \u2013\u00a0Troj\/JavaDl-AAN, Troj\/Java-AIN, Troj\/BatDl-GR, Mal\/JavaKC-B, XMRig Miner (PUA), Troj\/Bckdr-RYB, Troj\/PSDl-LR, Mal\/ShellDl-A, Linux\/DDoS-DT, Linux\/Miner-ADG, Linux\/DDoS-DS, Linux\/Miner-ZS, Linux\/Miner-WU, Linux\/Rootkt-M, Muhstik botnet, XMRIG miner, Khonsari (Ransomware), Orcus (RAT \u2013 Remote Access Trojan).<\/em><\/p>\n Caso sejam identificadas tentativas de explora\u00e7\u00e3o, recomendamos que os logs sejam enviados ao CTIR Gov via notifica\u00e7\u00e3o ao e-mail ctir@ctir.gov.br, para a tomada das provid\u00eancias cab\u00edveis.<\/p>\n O CTIR Gov trata as informa\u00e7\u00f5es recebidas conforme o indicado no padr\u00e3o TLP (https:\/\/www.gov.br\/ctir\/pt-br\/assuntos\/tlp<\/a>). A chave p\u00fablica PGP do CTIR Gov pode ser obtida em:<\/p>\n
\n${jndi:ldaps:\/}<\/em>
\n${jndi:rmi:\/}<\/em>
\n${jndi:dns:\/}<\/em>
\n${jndi:iiop:\/<\/em>}<\/p>\n
\n${${lower:j}${lower:n}${lower:d}i:${lower:rmi}<\/em>
\n${${lower:j}${upper:n}${lower:d}${upper:i}:${lower:r}m${lower:i}}<\/em>
\n${${lower:jndi}:${lower:rmi<\/em>}<\/p>\n